Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов, opennews (ok), 21-Сен-21, (0) [смотреть все] Не понял чо нового по сравнению с SSH CA вроде всё то же самое , Arcade (ok), 12:53 , 21-Сен-21, (1) +10 // Я тмк понимаю, тут проще напихать какие-то произвольные признаки и по ним матчит, Crazy Alex (ok), 13:12 , 21-Сен-21, (7) +2 Ничего нового CA, приносящий доход, уже существует Оставалось просто соединить, Анто Нимно (?), 13:17 , 21-Сен-21, (11) +2 Яссно, еще один зонд Буду знать врага в лицо и выпиливать , нах.. (?), 12:55 , 21-Сен-21, (2) // Ни хрена тебе не ясно Что и откуда ты выпиливать собрался, если это отдельная п, Crazy Alex (ok), 13:09 , 21-Сен-21, (6) +9 // Это на бабло развод в будущем Есть конторы, торгующие сертами и пропри-прошивки, Анто Нимно (?), 13:15 , 21-Сен-21, (10) –3 // У ALPHABET не кислые дольки почти в каждом CA Почему бы гуглу не возглавить open, Аноним (22), 15:42 , 21-Сен-21, (22) никто не заставляет покупать платный сертификат, можно использовать свой СА, Тфьу (?), 17:07 , 21-Сен-21, (31) Не можно, а нужно , Аноним (44), 21:44 , 21-Сен-21, (44) Варианта использовать НЕ свой CA в данном случае нету, он всегда будет свой , кокпок (?), 21:57 , 21-Сен-21, (45) Будешь выпиливать отовсюду OpenSSH и ставить Telnet Я слышал что где-то глубоко, Аноним (13), 13:19 , 21-Сен-21, (13) +2 // выпилил телнет работает отлично, нах... (?), 13:57 , 21-Сен-21, (15) –3 // Стесняюсь спросить но спрошу А telnetd запускаете из-под православного inetd , PnD (??), 14:20 , 21-Сен-21, (18) +1 как будто для SSL под телнетом не нужны сертификаты СА и всё такое, aa (?), 13:57 , 21-Сен-21, (16) +1 // Так же как OPENSSH, но человек хочет быть другим, не таким как все , Аноним (13), 10:27 , 22-Сен-21, (53) Я вражескими поделками ваще не пользуюсь уже лет семь, чего и вам желаю Вы буде, Аноним (-), 21:42 , 21-Сен-21, (43) –2 // А чем пользуетесь берестой и углем , кокпок (?), 21:59 , 21-Сен-21, (46) –1 Скрепы - наше всё , Прохожий (??), 08:03 , 22-Сен-21, (51) Правильно Гугл давно перешёл все рамки приличия , Аноним (-), 17:04 , 22-Сен-21, (56) +1 ага Пока не понадобится отозвать какой-то сертификат Тут и начнётся здравству, scor (ok), 13:01 , 21-Сен-21, (4) +4 // От сейчас - очень понятно, чем Ты забил в сертификат годен для подключения к х, Crazy Alex (ok), 13:08 , 21-Сен-21, (5) +2 // Или просто не положил паблик пользователя на хост Т е нужно точно также ходит, scor (ok), 13:14 , 21-Сен-21, (8) +1   // Глобальная разница в том, что оаньше ты обходил все хосты, чтобы добавить и чтоб, Аноним (14), 13:56 , 21-Сен-21, (14) +1   Все наоборот Хосты бегают за обновой Хосты переодически шлют GraphQL запрос на , OpenEcho (?), 16:31 , 21-Сен-21, (27) +1   Это всё только на бумаге работает В реальной жизни всё печальней обычно Что де, scor (ok), 17:50 , 21-Сен-21, (34) +2   Сейчас о вас заботы нету Будет Сначала сделаем надстройкуПотом её протащим как, Аноним (22), 15:50 , 21-Сен-21, (23) +1 // казалось бы, причём здесь всего-лишь новый нескучный инит, новый безопасный язык, странадураков (?), 12:44 , 22-Сен-21, (54) +1 Что-то я не пойму, если таким сертом завладел злоумышленник и ты об этом знаешь,, gogo (?), 15:18 , 21-Сен-21, (21) Какой-то сраный велосипед 1 отзыв сертов об этом уже писали на форуме 2 что, Аноним (25), 16:21 , 21-Сен-21, (25) +1 Зачем, когда есть FreeIPA или LDAP , Совсем не аноним (?), 16:28 , 21-Сен-21, (26) // Затем, чтобы не надо было иметь целый отдельный сервис, который надо обслуживать, Аноним (29), 16:42 , 21-Сен-21, (29) –1 // но нужно следить за своим СА и за ЦРЛками, следить, чтобы они обновлялись своевр, Тфьу (?), 17:09 , 21-Сен-21, (32) // А с LDAP не нужно что ли , Аноним (39), 19:24 , 21-Сен-21, (39) +1 Годнейшая штука, реально не хватает такой Надеюсь её как можно скорее интегриру, Аноним (29), 16:38 , 21-Сен-21, (28) openssh поддерживает x509 Нахрена тут нужен этот велосипед , anonymous (??), 16:42 , 21-Сен-21, (30) +1 Переписать на руст, затем удалить и снова переписать Возможно, тогда и станет б, Аноним (-), 18:23 , 21-Сен-21, (35) +1 https www earth li noodles blog 2019 04 totp-auth htmlА что насчет SSH 2FA TO, Аноним (36), 18:43 , 21-Сен-21, (36) Не озвучены пара фундументальных вещей - где можно записаться в бенефициары CA , AnonymPatient (?), 18:59 , 21-Сен-21, (37) // Нисколько, вот пример https github com cloudtools ssh-ca, ibaca (?), 19:20 , 21-Сен-21, (38) Хиба цэ шо то новое , Андрей (??), 20:14 , 21-Сен-21, (40) // SSH CA в другой руке, Анончик (?), 20:40 , 21-Сен-21, (41) владелец СА конечно гугл, будет брать деньги за каждый сертификат, гугл в любой , Атон (?), 23:13 , 21-Сен-21, (48) –1 // Да вас насильно тащат под крыло гугла ведь только гугл может быть CA Других то C, Анончик (?), 00:31 , 22-Сен-21, (49) // название - не имеет значения читай внимательно СА выдает ПОЛЬЗОВАТЕЛЮ сертифика, Атон (?), 21:24 , 22-Сен-21, (60) // Я лично нисколько, но как корпорация 8212 тыщ 10 за SLA заплатил бы с порога , Аноним (62), 22:09 , 23-Сен-21, (62) вот в каждый СА и нести по 10 тысяч каждую неделю , Атон (?), 12:30 , 24-Сен-21, (63) Осталось дождатся новостей когда там найдут дыру и будут входит по мастер ключу , Ivan_83 (ok), 02:43 , 22-Сен-21, (50) +1 // Как работают ключи ssh тяжело погуглить, прежде чем такой бред писать Может еще , Аноним (36), 09:40 , 22-Сен-21, (52) –1 // осталось понять что это старые ключи работали по другому, а _НОВЫЕ_ будут вот та, Атон (?), 21:16 , 22-Сен-21, (59) Есть же PKIX-SSH, 0x501D (?), 16:09 , 22-Сен-21, (55) нашаHIBA , Kenneth (?), 17:23 , 22-Сен-21, (57) Больше зондов от гугла больше уязвимостей в том что и так уязвимо , Аноним (58), 17:28 , 22-Сен-21, (58) Чего-то люди совсем уже поехали Google опубликовал разработку и за это они хейт, anonymous (??), 12:04 , 23-Сен-21, (61) 1,2,4,21,25,26,28,30,35,36,37,40,48,50,55,57,58,61

