Fa pocs dies Google va donar a conèixer mitjançant una publicació de bloc la notícia l'alliberament de la font d'el projecte Hiba (Host Identity Based Authorization), que proposa la implementació d'un mecanisme d'autorització addicional per organitzar l'accés dels usuaris a través de SSH en relació amb els hosts (comprovant si es permet o no l'accés a un recurs específic a l'realitzar l'autenticació utilitzant claus públiques).
La integració amb OpenSSH es proporciona especificant el controlador Hiba a la directiva AuthorizedPrincipalsCommand a / etc / ssh / sshd_config. El codi de el projecte està escrit en C i es distribueix sota la llicència BSD.
sobre Hiba
Hiba utilitza mecanismes d'autenticació estàndard basats en certificats OpenSSH per a una gestió flexible i centralitzada de l'autorització d'l'usuari en relació amb els hosts, però no requereix canvis periòdics en els arxius authorized_keys i authorized_users al costat dels hosts als quals està connectat.
En lloc d'emmagatzemar una llista de claus públiques vàlides i condicions d'accés a arxius autoritzats (claus | usuaris), Hiba integra la informació d'enllaç de l'host directament en els propis certificats. En particular, s'han proposat extensions per a certificats de sistema principal i certificats d'usuari, que emmagatzemen paràmetres d'amfitrió i condicions per atorgar accés d'usuari.
Si bé OpenSSH proporciona molts mètodes, des d'una simple contrasenya fins a l'ús de certificats, cada un d'ells per si sol planteja reptes.
Comencem per aclarir la diferència entre autenticació i autorització. La primera és una manera de demostrar que vostè és l'entitat que diu ser. En general, això s'aconsegueix indicant la contrasenya secreta associada al vostre compte o signant un desafiament que demostri que posseeix la clau privada corresponent a una clau pública. L'autorització és una forma de decidir si una entitat té permís o no per accedir a un recurs, generalment es realitza després que ocorre l'autenticació.
La verificació de la banda de l'amfitrió s'inicia trucant a el controlador hiba-chk especificat en la directiva AuthorizedPrincipalsCommand. aquest gestor descodifica les extensions integrades en els certificats i, basant-se en elles, pren la decisió d'atorgar o bloquejar l'accés. Les regles d'accés es defineixen de forma centralitzada a nivell de l'autoritat de certificació (CA) i s'integren en els certificats en l'etapa de la seva generació.
A la banda de el centre de certificació, hi ha una llista general de permisos disponibles (Hosts als quals pot connectar-se) i una llista d'usuaris que poden usar aquests permisos. S'ha proposat la utilitat hiba-gen per generar certificats amb informació integrada sobre permisos, i la funcionalitat necessària per crear una autoritat de certificació s'ha traslladat a l'script hiba-ca.sh.
Durant la connexió de l'usuari, les credencials especificades en el certificat són confirmades per la signatura digital de l'autoritat de certificació, el que permet que totes les verificacions es realitzin íntegrament en el costat de l'host de destinació a què es realitza la connexió, sense contactar amb serveis externs. La llista de claus públiques de la CA que certifica els certificats SSH s'especifica mitjançant la directiva TrustedUserCAKeys.
Hiba defineix dues extensions per als certificats SSH:
La identitat Hiba, adjunta als certificats d'amfitrió, enumera les propietats que defineixen a aquest host. S'utilitzaran com a criteri per a atorgar accés.
La concessió de Hiba, adjunta als certificats d'usuari, enumera les restriccions que un host ha de complir perquè se li concedeixi l'accés.
A més de la vinculació directa d'usuaris a hosts, Hiba permet definir regles d'accés més flexibles. Per exemple, els hosts es poden associar amb informació com la ubicació i el tipus de servei, i a l'definir les regles d'accés dels usuaris, permetre connexions a tots els hosts amb un tipus de servei determinat o als hosts en una ubicació específica.
Finalment si estàs interessat en conèixer més a l'respecte sobre la nota, pots consultar els detalls en el següent enllaç.