Компания Cloudflare представила инструментарий opkssh (OpenPubkey SSH), позволяющий интегрировать в OpenSSH средства централизованной аутентификации с возможностью входа через провайдеров OpenID Connect. При помощи opkssh можно избавиться от ручной работы по управлению и настройке SSH-ключей, а также организовать подключение к серверу с любых хостов, без необходимости создания закрытых ключей на каждом клиентском компьютере и без ручного копирования открытых ключей на сервер. Для подключения достаточно выполнить на сервере привязку к учётной записи у провайдера OpenID. Код инструментария написан на языке Go и распространяется под лицензией Apache 2.0...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62952
Действительно, почему бы и нет, выглядит секурно!
>проверит российские сервисы и операторов связи на использование иностранной серверной инфраструктуры
Дэвид, перелогинься.
Особенно "Для подключения достаточно выполнить на сервере привязку к учётной записи у провайдера OpenID."
И все твои сервера там.
Если рабочие - многие и так там. Azure.
Для личных можно всё нормально настроить: ключик, ip, mac и т.п.
это тонкий или не тонкий троллинг, я не разбираюсь, подскажите, пожалуйста
ненуачо, https они уже выключили для половины интернета
Секурно у чужого дяди ?)))
Почему у чужого? Внутри компании же разворачивается та же freeipa и погнали.
На FreeIPA и так можно настроить OpenID по ssh без стороннего ПО.
А надо наоборот — ssh по openid.
Вот она сила опенсорса!
Компании с радостью делятся своими наработками.
Это не они делятся, а ты доступом к своему серверу. Где хостится это OpenID и в чьей юрисдикции?
Да хоть свой OpenID сервер ставь и в своей юрисдикции держи
В чём смысл ставить ещё какой-то мутный чужой код на свой сервер, если всё делается штатными средствами: вместо файла opk/auth_id используя ssh/authorized_keys... Тем более, что opk/auth_id открыто светит аккаунтами, а утечка второго вообще ничего не даёт.
Ну пока у тебя один локалхост, то действительно не нужно это всё, можно «штатными средствами» обойтись. А где хост не локал и их сильно больше одного, там и OpenID уже развёрнут и работает. Да хоть тот же AD, например.
Вы менпейдж OpenSSH вообще читали? Там специально для вас уже давно есть сертификаты и возможность указать ключи как CA. Если кто-то при подключении покажет сертификат, подписанный данным CA, сервер даст залогиниться по заранее не занесённому в сервак ключу. В сертах можно и время действия настроить, и разрешения повесить.Сабж же просто паразитирует на уже существующей инфраструктуре, пытаясь пропихнуть какую-то мутную схему хранения ключей.
Угу. Вот только решения, способного налету проводить аутентификацию пользователя, выписывать ему этот самый short-lived сертификат и добавлять ключик в ssh-агент у них нет. У всяких hashicorp с 1password есть, а у этих уот - нёма. И написать за столько лет - лапки.
Step и StepCA есть, но они всё равно требуют костылей для интеграции с SSO. А без SSO это всё не особо надо: ключи можно и скриптом раскидать, а юзерам выдать юбикеи, чтобы пароли у ключей не удаляли. IT-отдел только будет недоволен: заниматься менеджментом юсб-свистульки размером с ноготь та ещё обезьянья работа.
> Step и StepCA есть, но они всё равно требуют костылей для интеграции
> с SSO. А без SSO это всё не особо надо: ключи
> можно и скриптом раскидать, а юзерам выдать юбикеи, чтобы пароли у
> ключей не удаляли. IT-отдел только будет недоволен: заниматься менеджментом юсб-свистульки
> размером с ноготь та ещё обезьянья работа.Не-не-не, спасибо - я с rutoken'ами для шифрования жестких дисков ноутбуков напрыгался, "эмпирический опыт"(тм) говорит, что оно мне не надь под тираж.
У нас примерно 2000 человек по всему миру юбикеями пользуется каждый день для доступа к инфре, и большинство совсем не админы — девелоперы разной стадии развития. Вообще неплохо, но люди как-то умудряются эти ключи периодически терять и ломать. IT-отдел иногда ноет от этого, но альтернативные варианты их не устроили ещё больше. Рутокены, возможно, просто как продукт так себе. Свистульку в юсб сунуть это только треть всей истории. Сервис вокруг свистульки нужен, и, главное, доверие вендору, что вообще не решается техническими способами.
> У нас примерно 2000 человек по всему миру юбикеями пользуется каждый день
> для доступа к инфре, и большинство совсем не админы — девелоперы
> разной стадии развития. Вообще неплохо, но люди как-то умудряются эти ключи
> периодически терять и ломать. IT-отдел иногда ноет от этого, но альтернативные
> варианты их не устроили ещё больше. Рутокены, возможно, просто как продукт
> так себе. Свистульку в юсб сунуть это только треть всей истории.
> Сервис вокруг свистульки нужен, и, главное, доверие вендору, что вообще не
> решается техническими способами.Ну, у меня 1000+ было - и это был ад на всех стадиях, от рассчета фактической потребности через бюджетирование (И нет, в 2016 обосновать, что ЭТО - расходка у меня не получилось) к деплою (Крипто-прошный УЦ, м-мммм!) и в эксплуатацию...
Теряли, ломали, сжигали, забывали пин-код, менялись (!) и черте-что еще. А так, как ноуты в то время частенько выдавали под командировки - звиздюли были ЭПИЧЕСКИЕ
> менялись+100500
И 2 чая этому господину.И лучше прописывать в должностной наказание за это - расстрелом через повешение в туалете !
Вы серьёзно? Это баш скрипт на пару сотен строк. Вы настолько неуверены в своих способностях сделать что-то настолько простое правильно?
> Вы серьёзно? Это баш скрипт на пару сотен строк. Вы настолько неуверены
> в своих способностях сделать что-то настолько простое правильно?А давайте вы его мне напишете, а я вам денег заплачу, М?
Баш-скрипт на пару сотен строк без бэкенда на ещё пару тысяч и не на баше в реальной инфраструктуре с реальными пользователями, автоматизацией, легаси, и требованиями регуляторов не заработал почему-то. То ли потому, что жизнь чуточку сложнее, чем фантазии анонима, то ли потому, что сама проблема не такая простая, как кажется на первый взгляд, то ли бог знает ещё почему.
> давно есть сертификаты и возможность указать ключи как CAЕсть, есть, и пользуемся давно. И всё равно нужен костыль чтобы выдавать сертификаты ключам, и его надо как-то ещё отдельно обкостылить чтобы работал через корпоративный SSO, и пошло-поехало.
StepCA немного облегчает жизнь, но не настолько, чтобы писать об этом родителям. Сабж предлагает универсальное решение без самописанных костылей. Для меня это большой плюс, к тому же Клаудфлер наш вендор уже четыре года как и только положительные впечатления, Деллу, Cisco и Juniper поучиться бы у них клиентов облизывать (держу в курсе). Какие-то минусы от выбрасывания наших неповторимых костылей будут?> паразитирует на уже существующей инфраструктуре
Рыдаю с этого. Я так понимаю, ты сам собственный интернет построил, свои микрухи в духовке выпекаешь, и весь софт тоже сам написал, чтобы не паразитировать. Молодец, завидую твоей фантазии.
О, кстати про StepCA-то я и не вспомнил - а ведь видел, видел же!
Ну вот конкретно если у вас есть AD - то проще не через ADFS вот это всё на лыжах-в-гамаке, а расширить схему кастомным аттрибутом, запихнуть тудой ssh-ключик и горя не знать.
А вот если вы в а-аааблааааках-бела-гриии-иивых-лоша...дках тады и впрямь проще что-то уот такое уот запилить.
Пихать ключик куда угодно значит, что его кто-то должен сгенерировать, не потерять, не сделать его беспарольным, и не отправить по неосторожности вместо публичного ключа кому-нибудь. Если других способов нет, то и этот сойдёт, но это ничем не лучше скрипта дёргающего rsync по сути. Ну может админу маргинально удобнее, и только.
> Пихать ключик куда угодно значит, что его кто-то должен сгенерировать, не потерять,
> не сделать его беспарольным, и не отправить по неосторожности вместо публичного
> ключа кому-нибудь. Если других способов нет, то и этот сойдёт, но
> это ничем не лучше скрипта дёргающего rsync по сути. Ну может
> админу маргинально удобнее, и только.Не-не-не. Тут не начальный деплой решается, а проблема расползания ключа по n-серверам с фактической невозможностью отзыва при увольнении или там отпуске.
Сегодня у нас работает так: SSH CA, выдача сертификата на ключ из yubikey, и всё это при условии что ты залогинен через корпоративный SSO и либо сидишь в офисном ЛАНе, либо подключен через VPN с аттестацией. Естественно, никаких BYOD. Можно только телефон, только с одобрения ИБ (всякие китаефоны забанены полностью, не пускает даже в гостевой вайфай пока mac не сменишь), только не рутованный, и только если согласишься поставить intelligent hub, и даже в этом случае кроме календаря, почты и слака ничего не доступно. Корпоративный стандарт рабочего места — последняя средняя модель макбука с jamчто-то там, корпоративным профилем и еженедельным сканами на предмет токенов в текстовых файлах и подобного палева.
> Сегодня у нас работает так: SSH CA, выдача сертификата на ключ из
> yubikey, и всё это при условии что ты залогинен через корпоративный
> SSO и либо сидишь в офисном ЛАНе, либо подключен через VPN
> с аттестацией. Естественно, никаких BYOD. Можно только телефон, только с одобрения
> ИБ (всякие китаефоны забанены полностью, не пускает даже в гостевой вайфай
> пока mac не сменишь), только не рутованный, и только если согласишься
> поставить intelligent hub, и даже в этом случае кроме календаря, почты
> и слака ничего не доступно. Корпоративный стандарт рабочего места — последняя
> средняя модель макбука с jamчто-то там, корпоративным профилем и еженедельным сканами
> на предмет токенов в текстовых файлах и подобного палева.Хорошо быть здоровым, богатым, не ленивым и умным, правда? Мы одно время к такому шли-шли, да так и не дошли - а теперь "не больно-то и хотелось!", увы.
> Хорошо быть здоровым, богатым, не ленивым и умным, правда?Не знаю, но думаю, что неплохо. Сам все четыре одновременно ни разу не пробовал. А последние два по-моему вообще никогда не пробовал.
> Мы одно время к такому шли-шли, да так и не дошли - а теперь "не больно-то и хотелось!", увы.
Я слышал, что на всё это ушло около пяти лет последовательного труда. В принципе, зная сколько на бэкэнде всего задействовано, верю.
это очень круто, но подходит только разве что подкроватных системгде начинается серьезное разделение прав обязанностей, ротация ключей и прочее, там authorized_keys сдувается и начинается дурдом
Но количество дурдома можно (и нужно!) значительно снизить!
К примеру OpenSSH server можно неплохо подружить с вашим MS AD. Вход не по ключу, а по паролю, конечно, но ведь в форточку они логинятся? Ну и ...
Для мест где вход по ключу таки нужен - ну тут всё ещё кто во что горазд... но тоже есть приемлемые решения.PS: Сабж не щупал, относится он к приемлемым или нет - пока не в курсе.
> Вход не по ключу, а по паролю, конечноСразу отправляется под кровать обратно на локалхост, с которого он сбежал.
Вас не смущает что OpenID закрылась в 2018?
а вот с этого места поподробней
Погуглите, почему многие компании прекратили саппорт продукта в 2018-ом.
вас не смущает, что OpenID и OpenID Connect - это две разные вещи?
Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 - это две разные вещи".OpenID Connect - это третье поколение стандарта OpenID.
> Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 -
> это две разные вещи".
> OpenID Connect - это третье поколение стандарта OpenID.это твои аналогии звучат нелепо. В треде дан контекст. И в этом контексте есть OpenID, закрытый в 2018 году, что есть gen 1, и есть OpenID Connect, что есть gen 3.
> Для привязки учётной записи к OpenID администратор сервера выполняет команду "opkssh add".И? Это буквально ничем не отличается от ручного копирования ключей. Одну операцию заменили на другую, да ещё и сомнительную с точки зрения безопасности.
Ручной ключ живёт вечно и привязан к одному хосту.
Некоторые правда ставят для ключа пустой пароль и копируют один ключ на разные системы, чтобы не заморачиваться с прописыванием на сервере, но потом в один прекрасный день обнаруживают, что по их сети шарится кто-то, выудивший ключ из старого диска, выброшенного на помойку.
а что шифрование дисков отменили?
Есть:
- Сертификаты SSH, с возможностью указать время действия подписанного ключа. И настраивается банальным закидыванием в сервак одного паблика CA в указанный файл (либо в authorized_keys с опцией).
- Хост вместо локального хранения пабликов может исполнять команду для получения списка ключей из stdout. Команда же, в свою очередь, может быть хоть curl-ом на другой хост, куда доступы нужны другие.
- Можно прописать прям в authorized_keys, до какого срока ключ будет действительным.
> Сертификаты SSH, с возможностью указать время действия подписанного ключаДля контекста: время жизни ключа для прода — 10 минут. Стейдж — 1 час. Дев — 8 часов. Это всё для интерактивных сессий. Для автоматизации время жизни всех ключей без исключения — 2 минуты.
> Можно прописать прям в authorized_keys, до какого срока ключ будет действительным.
Начинай прописывать вон то выше. Правда, чтобы что-то записать в прод надо сперва туда как-то попасть, и сделать доступным для записи что-то подходящее, а таких мест в проде нет by design.
Как сомнительную? А вы о товарище майоре не подумали, который за нашу с вами безопасность борется? Ещё один способ для него, чтобы получить доступ к серверу...
Я правильно понимаю, что в такой схеме компрометация провайдера OpenID означает компрометацию всех клиентов? Если взломают провайдера OpenID или его администратор окажется продажен, то что мешает сгенерировать от моего имени токен и подключиться к моему серверу?
не переживай так сильно, компроментация гитляпа означает компроментацию всего мира целиком через миллиарды неочевидных цепочек зависимостей.твой локалхост при этом наверное даже уцелеет, потому что просто на него пожалеют время
У AI времени много и скрипты не различают большой сервер или подкроватный.
Очень даже различают, и именно потому, что время AI стоит слишком дорого, чтобы тратить его на подкроватные хосты.
это пока их сотни и тысячи поломанных. А как будут миллионы - мигом научится различать цели повкуснее от тех на которые нечего ИИ переводить.
Если настолько взломают Гугл, Майкрософт, Amazon и прочих, то OpenID будет чуть ли не на последнем месте.А понял ты не правильно. Там всё шифровано как минимум твоим паролем. Можно добавить ключь свой (или кодовую фразу) и 2FA. Без этого не расшифруют.
На счёт "продажен" - для юрисдикций нормальных людей прециденты были?
И, в целом, технология больше для мега энтерпрайза или у кого ничего важного нет, но хочется удобства.
>На счёт "продажен" - для юрисдикций нормальных людей прециденты были?Ты совсем что-ли в коконе? Не раз и не два и в любых "юрисдикциях" включая ваш фетишЪ ... а что? :)
> подключение к серверу с любых хостовВот это точно, организуют они тебе подключение с любых хостов :) Сейчас первое, что надо узнавать, в чьей юрисдикции этот OpenID. А то получится, как с Линусом: вроде и open, и в Америке.
Так оно опен независимо от юрисдикции.
Просто потому что ты можешь скачать код и развернуть где захочешь, хоть на своем подкроватном сервере.
Вопрос зачем и кто с ним будет общаться, открытый, но возможности у тебя есть.Так же и с Линуксом - да, оттуда выкинули сотрудников подгебнявых компаний, но никто не запрещает им писать код самим.
> можешь скачатьНе можешь. Многие закрыли доступ к своим "open".
https://www.keycloak.org/
> в чьей юрисдикции этот OpenIDВ той же самой, в чьей IP, SMTP, HTTP, BGP и прочие. Да и в целом, проблемы с юрисдикцией — это какой-то локальный мем. Подавляющее большинство людей на планете о такой проблеме узнают из новостей про очередной виток эскалации конфликта стран-террористов с цивилизованным миром. Что ж теперь, из-за каких-то отщепенцев годной технологией не пользоваться?
Да вы просто апологет глобальных добрых волшебников.
До вас мир был плохим. Вы построите новую цивилизацию
До основанья!, а затем ... (С)
Что может пойти не так?! ;)
краудшмара как всегда - из всех возможных и невозможных методов авторизации выбрала самый худший.Теперь для работы в консоли - нужен браузер. Причем модный-современный-распоследней версии.
https://opennet.ru/48945-browsh
для работы дополнительно должен быть установлен Firefox новее выпуска 56ну такое себе... впрочем, полагаю, с 18го года эта поделка успела уже умереть.
https://github.com/browsh-org/browsh/releases
> https://github.com/browsh-org/browsh/releasesнастоящий браузер для его работы, к сожалению, все еще нужен.
Всё с точностью до наоборот: выбрали самый простой и доступный метод, который используется буквально в каждой корпораци уже пятнадцать лет, имеет несколько хороших реализаций, и коммерческих, и даже опенсорсных. Сказки про рабочие станции без браузера оставь эникеям, котрые PoSы настраивают и картриджи трясут.
>Сказки проТо же оставьте при себе, незнакомый человек.
там даже базовым rfc едва 10 лет исполнилось, а уж про 15 лет это и вовсе сказки
OpenID был опубликован 18 лет назад. Что там кому не исполнилось?
Больше от Identity Provider-а зависит и того, что он готов выдать твоему сервису. Некоторые аутентификационные флоу вообще позволяют через HOTP или TOTP аутентифицироваться - скачал аутентификатор на телефон, зарегистрировал его и все, управляй доступом одним нажатием. И секурно, и двухфакторка, и удобно.
Любой более-менее крупный бизнес — сам себе IdP. Если скучно, можешь себе прямо под кроваться IdP развернуть с любым флоу, хоть HOTP, хоть TOTP, хоть за разрешением к маме и бабушке. Коммерческие IdP за деньги сделают что угодно. Но на практике хотя бы попытаются отговорить от совсем уж безумных затей.
Удобно - это когда ты взял и подключился через openvpn в хуке коннекта интерфейса или сразу в rc.local. Когда для этого приходится доставать телефон, привязывать к этому ещё какое-то приложение, а потом открывать ещё по десять окон корпоративного буллшита и в каждом подобные препоны с аутентификацией и поддержкой логина больше часа - это называется НЕудобно.
А ещё удобнее просто телнетом без пароля. Никакие хуки не нужны, никакие впны. Лепота!
> это называется НЕудобно.Дорожный знак на Ыnterprise Шtrasии :
<== Удобно = | = БезопасТно ==>
:)
У меня только один вопрос: что это и зачем оно нужно?
> У меня только один вопрос: что это и зачем оно нужно?клаудшмара: орган заботы о пользователях и пользуемых интернетом
гитхаб: чатик для разработчиков софта и примазавшихся, под крылышком лучшего друга опенсорсия
ssh: ненужная программа для взлома злоумышленниками твоего серверане благодари
Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм.
IP пакеты по проводу совсем немного быстрее доставляются, чем ваша задница до картотеки с Тётей Зиной.
Ну тогда и не.й ныть про гавёную безопасность.
Точно. Сгорел сарай, гори и хата. Всё либо ничего. Подростковый абсолютизм как жизненное кредо ещё никого не подводил.
Ну ачпета всё и держится на True|False и ничего другого уж лет 70 как :)
Хотя троичные в СССР делали ... но всё умерло :(
> Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм.Т.к. новинки индустриализации в конечном счёте оказываются превосходством в грубой силе оружия тоже, кроме прочих достоинств.
При отставании в индустриализации теряется способность к защите себя, кроме огромного числа прочих недостатков отказа от изобретений.
Технический ответ: чтобы писать ААА в файле БББ вместо писанины ВВВ в файле ГГГ. Конкретные значения первой пары озвучены в статье, вторая - штатные средства самого ssh.Практический ответ: чтобы можно было получить доступ к твоему серверу по требованию.
Так тебя хостер и так сдаст с потрохами)
Хм, странно что ты сидишь на этом сайте и не слышал, ну да ладно.> что это
Cloudflare - одна из крупных компаний, которая оберегает от ддос и прочих неприятостей.
opkssh - опенсорс программа которую она сделала, тк у сообщества лапки (кривые).
Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности.> зачем оно нужно
Чтобы можно было одной учеткой логиниться в разные сервисы
Основная фишка в децентрализации.
>Чтобы можно было одной учеткой логиниться в разные сервисыТебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину.
В компаниях, отличных от локалхоста, бывают тысячи пользователей и десятки сервисов.
Но хомячкам главное ляпнуть )
Но правило изложенное выше от их количества никак не зависит. И усли у вас это не так ... :) Ну - "shame to be you!"(C) :-D
> Но правило изложенное выше от их количества никак не зависит. И усли
> у вас это не так ... :) Ну - "shame to
> be you!"(C) :-DПравило, которое ты сам придумал? Ни одна нормальная компания такой херней не страдает.
> Тебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину.Как быть уверенным, что в каждый момент времени каждый из тысяч может успешно логинится по сети одновременно в многие разные сервисы. Контекст: за 15 минут полезной работы без ошибок логина эти тысячи пользователей создают очень много полезного и нужного в эквиваленте денег, например.
Когда все сервисы оказались в Интернете, а операционная система под сервисами в большинстве, почему-то, случаев на базе GPL софта.
Тогда логично, что эти сделали примерно это.
SSO - не не слыхал?
Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет вот прямо запрещаю!(С) :)
> SSO - не не слыхал?
> Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет
> вот прямо запрещаю!(С) :)SSO это буквально одна учетка на все сервисы. Как-то жидко у тебя получается набрасывать.
Отдавать логин какому-то хосту (ещё и не в твоей кладовке) вместо того, чтобы делать это локально - это противоположность децентрализации. Что вы имели ввиду вообще?
Отдай хосту в своей кладовке. Что мешает-то? Протоколы открыты и реализации доступны.
> Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности.Простите, а чем это они заслужили такое доверие?
> Чтобы можно было одной учеткой логиниться в разные сервисы. Основная фишка в децентрализации.
Децентрализации? В каком месте? Может вы хотели сказать о централизации входа? Или может хотели рассказать о децентрализации серверов этих самых корпораций? У них она есть и этим они и заманивают доверить им вход - взламывать не будут. Потому что сервера их рассчитнаны на высокие нагрузки и есть возможность юридического воздействия если что. Хмм... кто ж взламывать то будет локалхост используя точно такие же возможности нападения на сервер как у них возможности защиты? Да и зачем?
> Простите, а чем это они заслужили такое доверие?Успешным ведением бизнеса, тщательным исполнением местного законодательства, законопослушностью, и тысячами довольных клиентов. Чем ещё по-твоему коммерческая компания может заслужить доверие?
> Децентрализации? В каком месте? Может вы хотели сказать о централизации входа?
Почти так. Децентрализация сервисов и централизация входа в эти сервисы, с контролем, отчётностью и разделением привелегий, в том числе во внешних сервисах. Какая альтернатива? Каждый сотрудник компании должен купить доступ, скажем, к Lucidchart по своей кредитке, подать заявку в hr для возмещения расходов, не потерять логин и пароль, не расшарить что-то важное с левыми людьми по ошибке или по злому умыслу, так? А потом проделать то же самое с каким-нибудь облачным оператором и всенепременно не забыть передать все логины и пароли другом сотруднику, когда уволится. И так буквально с каждым из нескольких дюжин (если не сотен) внешних сервисов, систем, партнёров и так далее. В принципе неплохо, люблю самостоятельность в людях, но работать они когда будут?
Для безопасности американцев. Есть такая сфера сейчас очень популярная - кибербезопасность. Так вот эти популяризируемые американские компании хотят отвечать за вход и удобство входа на твой компьютер. Взамен они получают возможности контроля киберпространства. Т.е. в этом прямо заинтересовано их Министерство Обороны. Т.е. это им позволяет хакеров ловить, шпионов (хотя для кого-то разведчиков), быстро подавлять ботнеты. А это уже в ближайшей перспективе конец вебу, потому что ботнеты они и будут делать - кто не с ними, тот останется без интернета. Как-то так.
p.s. сейчас вместо веба предлагают замену через ИИ, т.е. ЧатГоПыТы заменят вам все чем вы раньше пользовались. Так по крайней мере пишут в LinkedIn, но я думаю это их влажные мечты пока. Они там и разработчиков пишут что заменят также как и дизайнеров. Хотя я лично предпочитаю художество людей, а не роботов.
p.s.s. можете это не читать на самом деле - все это теория заговора, но мне кажется она вполне последовательна и реалистична, потому что если кому-то очень нужно будет зайти на ваш компьютер из важных американцев, а за вход отвечает их компания, то это вполне технически реально. Вы даже об этом и не узнаете. А если и узнаете, то всегда можно сослаться на технические работы по обеспечению безопасности.
иди проспись
> иди просписьИ то правда. Все это такие глупости, порой лучше просто промолчать.
Как показали недавние события, все эти подписи до лампочки, если в проекте участвуют анонимные ЖинТяны.
Достаточно немного надавить на задолбанного мейнтенера... и можно пихать бекдоры куда угодно.
Кстати о Jia Tan:https://github.com/lkrg-org/lkrg/commit/7e37eb1bc37b68ed4eec...
хотя это не имеет никакого значения, уточню: Jian Tan произносится как Дзян Тан.
SSH-сертификат со сроком жизни и тулза для её выписывания, если угодно, на сервере, не?
Они, походу, именно этот механизм и используют. Только ты ещё и логинится на гитхабе должен, перед тем как на сервер попадёшь. Крута, дыа? :)
Ну в общем "да", но есть нюанс в виде отсутствия opensource'ного решения как для сервера, так и для клиента (Как-то же этот ключик должен попасть тебе в ssh-agent, да?). Если не ошибаюсь, решение были вот у hashicorp и 1password - но у них ты авторизуешься та-дааам! По OIDC.
ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте.
> ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте.Удачи, сынок - запилишь аналоговнету - приноси на opennet, посмеемся.
https://smallstep.com/blog/diy-single-sign-on-for-ssh/
>без необходимости создания закрытых ключей на каждом клиентском компьютереДа, да, все приватные ключи надо срочно доверить GitHubу и Cloudflare!
Есть же расширение x509 - чем оно не устроило?
Так это у Тео надо спрашивать, какого моржового он свою ни с чем не совместимую реализацию PKI запилил. Не то, чтобы в стандартном x509 было дофига чего хорошего, н-но...
>При помощи opkssh можно избавиться от ручной работы по управлению и настройке SSH-ключей, а также организовать подключение к серверу с любых хостов, без необходимости создания закрытых ключей на каждом клиентском компьютере и без ручного копирования открытых ключей на сервер.- Вы, чего, и пальцы за меня загибать будете?
- Ага!
Ну во первых не OpenID, а OpenIDC, т.е. последняя буква Connect. Действительно секьюрный протокол, но вот это:>> Opkssh совместим с OpenID-провайдерами Google, Microsoft/Azure и Gitlab, что позволяет настроить вход через имеющиеся учётные записи в сервисах gmail.com, microsoft.com и gitlab.com.
Позволяет "технической поддержке" этих компаний получать доступ к тем компьютерам где это настроено. И как это отличается от Auth0 который много лет назад создан? Ну разве что доступ к ssh из коробки они не делали. Это было бы актуально лет 10 назад, когда политика американцев не была ясна. А сейчас когда запад поддерживает ради своих меркантильных интересов различных радикалов и политику санкций - все равно что преступников себе в дом пригласить. Поздравляем запад что они сделали такую безопасную штуку которая товарищу майору доставляет неограниченные возможности для их компьютеров разных компаний. Помню комментарии на этот счёт - мне кажется эксперты opennet своего товарища и близко не хотят подпускать
Как подчинить хомячков?
Создать необходимо-безопасную среду и предложить помощь в централизованном хранение средств аутентификации.
А в случае чего вас просто отключат. Удобно
На картинках надо рисовать не Алису, а Буратино, ищущий путь в страну дураков.
Тред-перепись админов локалхоста, для которых 2FA — это смс с циферками, OpenID — Гитхаб, интернет — локалка провайдера за cgNAT, а серверов не бывет больше одного, потому под кроватью не помещаются.Алсо, предоставлю OpenID в вашей юрисдикции. Дорого.
А Вы в резюме указываете на скольких хостах(кластерах) и юрлицах админити. Это важно!
Не очень хочется компрометировать систему теми кто шляется не знамо где.
Последние десять лет работу нахожу строго через личные рекомендации. В резюме у меня два параграфа, в первом написано что я могу сделать для вашего бизнеса, во втором — «райдер». CTO и топ-менеджменту пофиг на то, какими языками программирования и фреймворками ты владеешь. Внезапно.
> CTO и топ-менеджменту пофигЕстественно. Им важно, насколько быстро ты тряпкой по машине водишь и не оставляешь ли царапин.
Если бы ты знал, сколько стоит «быстро тряпкой» для элитных авто уважаемых людей, ты бы наверное сгорел от зависти. Я столько за год не зарабатываю пока. Но есть плюсы: мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать.
>мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать.Это Ваш райдер? Ну не надо уж так откровенно.
> Это Ваш райдер?Да, почти слово в слово. Мне для жизни мало надо, а для успешной работы и того меньше — Эксель, Джира и Слак.
> Ну не надо уж так откровенно.
Почему же? У меня крайне мало секретов, да и те что есть весьма скучны и банальны. Скрытность считаю пороком.
Ну, вот конкретно с ЭТИХ станется захардкодить перечень ДОВЕРЕННЫХ провайдеров, да еще и какое-нибудь ниочень стандартное расширение протокола вклеить )
Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко, в срок, и на слабые места в ТЗ со старта указали, сразу с возможными вариантами решений. Мне бы таких орлов, я бы за два года с нижнего уровня менеджмента на средний переехал не особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не могут захардкодить по определению.
> Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у
> себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко,
> в срок, и на слабые места в ТЗ со старта указали,
> сразу с возможными вариантами решений. Мне бы таких орлов, я бы
> за два года с нижнего уровня менеджмента на средний переехал не
> особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не
> могут захардкодить по определению.Ну, вот ЭТИХ - тех, которые:
https://github.com/cloudflare/boringtun
Не знаю, что у них там со стафффом, а вот опенсорц у ребят... своеобразный.
Так а что не так-то? Я не слежу особо, мне tailscale для локалхостов хватает, а на работе обычный cisco vpn. Они ж его вроде для себя в первую очередь писали.
да все даже лучше чем обычно - выложили какие-то исходники, только они даже не собираются, не говоря уж что не работают, но вон вам бинарнички, скачайте откуда положено и не беспокойтесь.Обычно-то и бинарничков нет - "есть, но только в нашей внутренней инфраструктуре"
Там не только про попенсорц, там про общий уровень культуры разработки выводы очевидные напрашиваются.
> даже не собираютсяПох как всегда, даже их чужих исходников собрать не может. А я не поленился и проверил. Собирается на раз, хотя проект два года вообще без движения стоит (это к слову тем, кто вечно ноет что раст слишком быстро развивается и без послезавтрашней ночнушки ничего не работает):
$ cargo build --bin boringtun-cli --release
[…]
Finished `release` profile [optimized] target(s) in 41.59sНа винде только ругается, мол:
error[E0433]: failed to resolve: could not find `unix` in `os`
Что правда, unix в этой os отродясь не было.
>Алсо, предоставлю OpenID в вашей юрисдикции. >Дорого.Сколько уже купило? Когда купят? Сколько порч на понос выдали благодарные конечные пользователи?
> Сколько уже купило?Нет времени считать, за забором очередь стоит со вчерашнего дня.
> Когда купят?
Уже покупают. Разлетаются как горячие пирожки. Занимай быстрее, пока не байты не закончились.
> Сколько порч на понос выдали благодарные конечные пользователи?
По состоянию на 2025-03-27, ровно ноль. Продолжаю вести наблюдение.
Скажите, а разметить гидранты доступом к серверу или получить отказ по причине потому что нельзя можно будет? Если да, то это прямо как на десктопах и я обоими руками за такие нововведения от CloudFlare.
Прикольно. Пусть будет
стеклянный щит, прикольно, пусть будет :)
Очередная потуга вендорлока от очередной мегакорпы. Теперь у них подгорает что кто-то может ssh юзать без их одобрения видимо.
Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если они не заставляют использовать себя в качестве OIDC-провайдера?
> они не заставляютНу да, конечно, каждый админ локалхоста разворачивает у себя свой поисковик, почту, гит, телеграф.
А зачем админу локалхоста что-то кроме одного ключа в ~/.ssh/authorized_keys?
Разве OIDC требует чего-то серьёзнее HTTPS на Let's encrypt, а не DNS туда-обратно, DKIM и отпечаток ануса как e-mail?
> Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если
> они не заставляют использовать себя в качестве OIDC-провайдера?Да вы в принцитпе и CDN можете свой поставить. А потом клаудспайварь немного поддосит вас и вам ценничек развлекухи не понравится, и у вас деньги кончатся быстрее чем у них. После чего у вас будет не так уж много выбора :)
> клаудспайварь немного поддосит васНо пруфов как всегда не будет.
Поисковики всё ещё работают, бро - попробуй да и обрящешь! :)
Работают и слава богу! Пруфы где. Покажи ссылку хоть на один.
То есть пустить к себе Google, Microsoft/Azure и Gitlab. Уж лучше качать скрипты в stdin bash.
МсьЁ знает толк ...(С) :)
КФ опен ид провайдера показывает с шильдиком гугла. Их поставщик решений AI?