Сообщения

[Сортировка по времени | RSS]

	8. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от scor (ok), 21-Сен-21, 13:14
	> Ты забил в сертификат "годен для подключения к хостам a, b, c" - и так оно и > отработает. Или просто не положил паблик пользователя на хост... > А отзыв - не страшнее, чем сейчас. Сейчас надо по всем хостам > из всех authorized_keys выкинуть соответствующие записи, автоматическиое обновление > их CRL ничем не хуже. Т.е. нужно точно также ходить по всем хостам и что-то там править? Ну т.е. все теже проблемы, что и сейчас, только в новой обёртке и файлы по другому называются. Окай.:)
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от Аноним (14), 21-Сен-21, 13:56
	Глобальная разница в том, что оаньше ты обходил все хосты, чтобы добавить и чтобы удалить. Тут можно обходить хосты только в случае незапланированного принудительного удаления. Плюс, скорее всего, как в OAuth2, подписи CA сделают короткоживущими, типа, пяти минут. В случае компрометации ключа, его блокируют на CA и через пять минут, когда на нем протухнет подпись, никто не сможет ее восстановить и автоматически ключ станет недействителен на всех хостах.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+1 +/–
	Сообщение от OpenEcho (?), 21-Сен-21, 16:31
	Все наоборот. Хосты бегают за обновой. Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если что есть к обнове, пикапают (и CRL в том числе). Если на базе нет коннектов с какого-то хоста то это аларм, т.е мониторинг & контрол all-in-one
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	34. "Google опубликовал HIBA, надстройку над OpenSSH для авториза..."	+2 +/–
	Сообщение от scor (ok), 21-Сен-21, 17:50
	> Все наоборот. Хосты бегают за обновой. > Хосты переодически шлют GraphQL запрос на "базу" со своим состоянием и если > что есть к обнове, пикапают (и CRL в том числе). Это всё только на бумаге работает. В реальной жизни всё печальней обычно. Что делать хосту, если он не смог обновить CRL? Не пускать никого пока не обновит? Или пускать основываясь на старой версии CRL? И любой из этих варинтов плох, к сожалению. > Если > на базе нет коннектов с какого-то хоста то это аларм, т.е > мониторинг & контрол all-in-one В каких-то масштабах это наверное даже работает и выглядит прикольно. Только всё вот это, на ровном месте требует создания и поддержания дополнительной инфраструктуры, которую нужно мейнтейнить, мониторить и на ноды которой тоже нужно как-то попадать. А в замен предлагается схема с дополнительной авторизацией, которая не понятно какие бонусы даёт и к тому же, в общем случае, не работает. Ну и, возвращаясь к старту треда. Это вовсе не выглядит как "все проверки целиком на стороне целевого хоста ... без обращения к внешним службам". То, что можно построить бессмысленных велосипедов любой сложности никто и не спорит, так-то.:)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема