Google đã xuất bản các văn bản nguồn của dự án HIBA (Ủy quyền dựa trên nhận dạng máy chủ), đề xuất triển khai cơ chế ủy quyền bổ sung để tổ chức quyền truy cập của người dùng qua SSH liên quan đến máy chủ (kiểm tra xem quyền truy cập vào một tài nguyên cụ thể có được phép hay không trong quá trình công khai xác thực khóa). Tích hợp với OpenSSH được cung cấp bằng cách chỉ định trình xử lý HIBA trong chỉ thị AuthorizedPrincipalsCommand trong /etc/ssh/sshd_config. Mã dự án được viết bằng ngôn ngữ C và được phân phối theo giấy phép BSD.
HIBA sử dụng các cơ chế xác thực thông thường dựa trên chứng chỉ OpenSSH để quản lý tập trung và linh hoạt quyền hạn của người dùng liên quan đến máy chủ, nhưng không yêu cầu thay đổi định kỳ trong tệp ủy quyền và tệp ủy quyền ở phía máy chủ mà kết nối được thực hiện. Thay vì lưu trữ danh sách các khóa chung hợp lệ và điều kiện truy cập trong các tệp được ủy quyền_(keys|users), HIBA tích hợp trực tiếp thông tin ràng buộc giữa người dùng và máy chủ vào chính các chứng chỉ. Cụ thể, các tiện ích mở rộng được đề xuất cho chứng chỉ máy chủ và chứng chỉ người dùng, lưu trữ các tham số máy chủ và điều kiện để cấp quyền truy cập cho người dùng.
Xác minh phía máy chủ được bắt đầu bằng cách gọi trình xử lý hiba-chk được chỉ định trong chỉ thị AuthorizedPrincipalsCommand. Trình xử lý này giải mã các tiện ích mở rộng được tích hợp vào chứng chỉ và dựa trên chúng, đưa ra quyết định cấp hoặc chặn quyền truy cập. Các quy tắc truy cập được xác định tập trung ở cấp cơ quan cấp chứng chỉ (CA) và được tích hợp vào các chứng chỉ ở giai đoạn tạo.
Về phía cơ quan cấp chứng chỉ, một danh sách chung các quyền khả dụng (máy chủ được phép kết nối) và danh sách người dùng được phép sử dụng các quyền này được duy trì. Tiện ích hiba-gen được đề xuất để tạo chứng chỉ được chứng nhận với thông tin tích hợp về cơ quan có thẩm quyền và chức năng cần thiết để tạo trung tâm chứng nhận được chuyển sang tập lệnh iba-ca.sh.
Khi người dùng kết nối, thông tin đăng nhập được chỉ định trong chứng chỉ được xác nhận bằng chữ ký điện tử của cơ quan cấp chứng chỉ, cho phép tất cả các kiểm tra được thực hiện hoàn toàn ở phía máy chủ đích mà kết nối đang được thực hiện mà không cần dùng đến các dịch vụ bên ngoài . Danh sách khóa công khai của cơ quan cấp chứng chỉ xác nhận chứng chỉ SSH được chỉ định bằng cách sử dụng chỉ thị TrustedUserCAKeys.
Ngoài việc liên kết trực tiếp người dùng với máy chủ, HIBA cho phép bạn xác định các quy tắc truy cập linh hoạt hơn. Ví dụ: máy chủ có thể được liên kết với thông tin như vị trí và loại dịch vụ và khi xác định quy tắc truy cập của người dùng, hãy cho phép kết nối với tất cả máy chủ có loại dịch vụ nhất định hoặc với máy chủ ở một vị trí đã chỉ định.
Nguồn: opennet.ru