The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Первый выпуск открытого SSH-сервера Teleport"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от opennews (ok) on 24-Июн-16, 09:29 
Компания Gravitational объявила (http://blog.gravitational.com/gravitational-teleport-1-0-rel.../) о доступности нового свободного SSH-пакета Gravitational Teleport (http://gravitational.com/teleport/) (Teleport), предлагающего клиент и сервер SSH, оптимизированные для упрощения работы персонала, обслуживающего кластеры с большим числом узлов. Код проекта написан на языке Go и распространяется (https://github.com/gravitational/teleport) под лицензией Apache 2.0. Реализация SSH обратно совместима с OpenSSH и построена с использованием библиотеки Golang SSH (https://godoc.org/golang.org/x/crypto/ssh).


Teleport пытается автоматизировать и повысить безопасность инфраструктур, в которых группам людей требуется доступ к различным серверам в кластере. Вместо применяемой в OpenSSH аутентификации по ключам, чтобы избежать необходимости копирования ключа каждого пользователя на узлы, в Teleport используется (https://github.com/gravitational/teleport/blob/master/docs/a...) проверка по цифровой подписи и централизованные серверы аутентификации. Организуется работа системы сертификатов с ограниченным сроком действия, заверенных цифровой подписью локального удостоверяющего центра. На узлах содержится только проверочный ключ данного удостоверяющего центра. Кроме проверки сертификата при каждом входе обязательно применяется двухфакторная аутентификация, требующая подтвердить намерение входа с другого устройства (поддерживается Google Apps и клиенты OAuth2). Недопускается прямое обращение из внешней сети к конечным узлам, для доступа требуется подключение через специальный прокси.


Другие особенности Teleport:

-  Помимо традиционного интерфейса командной строки имеется возможность входа через HTTPS с эмуляцией терминала в web-браузере;
-  Поддержка функций аудита и повторения типовых операций - содержимое SSH-сеансов может записываться и при необходимости воспроизводиться на других хостах;
-  Режим совместного решения проблем, при котором несколько человек могут совместно использовать один сеанс SSH;
-  Автоматическое определение доступных рабочих серверов и контейнеров Docker в кластерах с динамическим присвоением имён хостам;
-  Поддержка обратного туннелирования для подключения к кластерам, ограждённым межсетевым экраном;
-  Возможность определения меток для разделения доступа к разным узлам кластера;
-  Поддержка блокировки доступа после нескольких неудачных попыток входа;
-  Сопоставление пользователей с логинами на конечных узлах осуществляется через специальные списки маппинга сигнатур;

-  Узлы подключаются к кластеру через определение статичестких или генерацию динамических токенов, которые при желании можно отозвать для запрета входа на данный узел;

-  Успешно пройден аудит безопасности кода, заказанный в независимой проверяющей компании;


URL: http://blog.gravitational.com/gravitational-teleport-1-0-rel.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44659

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Первый выпуск открытого SSH-сервера Teleport"  –4 +/
Сообщение от LeNiN (ok) on 24-Июн-16, 09:29 
Так во во что собрались вложить кучу бюджетных денег — в open source! А я то, дурак, подумал что, как обычно, просто разворуют.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Первый выпуск открытого SSH-сервера Teleport"  –1 +/
Сообщение от DmA (??) on 24-Июн-16, 09:43 
Так они в правительстве знали, что уже всё сделано за бесплатно  и завтра релиз будет, поэтому и объявили такой проект. Так что все выделенные деньги теперь уже в кармане у них :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от brzm on 24-Июн-16, 17:25 
Расскажите, в чем прикол? Какая связь между телепортом и бюджетными деньгами?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Первый выпуск открытого SSH-сервера Teleport"  +7 +/
Сообщение от www2 (??) on 24-Июн-16, 18:01 
Недавно новость была, что к 2035 году в России _попробуют_ внедрить _телепортацию_:
https://lenta.ru/news/2016/06/22/teleportation/

Из пунктов программы, вижу, уже готовы «отечественный компилируемый язык для безопасного и эффективного параллельного программирования» и «внедрение... телепортации...» Это, видимо, Go и Teleport имелись в виду.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "Первый выпуск открытого SSH-сервера Teleport"  +1 +/
Сообщение от freehck email(ok) on 26-Июн-16, 10:36 
Пять баллов за ассоциацию. Вы сделали мой день. :)

На всякий случай уточню, что квантовая телепортация, и та, о которой думаешь, читая заголовок новости - это очень большая разница.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

35. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 26-Июн-16, 18:58 
Нужно перевести на русский операторы языка Go, а сам язык назвать например Движение или Ходьба.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

3. "Первый выпуск открытого SSH-сервера Teleport"  +14 +/
Сообщение от Moomintroll (ok) on 24-Июн-16, 10:34 
> чтобы избежать необходимости копирования ключа каждого пользователя на узлы

... можно использовать Kerberos, но это же так сложно.

А ещё есть sssd с его sss_ssh_authorizedkeys...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Первый выпуск открытого SSH-сервера Teleport"  +3 +/
Сообщение от Аноним (??) on 24-Июн-16, 10:38 
Не модно, не стильно и не молодежно.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Первый выпуск открытого SSH-сервера Teleport"  +13 +/
Сообщение от Аноним (??) on 24-Июн-16, 11:45 
Еще и не на го небось.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Первый выпуск открытого SSH-сервера Teleport"  +2 +/
Сообщение от пох on 24-Июн-16, 12:02 
+1
Первая же мысль при прочтении - "мы почти уже изобрели собственный kerberos, только через задницу, на значительно более сложной и менее надежной openssl'ской базе и отдельный - со всеми вытекающими в виде необходимости поддерживать и обслуживать еще один аутентификационный сервис исключительно для ssh-доступа"
(плюс еще и прокси. Очередной то ли spof, то ли не s, но требующий от пользователя вовремя понять что не так и сделать нетривиальные ручные движения, не как полезная дополнительная возможность, а как идиотское требование)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Первый выпуск открытого SSH-сервера Teleport"  +4 +/
Сообщение от Аноним (??) on 24-Июн-16, 16:37 
Ви так говорите, как будто kerberos сам по себе - это не "через задницу".
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "Первый выпуск открытого SSH-сервера Teleport"  –2 +/
Сообщение от Crazy Alex (ok) on 24-Июн-16, 17:33 
Как минимум, это хорошо известная задница, с которой умеет работать куча народа
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от й on 25-Июн-16, 14:04 
а где это вы увидели openssl-базу в golang? нет там её.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

37. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от adolfus (ok) on 27-Июн-16, 12:52 
Kerberos... Это не тот ли протокол, который в 90-х критиковался основоположниками за торчащие из него уши спецслужб США, но таки был принят под их давлением?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Первый выпуск открытого SSH-сервера Teleport"  +6 +/
Сообщение от Samm (??) on 24-Июн-16, 12:06 
kerberos, pam i ldap auth для слабоков?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 24-Июн-16, 16:38 
pam_ldap - это наоборот для джыдаев, у которых всегда-всегда доступна связь со ldap'ом
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от www2 (??) on 24-Июн-16, 18:07 
> pam_ldap - это наоборот для джыдаев, у которых всегда-всегда доступна связь со
> ldap'ом

RADIUS и TACACS никто не боится использовать, а чем LDAP хуже? Или RADIUS и TACACS в тех же условиях будет доступен, а LDAP - нет?

Когда нет связи с LDAP'ом, нужно чинить в первую очередь связь и LDAP. По-моему, это очевидно.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

32. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 25-Июн-16, 15:31 
А если для починки LDAP нужно сначала авторизоваться через Kerberos? :)
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 24-Июн-16, 23:20 
про pam_sss марьванна в этой черверти не рассказывала?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

12. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 24-Июн-16, 12:17 
Почему просто не хранить в ldap ключ пользователя?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 24-Июн-16, 12:29 
бля, а я как дурак прошу врача написать мой пароль на бумажке
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Sigillum Diaboli on 24-Июн-16, 16:42 
В психбольнице SSH-доступ на психа ужо выдают..
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от аноним10 on 24-Июн-16, 18:35 
>бля, а я как дурак прошу врача написать мой пароль на бумажке

имеется ввиду конечно публичный ключ в ldap, для этого есть уже
готовое решение.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Первый выпуск открытого SSH-сервера Teleport"  –1 +/
Сообщение от iCat (ok) on 24-Июн-16, 12:32 
а когда на java будет ssh-сервер и клиент с авторизацией через AD?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Первый выпуск открытого SSH-сервера Teleport"  +1 +/
Сообщение от JavaC on 24-Июн-16, 13:07 
Скоро, мой юный друг, ещё до того как ты окончишь 8й класс.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Клыкастый (ok) on 24-Июн-16, 13:37 
как только станет кому-то нужно
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Первый выпуск открытого SSH-сервера Teleport"  +2 +/
Сообщение от Аноним (??) on 24-Июн-16, 13:10 
> Помимо проверки сертификата при каждом входе обязательно применяется двухфакторная аутентификация, требующая подтвердить намерение входа альтернативным путём.
> Не допускается прямое обращение к конечным узлам, для доступа требуется подключение только через специальный прокси.
> Поддержка функций аудита и повторения типовых операций - содержимое SSH-сеансов может записываться и при необходимости воспроизводиться на других хостах;
> Режим совместного решения проблем, при котором несколько человек могут совместно использовать один сеанс SSH;
> Поддержка блокировки доступа после нескольких неудачных попыток входа;

Неплохо, все требования PCI DSS из коробки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Первый выпуск открытого SSH-сервера Teleport"  +2 +/
Сообщение от Sampan (ok) on 24-Июн-16, 16:49 
Полностью согласен, что ребята изобретают велосипед под названием "Kerberos".
Но, кажется, они не совсем идиоты. Ключевые слова: "требующая подтвердить намерение входа альтернативным путём (поддерживается Google Apps ..."
Мало Google про меня знает. Ему еще надо все мои аккаунты на кластерах! Уже не достаточно того, что на каждых 4-х из 5-ти топ сайтов (и в рунете тоже!) используются скрипты из googleapis.com, googletagservices.com, googletagmanager.com, googleadservices.com, googlesyndication.com, google-analytics.com, им еще нужно в мою постель залезть.

Вывод: этот Teleport - фтопку. А по списку google*\.com - Privoxy нам в помощь!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 24-Июн-16, 23:22 
ну скрипты-то эти троянские ты хоть блокируешь?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Аноним (??) on 25-Июн-16, 07:09 
RequestPolicy@Firefox тебе в помощь.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Первый выпуск открытого SSH-сервера Teleport"  +6 +/
Сообщение от XoRe (ok) on 25-Июн-16, 11:05 
Похоже кто-то превратил дипломную в коммерческий проект.

> двухфакторная аутентификация, требующая подтвердить намерение входа с другого устройства
> (поддерживается Google Apps и клиенты OAuth2).

Авторизация на внутренних серверах с помощью сервисов гугла - это вообще песня.
А если на узлах закрыт доступ в интернет?

> Вместо применяемой в OpenSSH аутентификации по ключам, чтобы избежать необходимости копирования ключа каждого пользователя на узлы

Т.е. про ssh agent они не слышали.

> -  Поддержка обратного туннелирования для подключения к кластерам, ограждённым межсетевым  экраном;

Про встроенное в ssh туннелирование они, походу, тоже не в курсе.

> -  Возможность определения меток для разделения доступа к разным узлам кластера;

Как и про sshd.conf

> -  Поддержка блокировки доступа после нескольких неудачных попыток входа;

Как и про настройки pam.

> -  Узлы подключаются к кластеру через определение статичестких или генерацию динамических токенов, которые при желании можно отозвать для запрета входа на данный  узел;

Как и про настройку ssh через pupper/chef/salt/...

> -  Успешно пройден аудит безопасности кода, заказанный в независимой проверяющей компании;

Ну, есть и позитивные моменты.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Первый выпуск открытого SSH-сервера Teleport"  +2 +/
Сообщение от Аноним (??) on 26-Июн-16, 11:51 
> Похоже кто-то превратил дипломную в коммерческий проект.
>
> <...>

Прошу выдать Xore приз за лучший комментарий в этой теме. (без сарказма)

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от anonymous (??) on 27-Июн-16, 09:13 
Так можно просто юзать x509 ключи, благо что штатный openssh это умеет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Первый выпуск открытого SSH-сервера Teleport"  +/
Сообщение от Нониус on 28-Июн-16, 12:37 
так в чем прикол? двухфакторка вместо просто пароля или ещё проще ключа?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру