OPKSSH (OpenPubkey SSH), OpenID Connect (OIDC) kullanarak SSH üzerinden sunuculara kimlik doğrulamayı kolaylaştırır, bu da geliştiricilerin kimlik sağlayıcı tabanlı erişim lehine manuel olarak yapılandırılmış SSH tuşlarını atmasına izin verir.
OPKSSH, kimlik sağlayıcılarıyla (IDP’ler) sıkıca entegre ederek ve ek güvenilir üçüncü taraflardan kaçınarak, SSH kimlik doğrulamasını yönetmek için aerodinamik ve güvenli bir yol sunar.
Bu hafta OPKSSH, OpenPubkey projesinin şemsiyesi altında resmen açık kaynaklı. OpenPubkey’in kendisi 2023’te bir Linux Vakfı Open-Source Initiative olurken, OPKSSH şimdiye kadar kapalı kaynak olarak kaldı.
Başlangıçta BastionZero (şimdi Cloudflare’in bir parçası) tarafından geliştirildi ve korunan Cloudflare, Opkssh kodunu OpenPubkey projesine hediye etti ve altyapı erişiminde açık kimlik tabanlı kimlik doğrulama için bir kilometre taşı işaretledi.
Opkssh’ın faydaları
Geliştirilmiş Güvenlik: OPKSSH, uzun ömürlü SSH anahtarlarını, OPKSSH tarafından isteğe bağlı olarak oluşturulan ve artık ihtiyaç duyulmadıklarında sona eren geçici SSH tuşlarıyla değiştirir. Bu, özel bir anahtarın tehlikeye girme riskini azaltır ve bir saldırganın tehlikeye atılmış özel bir anahtar kullanabileceği süreyi sınırlar. Varsayılan olarak, bu OPKSSH genel tuşları her 24 saatte bir sona erer, ancak son kullanma politikası bir yapılandırma dosyasında ayarlanabilir.
Geliştirilmiş Kullanılabilirlik: Bir SSH anahtarı oluşturmak, bir OP’ye oturum açmak kadar kolaydır. Bu, bir kullanıcının SSH özel anahtarlarını o bilgisayara kopyalamasalar bile, OPKSSH yüklü herhangi bir bilgisayardan SSH yapabileceği anlamına gelir. SSH anahtarlarını oluşturmak için kullanıcı sadece OPKSSH girişini çalıştırır ve SSH’yi tipik olarak yaptıkları gibi kullanabilirler.
Geliştirilmiş Görünürlük: OPKSSH, SSH’yi halk anahtarından kimlik ile yetkilendirmeye yönlendirir. Alice, Bob’a bir sunucuya erişim sağlamak istiyorsa, genel anahtarını istemesi gerekmez, sadece Bob’un e -posta adresini bob@example.com’u OPKSSH yetkili kullanıcılar dosyasına ekleyebilir ve oturum açabilir.
OpenPubey’de İyileştirmeler
OpenPubkey Projesi, projenin ilk günlerinden beri SSH’yi OpenPubkey ile kullanma kodu olsa da, bu kod bir prototip olarak tasarlandı ve birçok önemli özellik eksikti. OPKSSH ile OpenPubkey’deki SSH desteği artık bir prototip değil, tam bir özellik.
OPKSSH, OpenPubkey’e aşağıdaki iyileştirmeleri sağlar:
- OpenPubkey’de Üretime Hazır SSH
- Otomatik kurulum
- Daha iyi yapılandırma araçları
OPKSSH, GitHub’da Apache 2.0 lisansı altında mevcuttur.