The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.06.2016 09:03  Первый выпуск открытого SSH-сервера Teleport

Компания Gravitational объявила о доступности нового свободного SSH-пакета Gravitational Teleport (Teleport), предлагающего клиент и сервер SSH, оптимизированные для упрощения работы персонала, обслуживающего кластеры с большим числом узлов. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Реализация SSH обратно совместима с OpenSSH и построена с использованием библиотеки Golang SSH.

Teleport пытается автоматизировать работу и повысить безопасность инфраструктур, в которых группам людей требуется доступ к различным серверам в кластере. Вместо применяемой в OpenSSH аутентификации по ключам, чтобы избежать необходимости копирования ключа каждого пользователя на узлы, в Teleport используются централизованные серверы аутентификации, выполняющие функции локального удостоверяющего центра (CA). При успешной аутентификации, для обеспечения входа сервер аутентификации генерирует временный сертификат, заверенный цифровой подписью CA. Достоверность узлов также подтверждается при помощи сертификата, подписанного CA.

Помимо проверки сертификата при каждом входе обязательно применяется двухфакторная аутентификация, требующая подтвердить намерение входа альтернативным путём (поддерживается Google Apps и клиенты OAuth2). Не допускается прямое обращение к конечным узлам, для доступа требуется подключение только через специальный прокси.

Другие особенности Teleport:

  • Помимо традиционного интерфейса командной строки имеется возможность входа через HTTPS с эмуляцией терминала в web-браузере;
  • Поддержка функций аудита и повторения типовых операций - содержимое SSH-сеансов может записываться и при необходимости воспроизводиться на других хостах;
  • Режим совместного решения проблем, при котором несколько человек могут совместно использовать один сеанс SSH;
  • Автоматическое определение доступных рабочих серверов и контейнеров Docker в кластерах с динамическим присвоением имён хостам;
  • Поддержка обратного туннелирования для подключения к кластерам, ограждённым межсетевым экраном;
  • Возможность определения меток для наглядного разделения узлов кластера;
  • Поддержка блокировки доступа после нескольких неудачных попыток входа;
  • Сопоставление пользователей с логинами на конечных узлах осуществляется через специальные списки маппинга;
  • Для подсоединения к хосту требуется указать два имени - имя кластера и имя узла в кластере. Teleport ориентирован на управление кластерами, а не отдельными серверами: для каждого пользователя и хоста определяется принадлежность к кластеру;
  • Узлы подключаются к кластеру через определение статичестких или генерацию динамических токенов, которые при желании можно отозвать для запрета входа на данный узел;
  • Для подсоединения к серверам Teleport внутри кластера можно использовать обычный клиент OpenSSH (требуется копирование ключей);
  • Успешно пройден аудит безопасности кода, заказанный в независимой проверяющей компании.


  1. Главная ссылка к новости (http://blog.gravitational.com/...)
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ssh, teleport
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, LeNiN, 09:29, 24/06/2016 [ответить] [смотреть все]
  • –4 +/
    Так во во что собрались вложить кучу бюджетных денег 8212 в open source А я ... весь текст скрыт [показать]
     
     
  • 2.2, DmA, 09:43, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Так они в правительстве знали, что уже всё сделано за бесплатно и завтра релиз ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, brzm, 17:25, 24/06/2016 [^] [ответить] [смотреть все]  
  • +/
    Расскажите, в чем прикол? Какая связь между телепортом и бюджетными деньгами?
     
     
  • 4.24, www2, 18:01, 24/06/2016 [^] [ответить] [смотреть все]  
  • +7 +/
    Недавно новость была, что к 2035 году в России _попробуют_ внедрить _телепортацию_:
    https://lenta.ru/news/2016/06/22/teleportation/

    Из пунктов программы, вижу, уже готовы «отечественный компилируемый язык для безопасного и эффективного параллельного программирования» и «внедрение... телепортации...» Это, видимо, Go и Teleport имелись в виду.

     
     
  • 5.33, freehck, 10:36, 26/06/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Пять баллов за ассоциацию Вы сделали мой день На всякий случай уточню, что ... весь текст скрыт [показать]
     
  • 5.35, Аноним, 18:58, 26/06/2016 [^] [ответить] [смотреть все]  
  • +/
    Нужно перевести на русский операторы языка Go, а сам язык назвать например Движе... весь текст скрыт [показать]
     
  • 1.3, Moomintroll, 10:34, 24/06/2016 [ответить] [смотреть все]  
  • +14 +/
    > чтобы избежать необходимости копирования ключа каждого пользователя на узлы

    ... можно использовать Kerberos, но это же так сложно.

    А ещё есть sssd с его sss_ssh_authorizedkeys...

     
     
  • 2.4, Аноним, 10:38, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Не модно, не стильно и не молодежно.
     
     
  • 3.9, Аноним, 11:45, 24/06/2016 [^] [ответить] [смотреть все]  
  • +13 +/
    Еще и не на го небось.
     
  • 2.10, пох, 12:02, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    1 Первая же мысль при прочтении - мы почти уже изобрели собственный kerberos, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 16:37, 24/06/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Ви так говорите, как будто kerberos сам по себе - это не "через задницу".
     
     
  • 4.23, Crazy Alex, 17:33, 24/06/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Как минимум, это хорошо известная задница, с которой умеет работать куча народа
     
  • 3.31, й, 14:04, 25/06/2016 [^] [ответить] [смотреть все]  
  • +/
    а где это вы увидели openssl-базу в golang? нет там её.
     
  • 2.37, adolfus, 12:52, 27/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Kerberos Это не тот ли протокол, который в 90-х критиковался основоположникам... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Samm, 12:06, 24/06/2016 [ответить] [смотреть все]  
  • +6 +/
    kerberos, pam i ldap auth для слабоков?
     
     
  • 2.19, Аноним, 16:38, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    pam_ldap - это наоборот для джыдаев, у которых всегда-всегда доступна связь со l... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, www2, 18:07, 24/06/2016 [^] [ответить] [смотреть все]  
  • +/
    RADIUS и TACACS никто не боится использовать, а чем LDAP хуже Или RADIUS и TACA... весь текст скрыт [показать]
     
     
  • 4.32, Аноним, 15:31, 25/06/2016 [^] [ответить] [смотреть все]  
  • +/
    А если для починки LDAP нужно сначала авторизоваться через Kerberos? :)
     
  • 3.27, Аноним, 23:20, 24/06/2016 [^] [ответить] [смотреть все]  
  • +/
    про pam_sss марьванна в этой черверти не рассказывала?
     
  • 1.12, Аноним, 12:17, 24/06/2016 [ответить] [смотреть все]  
  • +/
    Почему просто не хранить в ldap ключ пользователя?
     
     
  • 2.13, Аноним, 12:29, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    бля, а я как дурак прошу врача написать мой пароль на бумажке
     
     
  • 3.20, Sigillum Diaboli, 16:42, 24/06/2016 [^] [ответить] [смотреть все]  
  • +/
    В психбольнице SSH-доступ на психа ужо выдают..
     
  • 3.26, аноним10, 18:35, 24/06/2016 [^] [ответить] [смотреть все]  
  • +/
    имеется ввиду конечно публичный ключ в ldap, для этого есть уже готовое решение ... весь текст скрыт [показать]
     
  • 1.14, iCat, 12:32, 24/06/2016 [ответить] [смотреть все]  
  • –1 +/
    а когда на java будет ssh-сервер и клиент с авторизацией через AD?
     
     
  • 2.15, JavaC, 13:07, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Скоро, мой юный друг, ещё до того как ты окончишь 8й класс.
     
  • 2.17, Клыкастый, 13:37, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    как только станет кому-то нужно
     
  • 1.16, Аноним, 13:10, 24/06/2016 [ответить] [смотреть все]  
  • +2 +/
    Неплохо, все требования PCI DSS из коробки ... весь текст скрыт [показать]
     
  • 1.21, Sampan, 16:49, 24/06/2016 [ответить] [смотреть все]  
  • +2 +/
    Полностью согласен, что ребята изобретают велосипед под названием "Kerberos".
    Но, кажется, они не совсем идиоты. Ключевые слова: "требующая подтвердить намерение входа альтернативным путём (поддерживается Google Apps ..."
    Мало Google про меня знает. Ему еще надо все мои аккаунты на кластерах! Уже не достаточно того, что на каждых 4-х из 5-ти топ сайтов (и в рунете тоже!) используются скрипты из googleapis.com, googletagservices.com, googletagmanager.com, googleadservices.com, googlesyndication.com, google-analytics.com, им еще нужно в мою постель залезть.

    Вывод: этот Teleport - фтопку. А по списку google*\.com - Privoxy нам в помощь!

     
     
  • 2.28, Аноним, 23:22, 24/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ну скрипты-то эти троянские ты хоть блокируешь?
     
  • 2.29, Аноним, 07:09, 25/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    RequestPolicy@Firefox тебе в помощь.
     
  • 1.30, XoRe, 11:05, 25/06/2016 [ответить] [смотреть все]  
  • +6 +/
    Похоже кто-то превратил дипломную в коммерческий проект.

    > двухфакторная аутентификация, требующая подтвердить намерение входа с другого устройства
    > (поддерживается Google Apps и клиенты OAuth2).

    Авторизация на внутренних серверах с помощью сервисов гугла - это вообще песня.
    А если на узлах закрыт доступ в интернет?

    > Вместо применяемой в OpenSSH аутентификации по ключам, чтобы избежать необходимости копирования ключа каждого пользователя на узлы

    Т.е. про ssh agent они не слышали.

    > -  Поддержка обратного туннелирования для подключения к кластерам, ограждённым межсетевым  экраном;

    Про встроенное в ssh туннелирование они, походу, тоже не в курсе.

    > -  Возможность определения меток для разделения доступа к разным узлам кластера;

    Как и про sshd.conf

    > -  Поддержка блокировки доступа после нескольких неудачных попыток входа;

    Как и про настройки pam.

    > -  Узлы подключаются к кластеру через определение статичестких или генерацию динамических токенов, которые при желании можно отозвать для запрета входа на данный  узел;

    Как и про настройку ssh через pupper/chef/salt/...

    > -  Успешно пройден аудит безопасности кода, заказанный в независимой проверяющей компании;

    Ну, есть и позитивные моменты.

     
     
  • 2.34, Аноним, 11:51, 26/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Прошу выдать Xore приз за лучший комментарий в этой теме без сарказма ... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, anonymous, 09:13, 27/06/2016 [ответить] [смотреть все]  
  • +/
    Так можно просто юзать x509 ключи, благо что штатный openssh это умеет
     
  • 1.38, Нониус, 12:37, 28/06/2016 [ответить] [смотреть все]  
  • +/
    так в чем прикол? двухфакторка вместо просто пароля или ещё проще ключа?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor