The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов"  +/
Сообщение от opennews (ok), 21-Сен-21, 12:53 
Компания Google опубликовала исходные тексты проекта HIBA (Host Identity Based Authorization), предлагающего реализацию дополнительного механизма авторизации для организации доступа пользователей по SSH в привязке к хостам (проверки, разрешён или нет доступ к конкретному ресурсу при аутентификации по открытым ключам).  Интеграция с OpenSSH обеспечивается через указание обработчика HIBA в директиве AuthorizedPrincipalsCommand в /etc/ssh/sshd_config. Код проекта написан на языке Си и распространяется под лицензией BSD...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55841

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +10 +/
Сообщение от Arcade (ok), 21-Сен-21, 12:53 
Не понял чо нового по сравнению с SSH CA: вроде всё то же самое.
Ответить | Правка | Наверх | Cообщить модератору

7. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +2 +/
Сообщение от Crazy Alex (ok), 21-Сен-21, 13:12 
Я тмк понимаю, тут проще напихать какие-то произвольные признаки и по ним матчить
Ответить | Правка | Наверх | Cообщить модератору

11. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +2 +/
Сообщение от Анто Нимно (?), 21-Сен-21, 13:17 
Ничего нового. CA, приносящий доход, уже существует. Оставалось просто соединить.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от нах.. (?), 21-Сен-21, 12:55 
Яссно, еще один зонд. Буду знать врага в лицо и выпиливать.
Ответить | Правка | Наверх | Cообщить модератору

6. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +9 +/
Сообщение от Crazy Alex (ok), 21-Сен-21, 13:09 
Ни хрена тебе не ясно. Что и откуда ты выпиливать собрался, если это отдельная приблуда, разворачиваемая владельцем инфраструктуры там, где ему надо?
Ответить | Правка | Наверх | Cообщить модератору

10. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  –3 +/
Сообщение от Анто Нимно (?), 21-Сен-21, 13:15 
Это на бабло развод в будущем. Есть конторы, торгующие сертами и пропри-прошивки с сертами... Профит.
Ответить | Правка | Наверх | Cообщить модератору

22. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Аноним (22), 21-Сен-21, 15:42 
У ALPHABET не кислые дольки почти в каждом CA.
Почему бы гуглу не возглавить openssh?
Ответить | Правка | Наверх | Cообщить модератору

31. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Тфьу (?), 21-Сен-21, 17:07 
никто не заставляет покупать платный сертификат, можно использовать свой СА
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

44. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Аноним (44), 21-Сен-21, 21:44 
Не можно, а нужно.
Ответить | Правка | Наверх | Cообщить модератору

45. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от кокпок (?), 21-Сен-21, 21:57 
Варианта использовать НЕ свой CA в данном случае нету, он всегда будет свой.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

13. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +2 +/
Сообщение от Аноним (13), 21-Сен-21, 13:19 
Будешь выпиливать отовсюду OpenSSH и ставить Telnet? Я слышал что где-то глубоко в недрах сиски практикуют так называемый "Telnet over SSL", отпишись когда попробуешь.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

15. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  –3 +/
Сообщение от нах... (?), 21-Сен-21, 13:57 
выпилил. телнет работает отлично
Ответить | Правка | Наверх | Cообщить модератору

18. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от PnD (??), 21-Сен-21, 14:20 
Стесняюсь спросить (но спрошу).
А telnetd запускаете из-под православного inetd (xinetd)? Или обернув б-мерзким systemd [Socket]?

Так-то да. Чего ж не обойтись. Даже в ssl можно обернуть. Правда, есть нюанс: stderr так не получить в отдельном fd.

Ой, а может он у вас на железках вроде cs2950? Тогда, конечно…

Ответить | Правка | Наверх | Cообщить модератору

16. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от aa (?), 21-Сен-21, 13:57 
как будто для SSL под телнетом не нужны сертификаты/СА и всё такое
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

53. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Аноним (13), 22-Сен-21, 10:27 
Так же как OPENSSH, но человек хочет быть другим, не таким как все.
Ответить | Правка | Наверх | Cообщить модератору

43. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  –2 +/
Сообщение от Аноним (-), 21-Сен-21, 21:42 
Я вражескими поделками ваще не пользуюсь уже лет семь, чего и вам желаю. Вы будете улыбаться, слыша слово ... да и ваще все эти buzzwords. Вы же умны, так применяйте свой ум.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

46. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  –1 +/
Сообщение от кокпок (?), 21-Сен-21, 21:59 
А чем пользуетесь берестой и углем?
Ответить | Правка | Наверх | Cообщить модератору

51. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Прохожий (??), 22-Сен-21, 08:03 
Скрепы - наше всё.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

56. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от Аноним (-), 22-Сен-21, 17:04 
Правильно! Гугл давно перешёл все рамки приличия.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

4. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +4 +/
Сообщение от scor (ok), 21-Сен-21, 13:01 
> все проверки целиком на стороне целевого хоста ... без обращения к внешним службам

ага. Пока не понадобится отозвать какой-то сертификат. Тут и начнётся "здравствуй x509". Ну или CRL-ки переодически раскладывать на каждый хост. Тогда не понятно, чем это отличается от сейчас.

Ответить | Правка | Наверх | Cообщить модератору

5. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +2 +/
Сообщение от Crazy Alex (ok), 21-Сен-21, 13:08 
От сейчас - очень понятно, чем. Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и отработает. Или прибил признак какой-то - и нужным хостам задаёшь - пускать по сертификатам с данным значением данного признака.

А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление их CRL ничем не хуже.

Ответить | Правка | Наверх | Cообщить модератору

8. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от scor (ok), 21-Сен-21, 13:14 
> Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и
> отработает.

Или просто не положил паблик пользователя на хост...

> А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам
> из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление
> их CRL ничем не хуже.

Т.е. нужно точно также ходить по всем хостам и что-то там править? Ну т.е. все теже проблемы, что и сейчас, только в новой обёртке и файлы по другому называются. Окай.:)

Ответить | Правка | Наверх | Cообщить модератору

14. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от Аноним (14), 21-Сен-21, 13:56 
Глобальная разница в том, что оаньше ты обходил все хосты, чтобы добавить и чтобы удалить. Тут можно обходить хосты только в случае незапланированного принудительного удаления.


Плюс, скорее всего, как в OAuth2, подписи CA сделают короткоживущими, типа, пяти минут. В случае компрометации ключа, его блокируют на CA и через пять минут, когда на нем протухнет подпись, никто не сможет ее восстановить и автоматически ключ станет недействителен на всех хостах.

Ответить | Правка | Наверх | Cообщить модератору

27. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от OpenEcho (?), 21-Сен-21, 16:31 
Все наоборот. Хосты бегают за обновой.
Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если что есть к обнове, пикапают (и CRL в том числе). Если на базе нет коннектов с какого-то хоста то это аларм, т.е мониторинг & контрол all-in-one
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

34. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +2 +/
Сообщение от scor (ok), 21-Сен-21, 17:50 
> Все наоборот. Хосты бегают за обновой.
> Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если
> что есть к обнове, пикапают (и CRL в том числе).

Это всё только на бумаге работает. В реальной жизни всё печальней обычно. Что делать хосту, если он не смог обновить CRL? Не пускать никого пока не обновит? Или пускать основываясь на старой версии CRL? И любой из этих варинтов плох, к сожалению.


> Если
> на базе нет коннектов с какого-то хоста то это аларм, т.е
> мониторинг & контрол all-in-one

В каких-то масштабах это наверное даже работает и выглядит прикольно. Только всё вот это, на ровном месте требует создания и поддержания дополнительной инфраструктуры, которую нужно мейнтейнить, мониторить и на ноды которой тоже нужно как-то попадать. А в замен предлагается схема с дополнительной авторизацией, которая не понятно какие бонусы даёт и к тому же, в общем случае, не работает.

Ну и, возвращаясь к старту треда. Это вовсе не выглядит как "все проверки целиком на стороне целевого хоста ... без обращения к внешним службам". То, что можно построить бессмысленных велосипедов любой сложности никто и не спорит, так-то.:)

Ответить | Правка | Наверх | Cообщить модератору

23. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от Аноним (22), 21-Сен-21, 15:50 
>> Тогда не понятно, чем это отличается от сейчас.

Сейчас о вас заботы нету. Будет.

Сначала сделаем надстройку
Потом её протащим как стандарт де-факто
Надстройка становится неотъемлемой частью проекта
Рулим проектом и его аудиторией
Сдохнет всё - не жалко, вложения минимальны, чужой проект сдох
Или получим прибыль, просто здорово

А то как же пользователи и без заботы?

Сейчас про OpenSSH, но для гугла это один из стандартных подходов

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

54. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от странадураков (?), 22-Сен-21, 12:44 
> Сначала сделаем надстройку
> Потом её протащим как стандарт де-факто
> Надстройка становится неотъемлемой частью проекта

казалось бы, причём здесь всего-лишь новый нескучный инит, новый безопасный язык,.. новый....

Ответить | Правка | Наверх | Cообщить модератору

21. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от gogo (?), 21-Сен-21, 15:18 
Что-то я не пойму, если таким сертом завладел злоумышленник и ты об этом знаешь, то что делать?
Из описания я не вижу, как можно заблокировать конкретный сертификат. Разве что только удалить ключи удостоверяющего центра.
Ответить | Правка | Наверх | Cообщить модератору

25. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от Аноним (25), 21-Сен-21, 16:21 
Какой-то сраный велосипед.
1) отзыв сертов (об этом уже писали на форуме)
2) что делать, если захотим поменять доступ конкретному серту? Генерить новый серт ? Старый отзывать ?

И да, походу отзыв нужно делать на ВСЕХ хостах отдельно


Прикрутить LDAP к sshd в гугле не осилили, создают ведосипеды

Ответить | Правка | Наверх | Cообщить модератору

26. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Совсем не анонимemail (?), 21-Сен-21, 16:28 
Зачем, когда есть FreeIPA или LDAP?
Ответить | Правка | Наверх | Cообщить модератору

29. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  –1 +/
Сообщение от Аноним (29), 21-Сен-21, 16:42 
Затем, чтобы не надо было иметь целый отдельный сервис, который надо обслуживать, следить за безопасность и доступностью, выписывать и распространять сертификаты. Позволяет пропустить бессмысленные телодвижения и проверить валидность пользователя прямо на хосте, без использования внешних ресурсов. Админам высоконагруженных локалхостов не понять.
Ответить | Правка | Наверх | Cообщить модератору

32. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Тфьу (?), 21-Сен-21, 17:09 
но нужно следить за своим СА и за ЦРЛками, следить, чтобы они обновлялись своевременно на всех хостах.
Ответить | Правка | Наверх | Cообщить модератору

39. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от Аноним (39), 21-Сен-21, 19:24 
А с LDAP не нужно что ли?
Ответить | Правка | Наверх | Cообщить модератору

28. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Аноним (29), 21-Сен-21, 16:38 
Годнейшая штука, реально не хватает такой. Надеюсь её как можно скорее интегрируют сразу в OpenSSH.
Ответить | Правка | Наверх | Cообщить модератору

30. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от anonymous (??), 21-Сен-21, 16:42 
openssh поддерживает x509. Нахрена тут нужен этот велосипед?
Ответить | Правка | Наверх | Cообщить модератору

35. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от Аноним (-), 21-Сен-21, 18:23 
> Код проекта написан на языке Си

Переписать на руст, затем удалить и снова переписать. Возможно, тогда и станет безопасным.

// b.

Ответить | Правка | Наверх | Cообщить модератору

36. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Аноним (36), 21-Сен-21, 18:43 
https://www.earth.li/~noodles/blog/2019/04/totp-auth.html

А что насчет SSH 2FA TOTP, все уже несекурно?)
Там либа от Гугла но она никак с ним не связана, никуда не стучит, просто генерирует числа на стороне сервера.
На стороне клиента можно использовать любой 2фа софт или Yubikey.

Ответить | Правка | Наверх | Cообщить модератору

37. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от AnonymPatient (?), 21-Сен-21, 18:59 
>>Проверка на стороне хоста инициируется через вызов обработчика hiba-chk, прописанного в директиве AuthorizedPrincipalsCommand.
>>Данный обработчик декодирует интегрированные в сертификаты расширения и на их основе принимает решение о предоставлении или блокировании доступа.
>>Правила доступа определяются централизованно на уровне удостоверяющего центра (CA) и интегрируются в сертификаты на этапе их генерации.

Не озвучены пара фундументальных вещей:
- где можно записаться в бенефициары CA ?
- сколько сольдо будет стоить абонемент на 10-хостов ?

Ответить | Правка | Наверх | Cообщить модератору

38. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от ibaca (?), 21-Сен-21, 19:20 
Нисколько, вот пример:
https://github.com/cloudtools/ssh-ca
Ответить | Правка | Наверх | Cообщить модератору

40. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Андрей (??), 21-Сен-21, 20:14 
Хиба цэ шо то новое?
Ответить | Правка | Наверх | Cообщить модератору

41. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Анончик (?), 21-Сен-21, 20:40 
SSH CA в другой руке
Ответить | Правка | Наверх | Cообщить модератору

48. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  –1 +/
Сообщение от Атон (?), 21-Сен-21, 23:13 
> Правила доступа определяются централизованно на уровне удостоверяющего центра (CA) и интегрируются в сертификаты на этапе их генерации.

владелец СА конечно гугл, будет брать деньги за каждый сертификат, гугл в любой момент может по своему желанию отозвать мой сертификат, или исключить из моего сертификата любой мой хост?

годно!

Ответить | Правка | Наверх | Cообщить модератору

49. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Анончик (?), 22-Сен-21, 00:31 
>владелец СА конечно гугл

Да вас насильно тащат под крыло гугла ведь только гугл может быть CA.
Других то CA нет больше.

Ответить | Правка | Наверх | Cообщить модератору

60. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Атон (?), 22-Сен-21, 21:24 
>>владелец СА конечно гугл
> Да вас насильно тащат под крыло гугла ведь только гугл может быть
> CA.
> Других то CA нет больше.

название - не имеет значения.

читай внимательно: СА выдает ПОЛЬЗОВАТЕЛЮ сертификат. пользователь с этим сертификатом коннектится к удаленному хосту. удаленный хост проверяет сертификат в СА выпустившем этот сертификат, и узнает какие права имеет этот пользователь на этом хосте.

сколько ты готов платить гуглу (+ всем остальным СА, раз ты такой умный) чтобы они _НЕ_ выпускали сертификаты разрешающие подключатся к твоим серверам?


Ответить | Правка | Наверх | Cообщить модератору

62. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Аноним (62), 23-Сен-21, 22:09 
> сколько ты готов платить гуглу (+ всем остальным СА, раз ты такой умный) чтобы они _НЕ_ выпускали сертификаты разрешающие подключатся к твоим серверам?

Я лично нисколько, но как корпорация — тыщ 10 за SLA заплатил бы с порога. Правда, неясно куда деньги нести, сертификаты SSH не завязаны ни на какой публичный CA by design. Там даже опции такой нет, надо со своим CA приходить.

Ответить | Правка | Наверх | Cообщить модератору

63. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Атон (?), 24-Сен-21, 12:30 
>> сколько ты готов платить гуглу (+ всем остальным СА, раз ты такой умный) чтобы они _НЕ_ выпускали сертификаты разрешающие подключатся к твоим серверам?
> Я лично нисколько, но как корпорация — тыщ 10 за SLA заплатил
> бы с порога. Правда, неясно куда деньги нести,

вот в каждый СА и нести.
по 10 тысяч
каждую неделю.

Ответить | Правка | Наверх | Cообщить модератору

50. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +1 +/
Сообщение от Ivan_83 (ok), 22-Сен-21, 02:43 
Осталось дождатся новостей когда там найдут дыру и будут входит по мастер ключу везде.
Ответить | Правка | Наверх | Cообщить модератору

52. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  –1 +/
Сообщение от Аноним (36), 22-Сен-21, 09:40 
Как работают ключи ssh тяжело погуглить, прежде чем такой бред писать?
Может еще найдут мастер пароль от всех ssh в мире? Мало ли.
Ответить | Правка | Наверх | Cообщить модератору

59. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Атон (?), 22-Сен-21, 21:16 
> Как работают ключи ssh тяжело погуглить, прежде чем такой бред писать?
> Может еще найдут мастер пароль от всех ssh в мире? Мало ли.

осталось понять что это старые ключи работали по другому, а _НОВЫЕ_ будут вот так.

Ответить | Правка | Наверх | Cообщить модератору

55. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от 0x501D (?), 22-Сен-21, 16:09 
Есть же PKIX-SSH
Ответить | Правка | Наверх | Cообщить модератору

57. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Kenneth (?), 22-Сен-21, 17:23 
нашаHIBA.
Ответить | Правка | Наверх | Cообщить модератору

58. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от Анонимemail (58), 22-Сен-21, 17:28 
Больше зондов от гугла=больше уязвимостей в том что и так уязвимо.
Ответить | Правка | Наверх | Cообщить модератору

61. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."  +/
Сообщение от anonymous (??), 23-Сен-21, 12:04 
Чего-то люди совсем уже поехали. Google опубликовал разработку и за это они хейтят Google. Нет бы форкнуть и исправить то, что не нравится; либо вообще проигнорировать новость, если им эта разработка не нужна (ибо ведь никуда не форсится). Но ведь нет, надо фантазировать, что это завязка на Google-вые CA и прочие теории заговора.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру