vitus_wagner: My photo 2005 (Default)
vitus_wagner ([personal profile] vitus_wagner) wrote2014-09-30 10:40 am
  • Add Memory
  • Share This Entry
Entry tags:

SSH сертификаты

Тут я задумался над вопросом, что слишком много у меня развелось ключевых пар SSH. Я держу отдельный секретный ключ на каждом устройстве. за экраном которого я могу работать, чтобы иметь возможность отзвать ключ в случае чего.

Раньше как-то меня устраивала схема с authorized_keys. Но сейчас развелось планшетов, ноутбуков, виндовых виртуалок (в которых я держу отдельные ключи, поскольку они более подвержены всяким троянам, и может понадобится отозвать ключ виртуалки, не отзывая ключ хоста). В общем authorized_keys на моей домашней машине содержит уже 15 строчек. И распространять его по всем машинам, на которые приходится заходить, надо как-то слишком часто.

А known_hosts вообще под 200 строчек, и большая часть из них про несуществующие уже машины и их ключи. А с тех пор как ssh стал имена хостов хэшировать, чистить его стало неудобно.

В общемя, ч я призадумался над вопросом, а не стоит ли перейти на использование сертификатов.
Сертификаты появились в OpenSSH довольно давно. Более менее вменяемое описание как ими пользоваться можно найти здесь

В этом случае в authorized_keys и known_hostsо станется по одной строчке со ссылокй на ключ CA (ну в known_hosts может быть две - для домашнего CA и для рабочего, чтобы не подписывать своим CA ключи не принадлежащих мне серверов).

Остаются пока следующие вопросы:

1. Как организовать распространение файла RevokedKeys (учитывая что значительная часть машин не всегда влючены)
2. Поддерживаются ли сертификаты во всяких альтернативных по сравнению с openssh клиентах и серверах, которыми приходится пользоваться - putty, vx-connectbot, dropbear, acrosync? Вот sftp-plugin к total commander по-мему их как раз поддерживает, не поддерживая старой схемы с authorized_keys.
Flat | Top-Level Comments Only

[identity profile] http://users.livejournal.com/_arty/ 2014-09-30 07:05 am (UTC)(link)
набор программ у каждого свой, довольно многие из тех, что я использую, не умеют сертификатов :( навскидку могу вспомнить remmina и webstorm
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 07:10 am (UTC)(link)
Ну так надо баг зарепортить. Впрочем, зачем webstorm-у ssh я не понял. Это же IDE. В SCM-ы ходить?

[identity profile] http://users.livejournal.com/_arty/ 2014-09-30 07:12 am (UTC)(link)
в них ходить, ага, а ещё он выкладывать изменения на сервер сам умеет
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 07:25 am (UTC)(link)
Наверняка, кстати, там используется какая-то библиотека, которая используется далеко не только там. И если в нее добавить эту функциональность, она чуть ли не автомагически появится сразу в куче приложений.

[identity profile] http://users.livejournal.com/_arty/ 2014-09-30 07:35 am (UTC)(link)
ну не то, чтобы автомагически, им ведь придётся ещё и UI приделать, чтобы эту возможность задействовать, но задача им облегчится, да
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 07:41 am (UTC)(link)
А ui-то зачем? Как раз UI для данной операции вроде и не нужен. Как там сейчас UI для known_host и делается?

Там сейчас явно есть UI для указание секретного ключа. Вот сертификат соответствующего открыого ключа скорее всего UI не потребует. Его можно будет найти по известным соглашениям об именах файлов, исходя из выбранного секретного ключа.

[identity profile] http://users.livejournal.com/_arty/ 2014-09-30 08:30 am (UTC)(link)
и правда, можно

[identity profile] orangeudav.livejournal.com 2014-10-01 03:15 pm (UTC)(link)
для такого есть capistrano вообще-то, не должно ide ничего на сервер выкладывать.

[identity profile] http://users.livejournal.com/_arty/ 2014-10-01 03:55 pm (UTC)(link)
спасибо за желание помочь, но на рабочем месте у меня и так уже полный continuous deployment, а для домашних поделок навороты не нужны
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-10-01 05:48 pm (UTC)(link)
IDE должно уметь запускать и отлаживать разрабатываемую программу. Если эта программа - вебсервис, то она должна его и отдеплоить. Сервер, понятно дело должен быть специальный девелопмент, а не продакшн, но гарантировать что он совпадает с локальной машиной никто не может.

[identity profile] max630.livejournal.com 2014-09-30 07:50 am (UTC)(link)
> ssh стал имена хостов хэшировать

это можно отключить
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 07:59 am (UTC)(link)
Можно-то можно, но я уже этого не сделал. И имею под 200 строк хэшированных записей. И не факт, что соображения удобства чистки known_hosts, которые я привел в посте, не перевешиваются теми соображениями, которыми руководствовались авторы openssh, изобретая хэшированный формат known_hosts.

Да, я знаю что еще и completion имен хостов заработает, если хэширование отключить.

[identity profile] inkelyad.livejournal.com 2014-09-30 05:21 pm (UTC)(link)
А в чем проблема с чисткой known_hosts? Вроде бы ключик -R у ssh-keygen именно для этого служит?
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-10-01 10:30 am (UTC)(link)
Нет, он не для этого. Он позволяет вычистить ключи, для которых я знаю имя хоста. А мне надо вычистить все хосты, кроме тех, на которые я могу сходить (т.е. все кроме некоторого списка, имена которых я теоретически должен знать. А на практике, пока не увижу имя. не скажу, что да, мол оно есть).

[identity profile] max630.livejournal.com 2014-10-01 10:14 am (UTC)(link)
в sshd_config должен быть параметр, как называется не помню
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-10-01 10:28 am (UTC)(link)
В ssh_config (или ~/.ssh/config)
HashKnownHosts no

[identity profile] beldmit.livejournal.com 2014-10-01 10:50 am (UTC)(link)
Спасибо. Врублю сегодня.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-10-01 10:55 am (UTC)(link)
Что забавно, оно нынче по умолчанию no (хотя помнится мне, когда только появилось было по умолчанию yes). Это параноик дебиановский мейнтейнер его в /etc/ssh/ssh_config в yes поставил.

[identity profile] spiritualape.livejournal.com 2014-09-30 08:00 am (UTC)(link)
Во-первых, спасибо за ссылку.
Во-вторых... можно ли попросить составить список, что надо прочитать, чтобы прокачаться в сетях и смежных дистиплинах до Вашего уровня? То есть, практически с нуля, и... Вопрос, наверное, даже не в книгах, а в списке тем, дальше, зная тему, можно уже искать и самому...
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 08:15 am (UTC)(link)
Читать мало. Надо работать. Практически и практически наступать на грабли.

Но начинал я с Linux Network Administrator Guide Олафа Кирха. (тогда еще перевода не существовало). В наше время параллельно следует читать "Секреты и ложь" Шнайера и его же "Applied Cryptohraphy". Шнайера вообще надо читать всего, только на днях закончил читать его свежий сборник эссе "Carry On", купленный на Амазоне еще в начале июля.

[identity profile] p2004r.livejournal.com 2014-09-30 09:58 am (UTC)(link)
Я NAG даже распечатал (на игольчатом принтере ps версию :)

[identity profile] spiritualape.livejournal.com 2014-10-01 09:47 am (UTC)(link)
Перефразирую. Нужен список ключевых слов для поиска учебников. Скажем, "сетевое администрирование" практически не возвращает учебников по настройке фаервола, а "настройка фаервола" не научит вас самостоятельно разбирать слабости технологии GPON... Я подозреваю, что ключевых фраз будет около десятка, но сам их не знаю...
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-10-01 10:35 am (UTC)(link)
Там гораздо больше.

[identity profile] spiritualape.livejournal.com 2014-10-01 03:43 pm (UTC)(link)
Вопрос - что это за ключи :) Если не трудно.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-10-01 05:49 pm (UTC)(link)
Трудно. Это учебник писать надо с обзором литературы. Я и по географии пока такой не написал, а уж по информационным технологиям оно сложнее. Все слишком быстро меняется.

[identity profile] snowman-sailor.livejournal.com 2014-09-30 08:49 am (UTC)(link)
>Как организовать распространение файла RevokedKeys (учитывая что значительная часть машин не всегда влючены)

Выложить публично на гитхаб и прописать на целевых машинах cron/init скрипт который делает git pull.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 08:54 am (UTC)(link)
А как гарантировать не-подмену? RevokedKeys это все-таки не X509 CRL и подписи CA под ним нету.

То есть идея использования парочки cron+anacron для обновления, вероятно, правильная. Но этого недостаточно. Нужно еще придумать как целостность обеспечить.

[identity profile] snowman-sailor.livejournal.com 2014-09-30 09:02 am (UTC)(link)
Файл можно и самому подписать, хоть тем же pgp.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 09:37 am (UTC)(link)
То есть в дополнение к ключам CA, потребуются еще pgp-ключи для подписи файла отозванных ключей, и потребуется налаживать процедуру
а) подписи при выпуске нового файла
б) проверки при скачивании.

[identity profile] snowman-sailor.livejournal.com 2014-09-30 09:41 am (UTC)(link)
а) PGP вроде умеет X.509, так что сертификаты можно переиспользовать.
б) Проверки при скачивании это + одна команда.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 09:42 am (UTC)(link)
a) SSH-сертификаты это не X.509
б) Проверки при скачивании это не одна команда, а во-первых, поддержка отдельной ключепвой инфрмструктуры для проверки, во-вторых, сценарий реагирования на инцидент.
Edited 2014-09-30 09:44 (UTC)

[identity profile] snowman-sailor.livejournal.com 2014-09-30 09:52 am (UTC)(link)
Извиняюсь, не знал что SSH не поддерживает из коробки X509

открытый ключ корневого сертификата в любом случае на машине есть значит проверки сводятся к:
git pull && gpg --verify RevokedKeys.sig RevokedKeys && ln RevokedKeys /etc/openssh/RevokedKeys

Сценарий реагирования: если подпись не совпадает, не делать ничего.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 10:01 am (UTC)(link)
Еще раз - gpg не поймет ключа certitfication authority. хранящегося в /etc/ssh/known_hosts

То есть придется для gpg поддерживать отдельную "связку ключей" (keyring) содержащую тот ключ, которым подписывается файл.

Вообще говоря, форматы ключей pgp/gpg, X.509 и ssh это три разных формата.

Не делать ничего в случае если у нас не сошлась подпись под файлом отозванных ключай - это запредельная глупость. Если кто-то подменил этот файл, значит произошла УСПЕШНАЯ попытка взлома системы.

[identity profile] inkelyad.livejournal.com 2014-09-30 05:18 pm (UTC)(link)
Заменить github на обычный http хостинг, создав там небольшой личный репозиторий для любимой системы. В современных пакетных менеджерах средства проверки целостности встроены.

[identity profile] alexkuklin.livejournal.com 2014-09-30 09:19 am (UTC)(link)
там нет, насколько я помню, expiration date.
что есть грустно.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 09:36 am (UTC)(link)
Где "там"? В сертификатах - есть.

Из man ssh-keygen:
     -V validity_interval
             Specify a validity interval when signing a certificate.  A valid‐
             ity interval may consist of a single time, indicating that the
             certificate is valid beginning now and expiring at that time, or
             may consist of two times separated by a colon to indicate an
             explicit time interval.  The start time may be specified as a
             date in YYYYMMDD format, a time in YYYYMMDDHHMMSS format or a
             relative time (to the current time) consisting of a minus sign
             followed by a relative time in the format described in the TIME
             FORMATS section of sshd_config(5).  The end time may be specified
             as a YYYYMMDD date, a YYYYMMDDHHMMSS time or a relative time
             starting with a plus character.

             For example: “+52w1d” (valid from now to 52 weeks and one day
             from now), “-4w:+4w” (valid from four weeks ago to four weeks
             from now), “20100101123000:20110101123000” (valid from 12:30 PM,
             January 1st, 2010 to 12:30 PM, January 1st, 2011), “-1d:20110101”
             (valid from yesterday to midnight, January 1st, 2011).

Edited 2014-09-30 09:36 (UTC)

[identity profile] alexkuklin.livejournal.com 2014-09-30 09:37 am (UTC)(link)
хм. видимо, добавили, или я просмотрел.
я изучал тему, как обеспечить смену ключей по времени, и тогда я решил, что ssh-сертификаты для этого не подходят
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 09:38 am (UTC)(link)
Там вообще-то уже есть сертификаты v00 и v01. Но вроде как expiation там была с самого начала.

man был от 6.0p1 из stable
Edited 2014-09-30 09:39 (UTC)

[identity profile] http://users.livejournal.com/_hellmaus_/ 2014-09-30 10:41 am (UTC)(link)
Оффтопик. Можете прокомментировать новости из Гонконга об использовании протестующими мессенджера FireChat: http://www.snob.ru/profile/28836/blog/81611 ?
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2014-09-30 10:55 am (UTC)(link)
А чего тут комментировать? Молодцы. Сразу видно - один из азиатских "драконов", технологических столиц современного мира, а не феллахи, прости господи, голоштанные.
Edited 2014-09-30 11:23 (UTC)
Flat | Top-Level Comments Only