SSH CertKey Firma Destino

1

Estoy configurando un servidor de firma de claves SSH, usando Neflix BLESS como base github (punto) com / Netflix / bless.

Hay una opción crítica para dirección-fuente para garantizar que el certificado solo se pueda utilizar desde una lista de direcciones IP específicas. pero no puedo encontrar una opción para destination-address para restringir el acceso a a un solo servidor.

No estamos usando un host de bastión y queremos asegurarnos de que la clave firmada que se devuelve no se use simplemente contra otro servidor que reconozca la CA, sino que no esté autorizado por el usuario.

He comprobado enlace y < a href="https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/PROTOCOL.certkeys?annotate=HEAD"> enlace y no puedo encontrar una Opción que manejaría esto.

Lo único que he visto que podría darnos una idea es

  

... si una implementación no reconoce una opción, la parte que valida debe negarse a aceptar el certificado.

Lo que me hace pensar que puede haber alguna lista de lo que admite alguna implementación, pero parece que no puedo encontrar nada.

    
pregunta John 06.05.2017 - 01:02
fuente

2 respuestas

1
  

pero no puedo encontrar una opción para que destination-address restrinja el acceso a un solo servidor.

Esta es una pregunta interesante. No lo intenté, pero parece que la misma opción podría usarse para el destination-address en los certificados de usuario.

Si no funciona, lo más probable es que nadie piense en este caso de uso, por lo que si desea verlo implementado, debe ponerse en contacto con los desarrolladores principales, por ejemplo, en su lista de correo .

  

Lo que me hace pensar que puede haber alguna lista de lo que admite alguna implementación, pero parece que no puedo encontrar nada.

No, no hay ninguno. Por lo que sé, ninguna otra implementación es compatible con los certificados OpenSSH todavía .

    
respondido por el Jakuje 06.05.2017 - 23:15
fuente
0

Pude encontrar una solución simple para satisfacer la necesidad. Si bien no hay una opción destination-address , la clave es incrustar esa información en el principal del certificado.

En lugar de usar root o user , etc. para los nombres de usuario, usamos privileged_10.x.x.x y unprivileged_10.x.x.x como los 2 usuarios en el cuadro, con la dirección IP en el nombre.

Esto obviamente no es una solución directa, especialmente si los nombres de usuario absolutamente no pueden modificarse. Pero sí restringe el acceso a máquinas específicas.

    
respondido por el John 21.05.2017 - 17:34
fuente

Lea otras preguntas en las etiquetas