SSH Destinazione firma CertKey

1

Sto configurando un server per la firma delle chiavi SSH, utilizzando Neflix BLESS come base github (dot) com / Netflix / benedica.

Esiste un'opzione critica per indirizzo sorgente per garantire che il certificato possa essere utilizzato da solo un elenco di indirizzi IP specifici, ma non riesco a trovare un'opzione per un indirizzo di destinazione per limitare l'accesso a un singolo server.

Non usiamo un host bastion e vogliamo assicurarci che la chiave firmata che viene restituita non sia semplicemente utilizzata contro un altro server che riconosce la CA, ma a cui l'utente non è autorizzato.

Ho controllato link e < a href="https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/PROTOCOL.certkeys?annotate=HEAD"> link e non riesco a trovare un opzione che gestirà questo.

L'unica cosa che ho visto che potrebbe dare qualche informazione è

...if an implementation does not recognise a optionthen the validating party should refuse to accept the certificate.

Il che mi fa pensare che potrebbe esserci qualche lista di ciò che alcune implementazioni supportano, ma non riesco a trovare nulla.

    
posta John 06.05.2017 - 01:02
fonte

2 risposte

1

but I cannot find an option for a destination-address to restrict access to a single server.

Questa è una domanda interessante. Non l'ho provato, ma sembra che la stessa opzione possa essere utilizzata per destination-address nei certificati utente.

Se non funziona, probabilmente è perché nessuno ha pensato a questo caso d'uso, quindi se vuoi vederlo implementato, dovresti metterti in contatto con gli sviluppatori upstream, ad esempio su la loro mailing list .

Which makes me think that there may be some list of what some implementation supports, but I can't seem to find anything.

No, non ce n'è. Per quanto ne so, nessun'altra implementazione supporta ancora i certificati OpenSSH .

    
risposta data 06.05.2017 - 23:15
fonte
0

Sono stato in grado di trovare una soluzione semplice per soddisfare l'esigenza. Sebbene non esista un'opzione destination-address , la chiave è l'incorporamento di quell'informazione l'entità del certificato.

Invece di usare root o user , ecc. per i nomi utente, abbiamo usato privileged_10.x.x.x e unprivileged_10.x.x.x come i 2 utenti sulla scatola, con l'indirizzo ip nel nome.

Ovviamente questa non è una soluzione diretta, specialmente se i nomi utente assolutamente non possono essere modificati. Ma limita l'accesso a macchine specifiche.

    
risposta data 21.05.2017 - 17:34
fonte

Leggi altre domande sui tag