โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > Google เผยแพร่ HIBA ซึ่งเป็นโปรแกรมเสริม OpenSSH สำหรับการตรวจสอบสิทธิ์ตามใบรับรอง

Google เผยแพร่ HIBA ซึ่งเป็นโปรแกรมเสริม OpenSSH สำหรับการตรวจสอบสิทธิ์ตามใบรับรอง

Google ได้เผยแพร่ซอร์สโค้ดของโครงการ HIBA (Host Identity Based Authorization) ซึ่งเสนอการนำกลไกการให้สิทธิ์เพิ่มเติมไปใช้ในการจัดการการเข้าถึงของผู้ใช้ผ่าน SSH โดยเชื่อมโยงกับโฮสต์ (ตรวจสอบว่าการเข้าถึงทรัพยากรเฉพาะได้รับอนุญาตหรือไม่เมื่อตรวจสอบสิทธิ์) โดยใช้กุญแจสาธารณะ) การผสานรวมกับ OpenSSH ทำได้โดยการระบุตัวจัดการ HIBA ในคำสั่ง AuthorizedPrincipalsCommand ใน /etc/ssh/sshd_config รหัสโครงการเขียนด้วยภาษา C และเผยแพร่ภายใต้ใบอนุญาต BSD

HIBA ใช้กลไกการตรวจสอบสิทธิ์มาตรฐานตามใบรับรอง OpenSSH สำหรับการจัดการการอนุญาตผู้ใช้แบบรวมศูนย์ที่ยืดหยุ่นและสัมพันธ์กับโฮสต์ แต่ไม่ต้องการการเปลี่ยนแปลงเป็นระยะในไฟล์authorized_keysและauthors_usersที่ด้านข้างของโฮสต์ที่ทำการเชื่อมต่อ แทนที่จะจัดเก็บรายการคีย์สาธารณะที่ถูกต้องและเงื่อนไขการเข้าถึงในไฟล์ที่ได้รับอนุญาต _(คีย์|ผู้ใช้) HIBA จะรวมข้อมูลเกี่ยวกับการเชื่อมโยงผู้ใช้และโฮสต์เข้ากับใบรับรองโดยตรง โดยเฉพาะอย่างยิ่ง มีการเสนอส่วนขยายสำหรับใบรับรองโฮสต์และใบรับรองผู้ใช้ ซึ่งจัดเก็บพารามิเตอร์โฮสต์และเงื่อนไขในการให้สิทธิ์การเข้าถึงของผู้ใช้

การตรวจสอบฝั่งโฮสต์เริ่มต้นโดยการเรียกตัวจัดการ hiba-chk ที่ระบุในคำสั่ง AuthorizedPrincipalsCommand โปรเซสเซอร์นี้จะถอดรหัสส่วนขยายที่รวมอยู่ในใบรับรอง และทำการตัดสินใจเกี่ยวกับการอนุญาตหรือบล็อกการเข้าถึง กฎการเข้าถึงจะถูกกำหนดจากส่วนกลางที่ระดับผู้ออกใบรับรอง (CA) และจะรวมเข้ากับใบรับรองในขั้นตอนการสร้าง

ที่ด้านข้างของศูนย์รับรอง รายการทั่วไปของพาวเวอร์ที่มีอยู่ (โฮสต์ที่อนุญาตการเชื่อมต่อ) และรายชื่อผู้ใช้ที่ได้รับอนุญาตให้ใช้พาวเวอร์เหล่านี้ ในการสร้างใบรับรองที่ได้รับการรับรองพร้อมข้อมูลที่รวมเกี่ยวกับข้อมูลรับรอง มีการเสนอยูทิลิตี hiba-gen และฟังก์ชันการทำงานที่จำเป็นในการสร้างผู้ออกใบรับรองจะรวมอยู่ในสคริปต์ iba-ca.sh

เมื่อผู้ใช้เชื่อมต่อ อำนาจที่ระบุในใบรับรองจะได้รับการยืนยันด้วยลายเซ็นดิจิทัลของผู้ออกใบรับรอง ซึ่งอนุญาตให้ทำการตรวจสอบทั้งหมดได้ที่ด้านข้างของโฮสต์เป้าหมายที่ทำการเชื่อมต่อ โดยไม่ต้องใช้บริการภายนอก รายการคีย์สาธารณะของผู้ออกใบรับรองที่รับรองใบรับรอง SSH ได้รับการระบุผ่านคำสั่ง TrustedUserCAKeys

นอกเหนือจากการเชื่อมโยงผู้ใช้กับโฮสต์โดยตรงแล้ว HIBA ยังช่วยให้คุณกำหนดกฎการเข้าถึงที่ยืดหยุ่นมากขึ้น ตัวอย่างเช่น ข้อมูล เช่น ตำแหน่งและประเภทบริการสามารถเชื่อมโยงกับโฮสต์ได้ และเมื่อกำหนดกฎการเข้าถึงของผู้ใช้ การเชื่อมต่อสามารถอนุญาตให้กับโฮสต์ทั้งหมดที่มีประเภทบริการที่กำหนดหรือกับโฮสต์ในตำแหน่งที่ระบุได้

Google เผยแพร่ HIBA ซึ่งเป็นโปรแกรมเสริม OpenSSH สำหรับการตรวจสอบสิทธิ์ตามใบรับรอง
Google เผยแพร่ HIBA ซึ่งเป็นโปรแกรมเสริม OpenSSH สำหรับการตรวจสอบสิทธิ์ตามใบรับรอง


ที่มา: opennet.ru

เพิ่มความคิดเห็น