OPKSSH(OpenPubkey SSH)使使用OpenID Connect(OIDC)通过SSH轻松验证服务器,允许开发人员放弃手动配置的SSH密钥,转而支持基于身份提供商的访问。
通过与身份提供商(IdPs)紧密集成并避免任何额外的受信任的第三方,OPKSSH为管理SSH身份验证提供了一种简化和安全的方式。
本周,OPKSSH在OpenPubkey项目的伞下正式开源。虽然OpenPubkey本身在2023年成为Linux基金会的开源计划,但OPKSSH直到现在仍然是封闭源代码。
Cloudflare最初由BastionZero(现为Cloudflare的一部分)开发和维护,已将OPKSSH的代码赠送给OpenPubkey项目,标志着基础设施访问中基于开放身份的身份验证的里程碑。
OPKSSH的好处
提高安全性:OPKSSH用OPKSSH按需创建的短暂SSH密钥取代了长效的SSH密钥,并在不再需要时过期。这降低了私钥被泄露的风险,并限制了攻击者可以使用被泄露的私钥的时间。默认情况下,这些OPKSSH公钥每24小时过期一次,但过期策略可以在配置文件中设置。
改进的可用性:创建SSH密钥就像登录OP一样简单。这意味着用户可以从任何安装了opkssh的计算机上进行SSH,即使他们没有将SSH私钥复制到该计算机。要生成他们的SSH密钥,用户只需运行opkssh登录,他们就可以像通常一样使用ssh。
改进了可见性:OPKSSH将SSH从公钥授权移动到身份授权。如果Alice想让Bob访问服务器,她不需要询问他的公钥,她只需将Bob的电子邮件地址bob@example.com添加到OPKSSH授权用户文件中,他就可以登录了。这使得跟踪谁有权访问变得更加容易,因为管理员可以看到授权用户的电子邮件地址。
OpenPubkey的改进
虽然OpenPubkey项目自项目早期以来就有将SSH与OpenPubkey一起使用的代码,但该代码旨在作为原型,缺少许多重要功能。有了OPKSSH,OpenPubkey中的SSH支持不再是原型,而是一个完整的功能。
OPKSSH为OpenPubkey提供了以下改进:
- 在OpenPubkey中生产就绪SSH
- 自动安装
- 更好的配置工具
OPKSSH在Apache 2.0许可证下在GitHub上可用。
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容