Google သည် HIBA (Host Identity Based Authorization) ပရောဂျက်၏ အရင်းအမြစ်ကုဒ်ကို SSH မှတစ်ဆင့် အသုံးပြုသူဝင်ရောက်ခွင့်ကို စီစဉ်ခြင်းအတွက် နောက်ထပ်ခွင့်ပြုချက်ယန္တရားကို အကောင်အထည်ဖော်ရန် အဆိုပြုသည် (အထောက်အထားစိစစ်သည့်အခါ သီးခြားအရင်းအမြစ်တစ်ခုသို့ ဝင်ရောက်ခွင့်ရှိမရှိ စစ်ဆေးခြင်း အများသူငှာသော့များကိုအသုံးပြုသည်) ။ OpenSSH နှင့် ပေါင်းစပ်ခြင်းကို /etc/ssh/sshd_config ရှိ AuthorizedPrincipalsCommand ညွှန်ကြားချက်တွင် HIBA ကိုင်တွယ်သူကို သတ်မှတ်ခြင်းဖြင့် ပံ့ပိုးပေးပါသည်။ ပရောဂျက်ကုဒ်ကို C ဖြင့်ရေးသားထားပြီး BSD လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။
HIBA သည် hosts များနှင့် ဆက်စပ်၍ အသုံးပြုသူခွင့်ပြုချက်၏ ပြောင်းလွယ်ပြင်လွယ်နှင့် ဗဟိုချုပ်ကိုင်မှုရှိသော စီမံခန့်ခွဲမှုအတွက် OpenSSH အသိအမှတ်ပြုလက်မှတ်များပေါ်တွင် အခြေခံထားသော စံစစ်မှန်ကြောင်းအထောက်အထားပြယန္တရားများကို အသုံးပြုသော်လည်း ချိတ်ဆက်မှုပြုလုပ်သည့် host ၏ဘေးဘက်ရှိ authorized_keys နှင့် authorized_users ဖိုင်များကို အချိန်အခါအလိုက် ပြောင်းလဲမှုများ မလိုအပ်ပါ။ တရားဝင် အများသူငှာသော့များစာရင်းကို သိမ်းဆည်းခြင်းနှင့် တရားဝင်ခွင့်ပြုထားသော_(သော့များ|အသုံးပြုသူများ) ဖိုင်များတွင် အသုံးပြုခွင့်အခြေအနေများကို သိမ်းဆည်းမည့်အစား HIBA သည် အသုံးပြုသူ-အိမ်ရှင်ချိတ်ဆက်ခြင်းဆိုင်ရာ အချက်အလက်များကို အသိအမှတ်ပြုလက်မှတ်များအတွင်းသို့ တိုက်ရိုက်ပေါင်းစပ်ပေးပါသည်။ အထူးသဖြင့်၊ အသုံးပြုသူဝင်ရောက်ခွင့်အတွက် လက်ခံဆောင်ရွက်ပေးသည့် ကန့်သတ်ချက်များနှင့် အခြေအနေများကို သိမ်းဆည်းထားသည့် လက်ခံဆောင်ရွက်ပေးသည့် အသိအမှတ်ပြုလက်မှတ်များနှင့် အသုံးပြုသူအသိအမှတ်ပြုလက်မှတ်များအတွက် တိုးချဲ့မှုများကို အဆိုပြုထားသည်။
AuthorizedPrincipalsCommand ညွှန်ကြားချက်တွင် သတ်မှတ်ထားသည့် hiba-chk ကိုင်တွယ်သူကို ခေါ်ခြင်းဖြင့် လက်ခံသူဘက်မှ စစ်ဆေးခြင်းကို စတင်သည်။ ဤပရိုဆက်ဆာသည် အသိအမှတ်ပြုလက်မှတ်များအတွင်း ပေါင်းစပ်ထားသော တိုးချဲ့မှုများကို ကုဒ်ပြပြီး ၎င်းတို့အပေါ် အခြေခံ၍ ဝင်ရောက်ခွင့်ပေးခြင်း သို့မဟုတ် ပိတ်ဆို့ခြင်းဆိုင်ရာ ဆုံးဖြတ်ချက်တစ်ခု ပြုလုပ်သည်။ ဝင်ခွင့်စည်းမျဉ်းများကို အသိအမှတ်ပြု အာဏာပိုင် (CA) အဆင့်တွင် ဗဟိုမှ ဆုံးဖြတ်ပြီး ၎င်းတို့၏ မျိုးဆက်အဆင့်တွင် လက်မှတ်များအဖြစ် ပေါင်းစပ်ထားသည်။
အသိအမှတ်ပြုဌာန၏ ဘေးတွင်၊ ရရှိနိုင်သော အခွင့်အာဏာများ၏ အထွေထွေစာရင်း (ချိတ်ဆက်မှုများကို ခွင့်ပြုထားသည့် တန်ဆာပလာများ) နှင့် အဆိုပါ ပါဝါများကို အသုံးပြုခွင့်ရှိသည့် အသုံးပြုသူများစာရင်းကို ထိန်းသိမ်းထားသည်။ အထောက်အထားများနှင့်ပတ်သက်သော ပေါင်းစပ်အချက်အလက်များပါရှိသော အသိအမှတ်ပြုလက်မှတ်များကို ထုတ်လုပ်ရန်အတွက် hiba-gen utility ကို အဆိုပြုထားပြီး၊ certification authority တစ်ခုဖန်တီးရန် လိုအပ်သော လုပ်ဆောင်ချက်များကို iba-ca.sh script တွင် ထည့်သွင်းထားပါသည်။
အသုံးပြုသူတစ်ဦး ချိတ်ဆက်သည့်အခါ၊ အသိအမှတ်ပြုလက်မှတ်တွင် သတ်မှတ်ထားသည့် အခွင့်အာဏာကို ပြင်ပဝန်ဆောင်မှုများကို အသုံးမပြုဘဲ ချိတ်ဆက်မှုပြုလုပ်သည့် ပစ်မှတ်အိမ်ရှင်၏ဘက်ခြမ်းတွင် စစ်ဆေးမှုအားလုံးကို စစ်ဆေးမှုအားလုံးကို လုပ်ဆောင်နိုင်စေသည့် အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်၏ ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် အတည်ပြုပါသည်။ SSH လက်မှတ်များကို အသိအမှတ်ပြုသည့် အသိအမှတ်ပြု အာဏာပိုင်အဖွဲ့၏ အများသူငှာသော့များစာရင်းကို TrustedUserCAKeys ညွှန်ကြားချက်ဖြင့် သတ်မှတ်ထားသည်။
သုံးစွဲသူများကို host များနှင့် တိုက်ရိုက်ချိတ်ဆက်ခြင်းအပြင် HIBA သည် သင့်အား ပိုမိုပြောင်းလွယ်ပြင်လွယ်ရှိသော ဝင်ရောက်ခွင့်စည်းမျဉ်းများကို သတ်မှတ်နိုင်စေပါသည်။ ဥပမာအားဖြင့်၊ တည်နေရာနှင့် ဝန်ဆောင်မှုအမျိုးအစားကဲ့သို့သော အချက်အလက်များသည် host များနှင့် ဆက်စပ်နိုင်ပြီး အသုံးပြုသူဝင်ရောက်ခွင့်စည်းမျဉ်းများကို သတ်မှတ်သည့်အခါ၊ ချိတ်ဆက်မှုများကို ပေးထားသည့် ဝန်ဆောင်မှုအမျိုးအစားတစ်ခုနှင့် hosts အားလုံးထံ သို့မဟုတ် သတ်မှတ်ထားသောတည်နေရာရှိ host များသို့ ချိတ်ဆက်မှုများကို ခွင့်ပြုနိုင်သည်။
source: opennet.ru