Navoakan'i Google ny kaody loharanon'ny tetikasa HIBA (Host Identity Based Authorization), izay manolotra ny fametrahana rafitra fanomezan-dΓ lana fanampiny amin'ny fandaminana ny fidiran'ny mpampiasa amin'ny alalan'ny SSH mifandray amin'ny mpampiantrano (manamarina raha azo atao na tsia ny fidirana amin'ny loharano manokana rehefa manamarina. mampiasa fanalahidin'ny daholobe). Ny fampidirana amin'ny OpenSSH dia omena amin'ny alΓ lan'ny famaritana ny mpitantana HIBA ao amin'ny torolalana AuthorizedPrincipalsCommand ao amin'ny /etc/ssh/sshd_config. Ny kaody tetikasa dia voasoratra amin'ny C ary zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana BSD.
Ny HIBA dia mampiasa rafitra fanamarinana manara-penitra mifototra amin'ny certificat OpenSSH ho an'ny fitantanana mora sy ivon'ny fanomezan-dΓ lana ho an'ny mpampiasa mifandraika amin'ny mpampiantrano, fa tsy mitaky fanovana tsindraindray amin'ny rakitra authorized_keys sy authorized_users eo anilan'ny mpampiantrano izay anaovana ny fifandraisana. Raha tokony hitehirizana lisitr'ireo fanalahidin'ny daholobe manan-kery sy fepetra fidirana ao amin'ny fisie authorized_(keys|users), ny HIBA dia mampiditra mivantana ny fampahalalana momba ny fatoran'ny mpampiantrano mpampiasa mivantana ao amin'ny taratasy fanamarinana. Indrindra indrindra, ny fanitarana dia natolotra ho an'ny mari-pankasitrahana mpampiantrano sy mari-pankasitrahana mpampiasa, izay mitahiry ny mari-pamantarana mpampiantrano sy ny fepetra hanomezana fidirana ny mpampiasa.
Ny fanamarinana eo amin'ny lafiny mpampiantrano dia atomboka amin'ny fiantsoana ny mpitantana hiba-chk voalaza ao amin'ny torolalana AuthorizedPrincipalsCommand. Ity processeur ity dia mamadika ny fanitarana ampidirina amin'ny taratasy fanamarinana ary, mifototra amin'izy ireo, dia mandray fanapahan-kevitra momba ny fanomezana na fanakanana ny fidirana. Ny fitsipiky ny fidirana dia tapa-kevitra afovoany amin'ny ambaratongan'ny fahefana fanamarinana (CA) ary ampidirina amin'ny mari-pankasitrahana amin'ny ambaratongan'ny taranaka.
Eo anilan'ny foibe fanamarinana dia misy lisitra ankapoben'ny fahefana misy (ireo mpampiantrano izay mahazo fifandraisana) ary lisitry ny mpampiasa mahazo mampiasa ireo fahefana ireo. Mba hamoronana mari-pankasitrahana voamarina miaraka amin'ny fampahalalana mitambatra momba ny fahazoan-dΓ lana dia atolotra ny fampitaovana hiba-gen, ary ny fampiasa ilaina amin'ny famoronana fahefana fanamarinana dia ampidirina ao amin'ny script iba-ca.sh.
Rehefa mifandray ny mpampiasa iray, ny fahefana voalaza ao amin'ny taratasy fanamarinana dia nohamafisin'ny sonia nomerika an'ny manampahefana fanamarinana, izay mamela ny fisavana rehetra hatao tanteraka eo amin'ny sisin'ny mpampiantrano kendrena izay anaovana ny fifandraisana, nefa tsy mampiasa serivisy ivelany. Ny lisitry ny fanalahidin'ny fahefana fanamarinana izay manamarina ny mari-pankasitrahana SSH dia voafaritra amin'ny alΓ lan'ny torolΓ lana TrustedUserCAKeys.
Ho fanampin'ny fampifandraisana mivantana ny mpampiasa amin'ny mpampiantrano, ny HIBA dia mamela anao hamaritra fitsipika fidirana mora kokoa. Ohatra, ny fampahalalana toy ny toerana sy ny karazana serivisy dia azo ampifandraisina amin'ny mpampiantrano, ary rehefa mamaritra ny fitsipiky ny fidirana amin'ny mpampiasa dia azo avela ny fifandraisana amin'ny mpampiantrano rehetra manana karazana serivisy nomena na amin'ny mpampiantrano amin'ny toerana voafaritra.
Source: opennet.ru