[Перевод] Single sign-on для SSH своими руками

TL;DR В этот статье мы установим single sign-on для SSH от Google. За кулисами мы воспользуемся OpenID Connect (OICD), краткосрочными SSH сертификатами, несколькими хитростями конфигурации SSH, и опенсорсными пакетами step-ca и step от Smallstep. Мы настроим SSH Certificate Authority и воспользуемся им, чтобы загрузить в нашей системе нового пользователя и новый хост. Этот метод привносит много преимуществ помимо single sign-on, так как отпадает нужда в сборе, передаче и контроле файлов authorized_keys, хоть и требует больше подготовительной работы по сравнению с настройкой типичной пары открытого/секретного SSH ключей.

Как не следует пользоваться SSH

Еще в далеком 2004 году кто-то научил меня копипастить открытый ключ в файл authorized_keys. С тех пор я продолжал невинно копировать один и тот же старый публичный ключ на каждый сервер, с которым мне приходилось работать, и у меня постоянно не получалось сделать это с первого раза, потому что я забывал корректно настраивать chmod.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
• [Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать
• Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис
• Спираль эволюции веб-дизайна: от десктопной версии к адаптиву и обратно к многоликости
• Окружайте, так удобнее промахиваться! Встроенные в Hugging Face проверки ML-моделей против одного сканера
• [Перевод] Проблемы санации SVG
• Яндекс Плюс AdTech: как экосистемные решения обеспечили рост продаж билетов на фильм «Горыныч»
• Молодые дизайнеры против алгоритмов: страх перед ИИ испытывает лишь каждый десятый
• Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
• Доля рекламных бюджетов под управлением ИИ в Яндексе достигла 85%