top
logo


В Git-репозиториях ядра Linux обеспечена поддержка двухфакторной аутентификации PDF Печать E-mail
Автор: adm   
18.08.14 20:46

В рамках инициативы по усилению безопасности инфраструктуры разработки ядра Linux осуществлён перевод первичных Git-репозиториев kernel.org на использование двухфакторной аутентификации. В настоящее время возможность находится в тестовом режиме и применяется для репозиториев mainline и stable. Для остальных репозиториев возможность предлагается в качестве необязательной опции, включаемой по желанию разработчика. В будущем ожидается расширение числа репозиториев, перешедших к обязательному применению двухфакторной аутентификации.

До сих пор при совершении коммитов в Git-репозитории kernel.org разработчики использовали для аутентификации индивидуальные SSH-ключи, что потенциально могло быть использовано для компрометации в случае попадания ключа в руки злоумышленника (например, из-за незащищенной организации резервного копирования). Отныне кроме аутентификации по SSH-ключу, разработчик должен подтвердить, что операция выполняется с его IP-адреса, предварительно верифицировав свой IP токеном, сгенерированным с использованием устройств или программ, поддерживающих определённые в стандартах OATH (Initiative For Open Authentication) механизмы генерации одноразовых паролей HOTP (RFC 4226, HMAC-Based One-Time Password) или TOTP (RFC 6238, Time-Based One-Time Password).

Например, можно использовать TOTP-приложения для смартфонов FreeOTP, Google Authenticator или Authy, а также аппаратные брелоки с поддежкой HOTP, такие как Yubikey. Компания Yubico уже приняла решение безвозмездно снабдить брелоками Yubikey всех разработчиков, имеющих аккаунты на kernel.org.

Все запросы с неподтверждённых IP при применении двухфакторной аутентификации блокируются, что требует от атакующего не только кражи закрытого ключа разработчика, но и получение доступа к рабочей станции, с которой производятся коммиты. По умолчанию подтверждение адреса действует 24 часа, но разработчик может продлить данное время до 30 дней.

  1. Главная ссылка к новости (http://www.linux.com/news/featured-blogs...)
  2. OpenNews: Инфраструктура Linux Foundation и Linux.com подверглась взлому
  3. OpenNews: Оценка причин и последствий взлома kernel.org
  4. OpenNews: Разработчикам ядра Linux рекомендовано проверить рабочие машины на наличие вредоносного ПО
  5. OpenNews: Из-за недоступности kernel.org в ядре linux-next не хватает 89 веток
  6. OpenNews: Статус возрождения kernel.org: доступ к Git будет организован без shell доступа
Тип: К сведению
Ключевые слова: git, kernel, linux, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.2, rshadow, 03:24, 19/08/2014 [ответить] [смотреть все] –9 +/
Какую только хрень не придумают, лишь бы смс-ками с пин-кодами не пользоваться ... весь текст скрыт [показать]
 
1.3, Аноним, 04:48, 19/08/2014 [ответить] [смотреть все]  
+/
Интересно, а девайсы с открытой фирмварой, считающие по этим RFC уже сделали А ... весь текст скрыт [показать]
 
1.4, Владимир, 06:20, 19/08/2014 [ответить] [смотреть все]  +2 +/ Я вот одного не могу понять. Что это концептуально меняет в безопасности?

Допустим, злоумышленник завладел SSH ключом разработчика, установив на его машине троян. Но разве после этого у него уже нет "доступа к рабочей станции?" Разве для получения закрытого ключа не нужен уже этот доступ? Ведь если машина находится под контролем злоумышленника, то и коммит с машины разработчика он сможет сделать?

В Git-репозиториях ядра Linux обеспечена поддержка двухфакторной аутентификации  
  2.5, Аноним, 07:49, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  +2 +/
Что это концептуально меняет Позволяет использовать красивое и громко звучащее ... весь текст скрыт [показать] [показать ветку]
 
  3.32, Аноним, 23:12, 19/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
А также заметно усложнить вброс каких попало коммитов черти-откуда используя клю... весь текст скрыт [показать]
 
2.14, Кевин, 11:16, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/ утащить ссш ключ через определёееую уязвимость не всегда означает что через ту же уязвимость можно получить полный доступ к системе. ну и утечь то может ссш ключ лежавший на флешке с бэкапом ключа..
 
  3.33, Аноним, 23:15, 19/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Еще сложнее ремотно воткнуть токен в usb без ведома разработчика А если прив... весь текст скрыт [показать]
 
2.15, Anonplus, 11:30, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ Ключ можно утянуть без трояна. Например, если разработчик случайно положит его в общедоступное место. Бывали такие случаи. А вот вдобавок установить трояна на линукс-машину - куда сложнее. В итоге 0 199% защищенности никто не обещает (ее не может быть), но вероятность факапа снижается.
 
1.6, odity, 08:43, 19/08/2014 [ответить] [смотреть все]  +1 +/ GSM взломана. какие нафиг смс. хотя представьте, что для всех пользователей,напимер opennet.ru введется двухфакторная..))))
 
  2.34, Аноним, 23:16, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Ну как, придут парни из osmocom и демонстративно вкоммитят в ядро линукса от име... весь текст скрыт [показать] [показать ветку]
 
1.7, анонимный, 09:00, 19/08/2014 [ответить] [смотреть все]  –1 +/ В распоряжении CNews оказалось письмо, разосланное из российского представительства компании Red Hat ее отечественным партнерам. В этом письме за подписью Фила Эндрюса (Phil Andrews), вице-президента Red Hat в Северной и Восточной Европе, компания предписывает своим партнерам приостановить проекты со своими российскими заказчиками в связи с вводом санкций.
 
  2.8, кверти, 09:08, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/
Linux_must_rip залогинься. Этот бред выдает тебя с потрохами
 
2.11, Аноним, 09:17, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Это фейк Red Hat наличие такого письма не подтвердил, а CNews не снизошел до пу... весь текст скрыт [показать] [показать ветку]
 
  3.16, Anonym2, 11:46, 19/08/2014 [^] [ответить] [смотреть все]  +/
> Это фейк. Red Hat наличие такого письма не подтвердил, а CNews не
> снизошел до публикации опровержения. Тот документ был изначально опубликован каким-то
> левым пользователем во Вконтакте и очень похож на подделку. Cnews ссылки
> на источники не ставит, тем более на такие недостоверные как заметки
> в социальных сетях. Раньше они подобным образом нападали на ALT Linux,
> используя любую недостоверную информацию, а теперь переключились на Red Hat.

Так Red Hat не снизошёл. До опровержения... Насколько известно >:-)

 
  4.20, анонимный, 13:31, 19/08/2014 [^] [ответить] [смотреть все]  +/
А что опровергать? заявление гос. депа что все американские фирмы должны ограничить контакты с фирмами из списка? Так любая фирма из США обязана выполнять это распоряжение. Вне зависимости от того СПО это или не СПО.
 
3.17, Xasd, 12:36, 19/08/2014 [^] [ответить] [смотреть все]  +/ > Это фейк.

то что это фейк -- это и так всем понятно.

не понятно другое --- кто заказчик этого фейка? кто заплатил людям (или роботам) чтобы они писали это говноцо на форумах?

 
  4.19, анонимный, 13:27, 19/08/2014 [^] [ответить] [смотреть все]  +/
Мисье наверно знает что в США - экспортная деятельность - это привелегия. И что бы ее разрешили нужно отдельно запрашивать на это разрешение. И если гос. деп США вводит ограничения на деловые контакты с определенными фирмами и странами - то все компании обязаны это выполнять. За невыполнение можно очень серьезно ответить деньгами.

Надеюсь вы в курсе - что все крупные компании из США (SF, Oracle, Sun и тп) - ограничивали возможность скачивания своих свободных продуктов из стран которые попали под санкции? Для вас это надеюсь не новость?
Вам напомнить историю 3-4х летней давности?
Так почему вы считаете что компания из США по имени RedHat будет поступать иначе и нарушать законы ради какой-то там справедливости и потому что Linux открыт ?

Или у вас срабатывает инстинкт - "а нас то за что".. ?

 
  5.21, vi, 13:43, 19/08/2014 [^] [ответить] [смотреть все]  +/
>[оверквотинг удален]
> За невыполнение можно очень серьезно ответить деньгами.
> Надеюсь вы в курсе - что все крупные компании из США (SF,
> Oracle, Sun и тп) - ограничивали возможность скачивания своих свободных продуктов
> из стран которые попали под санкции? Для вас это надеюсь не
> новость?
> Вам напомнить историю 3-4х летней давности?
> Так почему вы считаете что компания из США по имени RedHat будет
> поступать иначе и нарушать законы ради какой-то там справедливости и потому
> что Linux открыт ?
> Или у вас срабатывает инстинкт - "а нас то за что".. ?

Инстинкт всегда срабатывает при наступлении соответствующих условий (за исключением небольшого процента на недетерминируемость).
А вот какой у Вас "выработался" (наработали Вам) инстинкт, вот это уже каждый сам за собой должен присматривать (со стороны ;)

 
5.23, Аноним, 15:32, 19/08/2014 [^] [ответить] [смотреть все]  –1 +/
привилегия чтобы здесь пишется слитно Запятые не ставим Трояк по родному язы... весь текст скрыт [показать]
 
  6.25, anonymous, 16:38, 19/08/2014 [^] [ответить] [смотреть все]  +/
Если не придраться к грамматике и запятым.

Про какую историю случившуюся три года назад пишет этот человек?

 
  7.27, анонимный, 17:39, 19/08/2014 [^] [ответить] [смотреть все]  +/
Дата 28 января 2010 года На прошлой неделе многострадальной идее свободного про... весь текст скрыт [показать]
 
7.28, анонимный, 17:44, 19/08/2014 [^] [ответить] [смотреть все]  +/ > Если не придраться к грамматике и запятым.
> Про какую историю случившуюся три года назад пишет этот человек?

спустя 2 недели.

SourceForge снова допускает врагов США к репозиториям исходных кодов
Дата публикации: 09.02.2010
Сайт SourceForge.net, являющийся одним из крупнейших в Сети хранилищ
открытого программного кода, объявил об отмене скандального решения, после
принятия которого доступ к ресурсу был заблокирован для целого ряда стран. Если
быть более точными, в список “изгоев” попали государства, на которые
правительство США наложило экономические санкции.

В своем обращении к пользователям администрация ресурса заявила о том, что
теперь ответственность за соблюдение международного торгового права возложена на
администраторов проектов, выкладывающих свой код на SourceForge.

интересно - чем в этом ключе отличается redhat от sf - что теперь RH не надо соблюдать законы США ?

 7.29, анонимный, 18:16, 19/08/2014 [^] [ответить] [смотреть все]  +/
Или вы думаете что RedHat отличается от google http www joshualandis com blo... весь текст скрыт [показать]
 5.26, anonymous, 16:44, 19/08/2014 [^] [ответить] [смотреть все]  +/ > Или у вас срабатывает инстинкт - "а нас то за что".. ?

За что - вполне понятно. За защиту своих интересов.


Теперь к делу.

а) Linux открыт обозначает ровно одну и только одну вещь - специфический способ лицензирования

б) Лицензирование ПО, как всё авторское право не имеет естественных оснований и поддерживается государственным принуждением.

в) Как следствие если государство в юрисдикции которого находится разработчик запретит рецензировать ПО определённой группе лиц или организаций - запрет будет действовать вне зависимости от особенностей самой лицензии. Без различий Microsoft EULA или GPL


д) Преимуществом СПО в данном случае является только возможность сделать fork. При наличии финансовых средств и человеческих ресурсов на собственную разработку.

Впрочем в России указанные ресурсы вполне в наличии. Было бы желание пользоваться.

 
  6.30, анонимный, 18:30, 19/08/2014 [^] [ответить] [смотреть все]  +/
>> Или у вас срабатывает инстинкт - "а нас то за что".. ?
> За что - вполне понятно. За защиту своих интересов.

я собственно о том же. Что люди не понимают что их ровно так же могут "наказать", и что компании из США все должны выполнять законы.


> Теперь к делу.
> а) Linux открыт обозначает ровно одну и только одну вещь - специфический
> способ лицензирования
> в) Как следствие если государство в юрисдикции которого находится разработчик запретит
> рецензировать ПО определённой группе лиц или организаций - запрет будет действовать
> вне зависимости от особенностей самой лицензии. Без различий Microsoft EULA или
> GPL
> д) Преимуществом СПО в данном случае является только возможность сделать fork. При
> наличии финансовых средств и человеческих ресурсов на собственную разработку.

угу. только могут запретить и скачивать - из-за чего возникнут колизии типа как распространение BSD было.
Для США одна криптуха, для остального мира - другая, по проще..

 
1.9, Аноним рус, 09:13, 19/08/2014 [ответить] [смотреть все]  +/ а если динамический йп у человека?
 
  2.12, RiseOfDeath, 10:13, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Во-во, у меня такой же вопрос возник.
 
    4.31, Аноним, 22:41, 19/08/2014 [^] [ответить] [смотреть все]  +/
 
2.18, Xasd, 12:39, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/ > а если динамический йп у человека?

то относительно subject -- нет ни какой разницы.

больше чем 1 раз в день (или 1 раз в неделю) твой ip меняться не будет ,при условии что конечно если ты сам умышленно не станешь судорожно переподключаться к интернету по 20 раз в день.

 
1.10, Аноним, 09:17, 19/08/2014 [ответить] [смотреть все]  +1 +/
К слову, за безопасность kernel org отвечает Константин Рябицев, рождённый в Рос... весь текст скрыт [показать]
 
  2.22, Аноним, 15:07, 19/08/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
И что, рождённый в россии его какими-то свойствами особыми наделяет что вы это... весь текст скрыт [показать] [показать ветку]
 
  3.24, anonymous, 16:37, 19/08/2014 [^] [ответить] [смотреть все]  +5 +/
> И что, "рождённый в россии" его какими-то свойствами особыми наделяет что вы
> это упомянули? Кстати, не он ли отвечал за безопасность во время
> эпичного взлома 2011 года?

Делает его соотечественником. Не знаю как у вас, но у нормальных людей принято радоваться успехам соотечественников.

 
  4.36, Etch, 06:23, 20/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
В чём успех в данном случае и что мешает нормальным людям радоваться успехам людей из других стран?
 
1.35, Аноним, 00:19, 20/08/2014 [ответить] [смотреть все]     [к модератору]  +/
Что-то я не понимаю видимо про ssh-ключи Даже если мой комп скомпрометирован, н... весь текст скрыт [показать]
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40405

 
Интересная статья? Поделись ей с другими:

Детские песни

    изображение - детские песни онлайн слушать и скачать минусовки

Детские песенки
онлайн скачать минус

Как собрать кубик?

изображение - как собрать кубик Рбика
Как собрать
кубик Рубика?


bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика