forum.opennet.ru - "Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов" (53)

"Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов"	+/–
Сообщение от opennews (ok), 21-Сен-21, 12:53
Компания Google опубликовала исходные тексты проекта HIBA (Host Identity Based Authorization), предлагающего реализацию дополнительного механизма авторизации для организации доступа пользователей по SSH в привязке к хостам (проверки, разрешён или нет доступ к конкретному ресурсу при аутентификации по открытым ключам). Интеграция с OpenSSH обеспечивается через указание обработчика HIBA в директиве AuthorizedPrincipalsCommand в /etc/ssh/sshd_config. Код проекта написан на языке Си и распространяется под лицензией BSD... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55841
Ответить \| Правка \| Cообщить модератору

Оглавление

Не понял чо нового по сравнению с SSH CA вроде всё то же самое , Arcade (ok), 12:53 , 21-Сен-21, (1) +10

Я тмк понимаю, тут проще напихать какие-то произвольные признаки и по ним матчит, Crazy Alex (ok), 13:12 , 21-Сен-21, (7) +2
Ничего нового CA, приносящий доход, уже существует Оставалось просто соединить, Анто Нимно (?), 13:17 , 21-Сен-21, (11) +2

Яссно, еще один зонд Буду знать врага в лицо и выпиливать , нах.. (?), 12:55 , 21-Сен-21, (2)

Ни хрена тебе не ясно Что и откуда ты выпиливать собрался, если это отдельная п, Crazy Alex (ok), 13:09 , 21-Сен-21, (6) +9

Это на бабло развод в будущем Есть конторы, торгующие сертами и пропри-прошивки, Анто Нимно (?), 13:15 , 21-Сен-21, (10) –3

У ALPHABET не кислые дольки почти в каждом CA Почему бы гуглу не возглавить open, Аноним (22), 15:42 , 21-Сен-21, (22)
никто не заставляет покупать платный сертификат, можно использовать свой СА, Тфьу (?), 17:07 , 21-Сен-21, (31)

Не можно, а нужно , Аноним (44), 21:44 , 21-Сен-21, (44)
Варианта использовать НЕ свой CA в данном случае нету, он всегда будет свой , кокпок (?), 21:57 , 21-Сен-21, (45)

Будешь выпиливать отовсюду OpenSSH и ставить Telnet Я слышал что где-то глубоко, Аноним (13), 13:19 , 21-Сен-21, (13) +2

выпилил телнет работает отлично, нах... (?), 13:57 , 21-Сен-21, (15) –3

Стесняюсь спросить но спрошу А telnetd запускаете из-под православного inetd , PnD (??), 14:20 , 21-Сен-21, (18) +1

как будто для SSL под телнетом не нужны сертификаты СА и всё такое, aa (?), 13:57 , 21-Сен-21, (16) +1

Так же как OPENSSH, но человек хочет быть другим, не таким как все , Аноним (13), 10:27 , 22-Сен-21, (53)

Я вражескими поделками ваще не пользуюсь уже лет семь, чего и вам желаю Вы буде, Аноним (-), 21:42 , 21-Сен-21, (43) –2

А чем пользуетесь берестой и углем , кокпок (?), 21:59 , 21-Сен-21, (46) –1
Скрепы - наше всё , Прохожий (??), 08:03 , 22-Сен-21, (51)
Правильно Гугл давно перешёл все рамки приличия , Аноним (-), 17:04 , 22-Сен-21, (56) +1

ага Пока не понадобится отозвать какой-то сертификат Тут и начнётся здравству, scor (ok), 13:01 , 21-Сен-21, (4) +4

От сейчас - очень понятно, чем Ты забил в сертификат годен для подключения к х, Crazy Alex (ok), 13:08 , 21-Сен-21, (5) +2

Или просто не положил паблик пользователя на хост Т е нужно точно также ходит, scor (ok), 13:14 , 21-Сен-21, (8) +1

Глобальная разница в том, что оаньше ты обходил все хосты, чтобы добавить и чтоб, Аноним (14), 13:56 , 21-Сен-21, (14) +1
Все наоборот Хосты бегают за обновой Хосты переодически шлют GraphQL запрос на , OpenEcho (?), 16:31 , 21-Сен-21, (27) +1

Это всё только на бумаге работает В реальной жизни всё печальней обычно Что де, scor (ok), 17:50 , 21-Сен-21, (34) +2

Сейчас о вас заботы нету Будет Сначала сделаем надстройкуПотом её протащим как, Аноним (22), 15:50 , 21-Сен-21, (23) +1

казалось бы, причём здесь всего-лишь новый нескучный инит, новый безопасный язык, странадураков (?), 12:44 , 22-Сен-21, (54) +1

Что-то я не пойму, если таким сертом завладел злоумышленник и ты об этом знаешь,, gogo (?), 15:18 , 21-Сен-21, (21)
Какой-то сраный велосипед 1 отзыв сертов об этом уже писали на форуме 2 что, Аноним (25), 16:21 , 21-Сен-21, (25) +1
Зачем, когда есть FreeIPA или LDAP , Совсем не аноним (?), 16:28 , 21-Сен-21, (26)

Затем, чтобы не надо было иметь целый отдельный сервис, который надо обслуживать, Аноним (29), 16:42 , 21-Сен-21, (29) –1

но нужно следить за своим СА и за ЦРЛками, следить, чтобы они обновлялись своевр, Тфьу (?), 17:09 , 21-Сен-21, (32)

А с LDAP не нужно что ли , Аноним (39), 19:24 , 21-Сен-21, (39) +1

Годнейшая штука, реально не хватает такой Надеюсь её как можно скорее интегриру, Аноним (29), 16:38 , 21-Сен-21, (28)
openssh поддерживает x509 Нахрена тут нужен этот велосипед , anonymous (??), 16:42 , 21-Сен-21, (30) +1
Переписать на руст, затем удалить и снова переписать Возможно, тогда и станет б, Аноним (-), 18:23 , 21-Сен-21, (35) +1
https www earth li noodles blog 2019 04 totp-auth htmlА что насчет SSH 2FA TO, Аноним (36), 18:43 , 21-Сен-21, (36)
Не озвучены пара фундументальных вещей - где можно записаться в бенефициары CA , AnonymPatient (?), 18:59 , 21-Сен-21, (37)

Нисколько, вот пример https github com cloudtools ssh-ca, ibaca (?), 19:20 , 21-Сен-21, (38)

Хиба цэ шо то новое , Андрей (??), 20:14 , 21-Сен-21, (40)

SSH CA в другой руке, Анончик (?), 20:40 , 21-Сен-21, (41)

владелец СА конечно гугл, будет брать деньги за каждый сертификат, гугл в любой , Атон (?), 23:13 , 21-Сен-21, (48) –1

Да вас насильно тащат под крыло гугла ведь только гугл может быть CA Других то C, Анончик (?), 00:31 , 22-Сен-21, (49)

название - не имеет значения читай внимательно СА выдает ПОЛЬЗОВАТЕЛЮ сертифика, Атон (?), 21:24 , 22-Сен-21, (60)

Я лично нисколько, но как корпорация 8212 тыщ 10 за SLA заплатил бы с порога , Аноним (62), 22:09 , 23-Сен-21, (62)

вот в каждый СА и нести по 10 тысяч каждую неделю , Атон (?), 12:30 , 24-Сен-21, (63)

Осталось дождатся новостей когда там найдут дыру и будут входит по мастер ключу , Ivan_83 (ok), 02:43 , 22-Сен-21, (50) +1

Как работают ключи ssh тяжело погуглить, прежде чем такой бред писать Может еще , Аноним (36), 09:40 , 22-Сен-21, (52) –1

осталось понять что это старые ключи работали по другому, а _НОВЫЕ_ будут вот та, Атон (?), 21:16 , 22-Сен-21, (59)

Есть же PKIX-SSH, 0x501D (?), 16:09 , 22-Сен-21, (55)
нашаHIBA , Kenneth (?), 17:23 , 22-Сен-21, (57)
Больше зондов от гугла больше уязвимостей в том что и так уязвимо , Аноним (58), 17:28 , 22-Сен-21, (58)
Чего-то люди совсем уже поехали Google опубликовал разработку и за это они хейт, anonymous (??), 12:04 , 23-Сен-21, (61)

Сообщения [Сортировка по времени | RSS]

1. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +10 +/–

Сообщение от Arcade (ok), 21-Сен-21, 12:53

Не понял чо нового по сравнению с SSH CA: вроде всё то же самое.

Ответить | Правка | Наверх | Cообщить модератору

7. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +2 +/–

Сообщение от Crazy Alex (ok), 21-Сен-21, 13:12

Я тмк понимаю, тут проще напихать какие-то произвольные признаки и по ним матчить

Ответить | Правка | Наверх | Cообщить модератору

11. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +2 +/–

Сообщение от Анто Нимно (?), 21-Сен-21, 13:17

Ничего нового. CA, приносящий доход, уже существует. Оставалось просто соединить.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от нах.. (?), 21-Сен-21, 12:55

Яссно, еще один зонд. Буду знать врага в лицо и выпиливать.

Ответить | Правка | Наверх | Cообщить модератору

6. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +9 +/–

Сообщение от Crazy Alex (ok), 21-Сен-21, 13:09

Ни хрена тебе не ясно. Что и откуда ты выпиливать собрался, если это отдельная приблуда, разворачиваемая владельцем инфраструктуры там, где ему надо?

Ответить | Правка | Наверх | Cообщить модератору

10. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." –3 +/–

Сообщение от Анто Нимно (?), 21-Сен-21, 13:15

Это на бабло развод в будущем. Есть конторы, торгующие сертами и пропри-прошивки с сертами... Профит.

Ответить | Правка | Наверх | Cообщить модератору

22. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Аноним (22), 21-Сен-21, 15:42

У ALPHABET не кислые дольки почти в каждом CA.
Почему бы гуглу не возглавить openssh?

Ответить | Правка | Наверх | Cообщить модератору

31. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Тфьу (?), 21-Сен-21, 17:07

никто не заставляет покупать платный сертификат, можно использовать свой СА

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

44. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Аноним (44), 21-Сен-21, 21:44

Не можно, а нужно.

Ответить | Правка | Наверх | Cообщить модератору

45. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от кокпок (?), 21-Сен-21, 21:57

Варианта использовать НЕ свой CA в данном случае нету, он всегда будет свой.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

13. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +2 +/–

Сообщение от Аноним (13), 21-Сен-21, 13:19

Будешь выпиливать отовсюду OpenSSH и ставить Telnet? Я слышал что где-то глубоко в недрах сиски практикуют так называемый "Telnet over SSL", отпишись когда попробуешь.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

15. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." –3 +/–

Сообщение от нах... (?), 21-Сен-21, 13:57

выпилил. телнет работает отлично

Ответить | Правка | Наверх | Cообщить модератору

18. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от PnD (??), 21-Сен-21, 14:20

Стесняюсь спросить (но спрошу).
А telnetd запускаете из-под православного inetd (xinetd)? Или обернув б-мерзким systemd [Socket]?
Так-то да. Чего ж не обойтись. Даже в ssl можно обернуть. Правда, есть нюанс: stderr так не получить в отдельном fd.
Ой, а может он у вас на железках вроде cs2950? Тогда, конечно…

Ответить | Правка | Наверх | Cообщить модератору

16. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от aa (?), 21-Сен-21, 13:57

как будто для SSL под телнетом не нужны сертификаты/СА и всё такое

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

53. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Аноним (13), 22-Сен-21, 10:27

Так же как OPENSSH, но человек хочет быть другим, не таким как все.

Ответить | Правка | Наверх | Cообщить модератору

43. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." –2 +/–

Сообщение от Аноним (-), 21-Сен-21, 21:42

Я вражескими поделками ваще не пользуюсь уже лет семь, чего и вам желаю. Вы будете улыбаться, слыша слово ... да и ваще все эти buzzwords. Вы же умны, так применяйте свой ум.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

46. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." –1 +/–

Сообщение от кокпок (?), 21-Сен-21, 21:59

А чем пользуетесь берестой и углем?

Ответить | Правка | Наверх | Cообщить модератору

51. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Прохожий (??), 22-Сен-21, 08:03

Скрепы - наше всё.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

56. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от Аноним (-), 22-Сен-21, 17:04

Правильно! Гугл давно перешёл все рамки приличия.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

4. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +4 +/–

Сообщение от scor (ok), 21-Сен-21, 13:01

> все проверки целиком на стороне целевого хоста ... без обращения к внешним службам
ага. Пока не понадобится отозвать какой-то сертификат. Тут и начнётся "здравствуй x509". Ну или CRL-ки переодически раскладывать на каждый хост. Тогда не понятно, чем это отличается от сейчас.

Ответить | Правка | Наверх | Cообщить модератору

5. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +2 +/–

Сообщение от Crazy Alex (ok), 21-Сен-21, 13:08

От сейчас - очень понятно, чем. Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и отработает. Или прибил признак какой-то - и нужным хостам задаёшь - пускать по сертификатам с данным значением данного признака.
А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление их CRL ничем не хуже.

Ответить | Правка | Наверх | Cообщить модератору

8. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от scor (ok), 21-Сен-21, 13:14

> Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и
> отработает.
Или просто не положил паблик пользователя на хост...
> А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам
> из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление
> их CRL ничем не хуже.
Т.е. нужно точно также ходить по всем хостам и что-то там править? Ну т.е. все теже проблемы, что и сейчас, только в новой обёртке и файлы по другому называются. Окай.:)

Ответить | Правка | Наверх | Cообщить модератору

14. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от Аноним (14), 21-Сен-21, 13:56

Глобальная разница в том, что оаньше ты обходил все хосты, чтобы добавить и чтобы удалить. Тут можно обходить хосты только в случае незапланированного принудительного удаления.

Плюс, скорее всего, как в OAuth2, подписи CA сделают короткоживущими, типа, пяти минут. В случае компрометации ключа, его блокируют на CA и через пять минут, когда на нем протухнет подпись, никто не сможет ее восстановить и автоматически ключ станет недействителен на всех хостах.

Ответить | Правка | Наверх | Cообщить модератору

27. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от OpenEcho (?), 21-Сен-21, 16:31

Все наоборот. Хосты бегают за обновой.
Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если что есть к обнове, пикапают (и CRL в том числе). Если на базе нет коннектов с какого-то хоста то это аларм, т.е мониторинг & контрол all-in-one

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

34. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +2 +/–

Сообщение от scor (ok), 21-Сен-21, 17:50

> Все наоборот. Хосты бегают за обновой.
> Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если
> что есть к обнове, пикапают (и CRL в том числе).
Это всё только на бумаге работает. В реальной жизни всё печальней обычно. Что делать хосту, если он не смог обновить CRL? Не пускать никого пока не обновит? Или пускать основываясь на старой версии CRL? И любой из этих варинтов плох, к сожалению.

> Если
> на базе нет коннектов с какого-то хоста то это аларм, т.е
> мониторинг & контрол all-in-one
В каких-то масштабах это наверное даже работает и выглядит прикольно. Только всё вот это, на ровном месте требует создания и поддержания дополнительной инфраструктуры, которую нужно мейнтейнить, мониторить и на ноды которой тоже нужно как-то попадать. А в замен предлагается схема с дополнительной авторизацией, которая не понятно какие бонусы даёт и к тому же, в общем случае, не работает.
Ну и, возвращаясь к старту треда. Это вовсе не выглядит как "все проверки целиком на стороне целевого хоста ... без обращения к внешним службам". То, что можно построить бессмысленных велосипедов любой сложности никто и не спорит, так-то.:)

Ответить | Правка | Наверх | Cообщить модератору

23. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от Аноним (22), 21-Сен-21, 15:50

>> Тогда не понятно, чем это отличается от сейчас.
Сейчас о вас заботы нету. Будет.
Сначала сделаем надстройку
Потом её протащим как стандарт де-факто
Надстройка становится неотъемлемой частью проекта
Рулим проектом и его аудиторией
Сдохнет всё - не жалко, вложения минимальны, чужой проект сдох
Или получим прибыль, просто здорово
А то как же пользователи и без заботы?
Сейчас про OpenSSH, но для гугла это один из стандартных подходов

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

54. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от странадураков (?), 22-Сен-21, 12:44

> Сначала сделаем надстройку
> Потом её протащим как стандарт де-факто
> Надстройка становится неотъемлемой частью проекта
казалось бы, причём здесь всего-лишь новый нескучный инит, новый безопасный язык,.. новый....

Ответить | Правка | Наверх | Cообщить модератору

21. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от gogo (?), 21-Сен-21, 15:18

Что-то я не пойму, если таким сертом завладел злоумышленник и ты об этом знаешь, то что делать?
Из описания я не вижу, как можно заблокировать конкретный сертификат. Разве что только удалить ключи удостоверяющего центра.

Ответить | Правка | Наверх | Cообщить модератору

25. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от Аноним (25), 21-Сен-21, 16:21

Какой-то сраный велосипед.
1) отзыв сертов (об этом уже писали на форуме)
2) что делать, если захотим поменять доступ конкретному серту? Генерить новый серт ? Старый отзывать ?
И да, походу отзыв нужно делать на ВСЕХ хостах отдельно

Прикрутить LDAP к sshd в гугле не осилили, создают ведосипеды

Ответить | Правка | Наверх | Cообщить модератору

26. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Совсем не аноним (?), 21-Сен-21, 16:28

Зачем, когда есть FreeIPA или LDAP?

Ответить | Правка | Наверх | Cообщить модератору

29. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." –1 +/–

Сообщение от Аноним (29), 21-Сен-21, 16:42

Затем, чтобы не надо было иметь целый отдельный сервис, который надо обслуживать, следить за безопасность и доступностью, выписывать и распространять сертификаты. Позволяет пропустить бессмысленные телодвижения и проверить валидность пользователя прямо на хосте, без использования внешних ресурсов. Админам высоконагруженных локалхостов не понять.

Ответить | Правка | Наверх | Cообщить модератору

32. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Тфьу (?), 21-Сен-21, 17:09

но нужно следить за своим СА и за ЦРЛками, следить, чтобы они обновлялись своевременно на всех хостах.

Ответить | Правка | Наверх | Cообщить модератору

39. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от Аноним (39), 21-Сен-21, 19:24

А с LDAP не нужно что ли?

Ответить | Правка | Наверх | Cообщить модератору

28. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Аноним (29), 21-Сен-21, 16:38

Годнейшая штука, реально не хватает такой. Надеюсь её как можно скорее интегрируют сразу в OpenSSH.

Ответить | Правка | Наверх | Cообщить модератору

30. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от anonymous (??), 21-Сен-21, 16:42

openssh поддерживает x509. Нахрена тут нужен этот велосипед?

Ответить | Правка | Наверх | Cообщить модератору

35. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от Аноним (-), 21-Сен-21, 18:23

> Код проекта написан на языке Си
Переписать на руст, затем удалить и снова переписать. Возможно, тогда и станет безопасным.
// b.

Ответить | Правка | Наверх | Cообщить модератору

36. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Аноним (36), 21-Сен-21, 18:43

https://www.earth.li/~noodles/blog/2019/04/totp-auth.html
А что насчет SSH 2FA TOTP, все уже несекурно?)
Там либа от Гугла но она никак с ним не связана, никуда не стучит, просто генерирует числа на стороне сервера.
На стороне клиента можно использовать любой 2фа софт или Yubikey.

Ответить | Правка | Наверх | Cообщить модератору

37. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от AnonymPatient (?), 21-Сен-21, 18:59

>>Проверка на стороне хоста инициируется через вызов обработчика hiba-chk, прописанного в директиве AuthorizedPrincipalsCommand.
>>Данный обработчик декодирует интегрированные в сертификаты расширения и на их основе принимает решение о предоставлении или блокировании доступа.
>>Правила доступа определяются централизованно на уровне удостоверяющего центра (CA) и интегрируются в сертификаты на этапе их генерации.
Не озвучены пара фундументальных вещей:
- где можно записаться в бенефициары CA ?
- сколько сольдо будет стоить абонемент на 10-хостов ?

Ответить | Правка | Наверх | Cообщить модератору

38. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от ibaca (?), 21-Сен-21, 19:20

Нисколько, вот пример:
https://github.com/cloudtools/ssh-ca

Ответить | Правка | Наверх | Cообщить модератору

40. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Андрей (??), 21-Сен-21, 20:14

Хиба цэ шо то новое?

Ответить | Правка | Наверх | Cообщить модератору

41. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Анончик (?), 21-Сен-21, 20:40

SSH CA в другой руке

Ответить | Правка | Наверх | Cообщить модератору

48. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." –1 +/–

Сообщение от Атон (?), 21-Сен-21, 23:13

> Правила доступа определяются централизованно на уровне удостоверяющего центра (CA) и интегрируются в сертификаты на этапе их генерации.
владелец СА конечно гугл, будет брать деньги за каждый сертификат, гугл в любой момент может по своему желанию отозвать мой сертификат, или исключить из моего сертификата любой мой хост?
годно!

Ответить | Правка | Наверх | Cообщить модератору

49. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Анончик (?), 22-Сен-21, 00:31

>владелец СА конечно гугл
Да вас насильно тащат под крыло гугла ведь только гугл может быть CA.
Других то CA нет больше.

Ответить | Правка | Наверх | Cообщить модератору

60. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Атон (?), 22-Сен-21, 21:24

>>владелец СА конечно гугл
> Да вас насильно тащат под крыло гугла ведь только гугл может быть
> CA.
> Других то CA нет больше.
название - не имеет значения.
читай внимательно: СА выдает ПОЛЬЗОВАТЕЛЮ сертификат. пользователь с этим сертификатом коннектится к удаленному хосту. удаленный хост проверяет сертификат в СА выпустившем этот сертификат, и узнает какие права имеет этот пользователь на этом хосте.
сколько ты готов платить гуглу (+ всем остальным СА, раз ты такой умный) чтобы они _НЕ_ выпускали сертификаты разрешающие подключатся к твоим серверам?

Ответить | Правка | Наверх | Cообщить модератору

62. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Аноним (62), 23-Сен-21, 22:09

> сколько ты готов платить гуглу (+ всем остальным СА, раз ты такой умный) чтобы они _НЕ_ выпускали сертификаты разрешающие подключатся к твоим серверам?
Я лично нисколько, но как корпорация — тыщ 10 за SLA заплатил бы с порога. Правда, неясно куда деньги нести, сертификаты SSH не завязаны ни на какой публичный CA by design. Там даже опции такой нет, надо со своим CA приходить.

Ответить | Правка | Наверх | Cообщить модератору

63. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Атон (?), 24-Сен-21, 12:30

>> сколько ты готов платить гуглу (+ всем остальным СА, раз ты такой умный) чтобы они _НЕ_ выпускали сертификаты разрешающие подключатся к твоим серверам?
> Я лично нисколько, но как корпорация — тыщ 10 за SLA заплатил
> бы с порога. Правда, неясно куда деньги нести,
вот в каждый СА и нести.
по 10 тысяч
каждую неделю.

Ответить | Правка | Наверх | Cообщить модератору

50. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +1 +/–

Сообщение от Ivan_83 (ok), 22-Сен-21, 02:43

Осталось дождатся новостей когда там найдут дыру и будут входит по мастер ключу везде.

Ответить | Правка | Наверх | Cообщить модератору

52. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." –1 +/–

Сообщение от Аноним (36), 22-Сен-21, 09:40

Как работают ключи ssh тяжело погуглить, прежде чем такой бред писать?
Может еще найдут мастер пароль от всех ssh в мире? Мало ли.

Ответить | Правка | Наверх | Cообщить модератору

59. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Атон (?), 22-Сен-21, 21:16

> Как работают ключи ssh тяжело погуглить, прежде чем такой бред писать?
> Может еще найдут мастер пароль от всех ssh в мире? Мало ли.
осталось понять что это старые ключи работали по другому, а _НОВЫЕ_ будут вот так.

Ответить | Правка | Наверх | Cообщить модератору

55. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от 0x501D (?), 22-Сен-21, 16:09

Есть же PKIX-SSH

Ответить | Правка | Наверх | Cообщить модератору

57. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Kenneth (?), 22-Сен-21, 17:23

нашаHIBA.

Ответить | Правка | Наверх | Cообщить модератору

58. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от Аноним (58), 22-Сен-21, 17:28

Больше зондов от гугла=больше уязвимостей в том что и так уязвимо.

Ответить | Правка | Наверх | Cообщить модератору

61. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..." +/–

Сообщение от anonymous (??), 23-Сен-21, 12:04

Чего-то люди совсем уже поехали. Google опубликовал разработку и за это они хейтят Google. Нет бы форкнуть и исправить то, что не нравится; либо вообще проигнорировать новость, если им эта разработка не нужна (ибо ведь никуда не форсится). Но ведь нет, надо фантазировать, что это завязка на Google-вые CA и прочие теории заговора.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+10 +/–
Сообщение от Arcade (ok), 21-Сен-21, 12:53
Не понял чо нового по сравнению с SSH CA: вроде всё то же самое.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+2 +/–
	Сообщение от Crazy Alex (ok), 21-Сен-21, 13:12
	Я тмк понимаю, тут проще напихать какие-то произвольные признаки и по ним матчить
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+2 +/–
	Сообщение от Анто Нимно (?), 21-Сен-21, 13:17
	Ничего нового. CA, приносящий доход, уже существует. Оставалось просто соединить.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
Сообщение от нах.. (?), 21-Сен-21, 12:55
Яссно, еще один зонд. Буду знать врага в лицо и выпиливать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+9 +/–
	Сообщение от Crazy Alex (ok), 21-Сен-21, 13:09
	Ни хрена тебе не ясно. Что и откуда ты выпиливать собрался, если это отдельная приблуда, разворачиваемая владельцем инфраструктуры там, где ему надо?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	–3 +/–
	Сообщение от Анто Нимно (?), 21-Сен-21, 13:15
	Это на бабло развод в будущем. Есть конторы, торгующие сертами и пропри-прошивки с сертами... Профит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
	Сообщение от Аноним (22), 21-Сен-21, 15:42
	У ALPHABET не кислые дольки почти в каждом CA. Почему бы гуглу не возглавить openssh?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
	Сообщение от Тфьу (?), 21-Сен-21, 17:07
	никто не заставляет покупать платный сертификат, можно использовать свой СА
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	44. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
	Сообщение от Аноним (44), 21-Сен-21, 21:44
	Не можно, а нужно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
	Сообщение от кокпок (?), 21-Сен-21, 21:57
	Варианта использовать НЕ свой CA в данном случае нету, он всегда будет свой.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	13. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+2 +/–
	Сообщение от Аноним (13), 21-Сен-21, 13:19
	Будешь выпиливать отовсюду OpenSSH и ставить Telnet? Я слышал что где-то глубоко в недрах сиски практикуют так называемый "Telnet over SSL", отпишись когда попробуешь.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	15. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	–3 +/–
	Сообщение от нах... (?), 21-Сен-21, 13:57
	выпилил. телнет работает отлично
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от PnD (??), 21-Сен-21, 14:20
	Стесняюсь спросить (но спрошу). А telnetd запускаете из-под православного inetd (xinetd)? Или обернув б-мерзким systemd [Socket]? Так-то да. Чего ж не обойтись. Даже в ssl можно обернуть. Правда, есть нюанс: stderr так не получить в отдельном fd. Ой, а может он у вас на железках вроде cs2950? Тогда, конечно…
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от aa (?), 21-Сен-21, 13:57
	как будто для SSL под телнетом не нужны сертификаты/СА и всё такое
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	53. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
	Сообщение от Аноним (13), 22-Сен-21, 10:27
	Так же как OPENSSH, но человек хочет быть другим, не таким как все.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	–2 +/–
	Сообщение от Аноним (-), 21-Сен-21, 21:42
	Я вражескими поделками ваще не пользуюсь уже лет семь, чего и вам желаю. Вы будете улыбаться, слыша слово ... да и ваще все эти buzzwords. Вы же умны, так применяйте свой ум.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	46. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	–1 +/–
	Сообщение от кокпок (?), 21-Сен-21, 21:59
	А чем пользуетесь берестой и углем?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
	Сообщение от Прохожий (??), 22-Сен-21, 08:03
	Скрепы - наше всё.
	Ответить \| Правка \| К родителю #43 \| Наверх \| Cообщить модератору


	56. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от Аноним (-), 22-Сен-21, 17:04
	Правильно! Гугл давно перешёл все рамки приличия.
	Ответить \| Правка \| К родителю #43 \| Наверх \| Cообщить модератору

4. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+4 +/–
Сообщение от scor (ok), 21-Сен-21, 13:01
> все проверки целиком на стороне целевого хоста ... без обращения к внешним службам ага. Пока не понадобится отозвать какой-то сертификат. Тут и начнётся "здравствуй x509". Ну или CRL-ки переодически раскладывать на каждый хост. Тогда не понятно, чем это отличается от сейчас.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+2 +/–
	Сообщение от Crazy Alex (ok), 21-Сен-21, 13:08
	От сейчас - очень понятно, чем. Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и отработает. Или прибил признак какой-то - и нужным хостам задаёшь - пускать по сертификатам с данным значением данного признака. А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление их CRL ничем не хуже.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от scor (ok), 21-Сен-21, 13:14
	> Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и > отработает. Или просто не положил паблик пользователя на хост... > А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам > из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление > их CRL ничем не хуже. Т.е. нужно точно также ходить по всем хостам и что-то там править? Ну т.е. все теже проблемы, что и сейчас, только в новой обёртке и файлы по другому называются. Окай.:)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от Аноним (14), 21-Сен-21, 13:56
	Глобальная разница в том, что оаньше ты обходил все хосты, чтобы добавить и чтобы удалить. Тут можно обходить хосты только в случае незапланированного принудительного удаления. Плюс, скорее всего, как в OAuth2, подписи CA сделают короткоживущими, типа, пяти минут. В случае компрометации ключа, его блокируют на CA и через пять минут, когда на нем протухнет подпись, никто не сможет ее восстановить и автоматически ключ станет недействителен на всех хостах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от OpenEcho (?), 21-Сен-21, 16:31
	Все наоборот. Хосты бегают за обновой. Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если что есть к обнове, пикапают (и CRL в том числе). Если на базе нет коннектов с какого-то хоста то это аларм, т.е мониторинг & контрол all-in-one
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	34. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+2 +/–
	Сообщение от scor (ok), 21-Сен-21, 17:50
	> Все наоборот. Хосты бегают за обновой. > Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если > что есть к обнове, пикапают (и CRL в том числе). Это всё только на бумаге работает. В реальной жизни всё печальней обычно. Что делать хосту, если он не смог обновить CRL? Не пускать никого пока не обновит? Или пускать основываясь на старой версии CRL? И любой из этих варинтов плох, к сожалению. > Если > на базе нет коннектов с какого-то хоста то это аларм, т.е > мониторинг & контрол all-in-one В каких-то масштабах это наверное даже работает и выглядит прикольно. Только всё вот это, на ровном месте требует создания и поддержания дополнительной инфраструктуры, которую нужно мейнтейнить, мониторить и на ноды которой тоже нужно как-то попадать. А в замен предлагается схема с дополнительной авторизацией, которая не понятно какие бонусы даёт и к тому же, в общем случае, не работает. Ну и, возвращаясь к старту треда. Это вовсе не выглядит как "все проверки целиком на стороне целевого хоста ... без обращения к внешним службам". То, что можно построить бессмысленных велосипедов любой сложности никто и не спорит, так-то.:)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от Аноним (22), 21-Сен-21, 15:50
	>> Тогда не понятно, чем это отличается от сейчас. Сейчас о вас заботы нету. Будет. Сначала сделаем надстройку Потом её протащим как стандарт де-факто Надстройка становится неотъемлемой частью проекта Рулим проектом и его аудиторией Сдохнет всё - не жалко, вложения минимальны, чужой проект сдох Или получим прибыль, просто здорово А то как же пользователи и без заботы? Сейчас про OpenSSH, но для гугла это один из стандартных подходов
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	54. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от странадураков (?), 22-Сен-21, 12:44
	> Сначала сделаем надстройку > Потом её протащим как стандарт де-факто > Надстройка становится неотъемлемой частью проекта казалось бы, причём здесь всего-лишь новый нескучный инит, новый безопасный язык,.. новый....
	Ответить \| Правка \| Наверх \| Cообщить модератору

21. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
Сообщение от gogo (?), 21-Сен-21, 15:18
Что-то я не пойму, если таким сертом завладел злоумышленник и ты об этом знаешь, то что делать? Из описания я не вижу, как можно заблокировать конкретный сертификат. Разве что только удалить ключи удостоверяющего центра.
Ответить \| Правка \| Наверх \| Cообщить модератору

25. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
Сообщение от Аноним (25), 21-Сен-21, 16:21
Какой-то сраный велосипед. 1) отзыв сертов (об этом уже писали на форуме) 2) что делать, если захотим поменять доступ конкретному серту? Генерить новый серт ? Старый отзывать ? И да, походу отзыв нужно делать на ВСЕХ хостах отдельно Прикрутить LDAP к sshd в гугле не осилили, создают ведосипеды
Ответить \| Правка \| Наверх \| Cообщить модератору

26. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+/–
Сообщение от Совсем не аноним (?), 21-Сен-21, 16:28
Зачем, когда есть FreeIPA или LDAP?
Ответить \| Правка \| Наверх \| Cообщить модератору