From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00, HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=unavailable autolearn_force=no version=3.4.1 Date: Thu, 10 Oct 2019 09:31:42 +0300 From: "Alexey V. Vissarionov" To: ALT Linux Team development discussions Message-ID: <20191010063142.GI7970@altlinux.org> References: <10326261570536682@myt4-a1257bff88cb.qloud-c.yandex.net> <20191008142111.GE7970@altlinux.org> <20191009134553.GG7970@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Subject: Re: [devel] =?koi8-r?b?7s/X2cogY29udHJvbCDEzNEgIHNzaGQ6IHNzaGQtYWxs?= =?koi8-r?b?b3ctZ3NzYXBp?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 10 Oct 2019 06:31:47 -0000 Archived-At: List-Archive: List-Post: On 2019-10-09 23:54:55 +0400, Evgeny Sinelnikov wrote: >>> В нашем случае, смысл в этом следующий. У нас довольно активно >>> пользователи из домена (то бишь админы), начинающие управлять >>> рабочими станциями, ходят через пароль/логин. Такой вот >>> windows-подход в домене на базе samba - ничего особенного. >> Аааа... оно для локалки. Тогда вероятность атаки падает до очень >> низкой, и тогда даже при неизменном очень высоком уровне >> ущерба уровень риска падает до приемлемого среднего. > Ну, вот и хорошо. Ну, не прям "хорошо", но приемлемо. >>>> Есть же PubkeyAuthentication - его достаточно для всего (в >>>> том числе для сертификатов ssh-rsa-cert-v01@openssh.com и >>>> ssh-ed25519-cert-v01@openssh.com). >>> Причём тут сертификаты? >> Прежде всего, это штатное средство SSH. Ну и сами сертификаты >> на определенный ключ можно выписывать хоть одноразовые или >> со сроком действия в единицы-десятки секунд. На всякий случай: здесь я описываю реальную практическую задачу. > Прежде всего, речь идёт не только об админах, но и о любом > пользователе в домене. Кроме того, если уж говорить о > сертификатах в таком ключе, то это тоже кромпромиссный > случай. Дело в том, что GSSAPI через Kerberos рулится > централизованно, Дык и CA (а лучше RA) управляется централизованно. > а разбросанные по узлам публичные ключи в разных файлах > настройки поди ещё вычисти при необходимости забрать быстро > доступ. Ключей там при такой настройке нет - только сертификат CA. > Да, можно разные ключи можно делать, но всё равно это не даёт > необходимого функционала. Ключ в этом случае нужен один. Открытый. Принадлежащий CA (тот самый сертификат, упомянутый чуть выше). >>> Кроме включения GSSAPI для серверной стороны (sshd-allow-gssapi), >>> нужен аналогичный - для клиентской (ssh-allow-gssapi). >> Оно требует каких-то сборочных зависимостей? Если да - есть >> смысл собирать отдельно openssh и openssh-featured > Никаких сборочных зависимостей это не требует. Всё уже давно > как нужно собрано и работает из коробки. Вот как раз "из коробки" оно должно быть выключено напрочь. >>> Ещё одна настройка, которая кажется интересной и которой я >>> постоянно пользуюсь - это группа remote [...] >> А еще можно просто выкинуть этот параметр и пускать всех, >> у кого есть ключ. > Нет, нельзя так сделать, есть такая категория пользователей, > которым нужен ssh, а рулить ими нужно из домена. Эта категория все же маргинальна. И как раз для нее я предложил openssh-featured >>> Эти настройки - суть политики. Какие-то из них предполагается >>> включать сразу при вводе компьютеров в домен. Но, в целом, они >>> самоценны и вне контекста какой-либо инфраструктуры. >> В локалке пофигу, но может выйти боком на оборудовании, >> торчащем голой жопой в дикий интернет. > Да нет же. Это предубеждение. Kerberos создан для работы в диком > интернете, как раз. Помню я этот интернет 20-летней давности... >>> Так вот. Как лучше поступить? Держать их в отдельном пакете >>> или сразу интегрировать, в openssh? >> Все же в openssh-featured :-) >> Или, соответственно, в openssh-featured-control-gssapi > Нет, нет, нет. Речь не в том, что необходимо пересобирать > openssh бинарно. На основании чего вы это решили? Мы - это кто? Я здесь пишу исключительно от собственного имени. А разные сборки мне видятся вполне естественным решением. > Далее хочу пояснить всё это детально (для тех, кто в танке). > 1) У нас для настройки локальных политик безопасности уже > давно используется такой инструмент, как control. Ээээ... Да я в общем-то уже почти 20 лет лично знаком с автором. > 2) Этот инструмент позволяет задавать настройки, которые > позволяют понизить или повысить уровень закрученных гаек, > что-то включить или выключить. > 3) Реально эти политики у нас упакованы в разных пакетах, > для ssh - в пакете openssh-server-control > 4) По уму, эти политики есть резон расширить, как минимум > двумя: sshd-allow-gssapi и ssh-allow-gssapi > 5) Таких штук придумано уже достаточно много, но сейчас > нужно запилить ещё больше для конкретных, узких задач. > Так вот. Как лучше поступить? Держать их в отдельном пакете > local-policy или сразу интегрировать, в соответствующие пакеты? В таком случае - совершенно точно в отдельном пакете. > Понятно, что нужно делать и предлагать по каждому пакету > отдельно. Пока речь шла об openssh и том, что новые control'ы > можно сразу туда и добавить. Технически, это не столь важно, > как организационно. Тут, скорее, вопрос ставится так: "Мы > хотим напилить много новых control'ов. Просим и предлагаем > подключиться к их разработке и тестированию." Да сколько угодно. Только в основную систему их не тащите - они очень уж маргинальны. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net