Google tiene publicó el Código fuente del proyecto FALLA (Autorización basada en la identidad del host), que propone la implementación de un mecanismo de autorización adicional para organizar el acceso de los usuarios a través de SSH en relación con los hosts (verificando si se permite o no el acceso a un recurso específico cuando se usa la autenticación de clave pública). La integración con OpenSSH es previsto especificando el controlador HIBA en la directiva AuthorizedPrincipalsCommand en / etc / ssh / sshd_config. El código del proyecto está escrito en C y es repartido bajo la licencia BSD.
HIBA utiliza mecanismos de autenticación estándar basados en certificados OpenSSH para una gestión flexible y centralizada de la autorización del usuario con respecto a los hosts, pero no requiere cambios regulares en los archivos «claves_autorizadas» y «usuarios_autorizados» en el lado de los hosts a los que está conectado. En lugar de almacenar una lista de claves públicas válidas y condiciones de acceso en archivos autorizados (claves | usuarios), HIBA integra la información de vinculación del host directamente en los propios certificados. En particular, se proponen extensiones para los certificados de host y certificados de usuario que almacenan los parámetros del host y condiciones para otorgar acceso de usuario.
La verificación del lado del host se inicia llamando al controlador hiba-chk, que se especifica en la directiva AuthorizedPrincipalsCommand. Este manejador descifra las extensiones integradas en los certificados y, sobre esta base, toma una decisión sobre la concesión o el bloqueo del acceso. Las reglas de acceso se definen de forma centralizada a nivel de la autoridad de certificación (CA) y se integran en los certificados cuando se generan.
Del lado de la autoridad de certificación, hay una lista general de permisos disponibles (hosts a los que puede conectarse) y una lista de usuarios que pueden usar esos permisos. Se propuso la utilidad hiba-gen para generar certificados certificados con información de credenciales incorporada, y la funcionalidad necesaria para crear una autoridad de certificación se trasladó al script iba-ca.sh.
Durante la conexión del usuario, las credenciales especificadas en el certificado son confirmadas por la firma digital de la autoridad de certificación, lo que permite que todas las verificaciones se realicen íntegramente en el lado del host de destino al que se realiza la conexión, sin tener que contactar con externos. servicios. La lista de claves públicas de las autoridades de certificación que certifican los certificados SSH está especificada por la directiva TrustedUserCAKeys.
Además de la vinculación directa de usuarios a hosts, puede definir reglas de acceso más flexibles con HIBA. Por ejemplo, los hosts se pueden asociar con información como la ubicación y el tipo de servicio y, al definir las reglas de acceso de los usuarios, permitir conexiones a todos los hosts con un tipo de servicio específico oa hosts en una ubicación específica.
