| |
| 2.32, 1 (??), 16:47, 26/03/2025 [^] [^^] [^^^] [ответить]
| +5 +/– |
Особенно "Для подключения достаточно выполнить на сервере привязку к учётной записи у провайдера OpenID."
И все твои сервера там.
| | |
| |
| 3.89, Bob (??), 19:50, 26/03/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Если рабочие - многие и так там. Azure.
Для личных можно всё нормально настроить: ключик, ip, mac и т.п.
| | |
|
| |
| 3.126, Аноним (126), 07:48, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Почему у чужого? Внутри компании же разворачивается та же freeipa и погнали.
| | |
| |
| 4.133, Vasya (??), 09:28, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
 На FreeIPA и так можно настроить OpenID по ssh без стороннего ПО.
| | |
|
|
|
| 1.2, Аноним (-), 15:23, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вот она сила опенсорса!
Компании с радостью делятся своими наработками.
| | |
| |
| 2.11, Аноним (11), 15:34, 26/03/2025 [^] [^^] [^^^] [ответить]
| +5 +/– |
Это не они делятся, а ты доступом к своему серверу. Где хостится это OpenID и в чьей юрисдикции?
| | |
| |
| |
| 4.26, Аноним (11), 16:10, 26/03/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
В чём смысл ставить ещё какой-то мутный чужой код на свой сервер, если всё делается штатными средствами: вместо файла opk/auth_id используя ssh/authorized_keys... Тем более, что opk/auth_id открыто светит аккаунтами, а утечка второго вообще ничего не даёт.
| | |
| |
| 5.39, Аноним (137), 17:09, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну пока у тебя один локалхост, то действительно не нужно это всё, можно «штатными средствами» обойтись. А где хост не локал и их сильно больше одного, там и OpenID уже развёрнут и работает. Да хоть тот же AD, например.
| | |
| |
| 6.55, Аноним (55), 18:25, 26/03/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Вы менпейдж OpenSSH вообще читали? Там специально для вас уже давно есть сертификаты и возможность указать ключи как CA. Если кто-то при подключении покажет сертификат, подписанный данным CA, сервер даст залогиниться по заранее не занесённому в сервак ключу. В сертах можно и время действия настроить, и разрешения повесить.
Сабж же просто паразитирует на уже существующей инфраструктуре, пытаясь пропихнуть какую-то мутную схему хранения ключей.
| | |
| |
| 7.70, User (??), 18:53, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Угу. Вот только решения, способного налету проводить аутентификацию пользователя, выписывать ему этот самый short-lived сертификат и добавлять ключик в ssh-агент у них нет. У всяких hashicorp с 1password есть, а у этих уот - нёма. И написать за столько лет - лапки.
| | |
| |
| 8.75, Аноним (137), 19:01, 26/03/2025 [^] [^^] [^^^] [ответить] | +/– | Step и StepCA есть, но они всё равно требуют костылей для интеграции с SSO А бе... текст свёрнут, показать | | |
| |
| 9.77, User (??), 19:08, 26/03/2025 [^] [^^] [^^^] [ответить] | +/– | Не-не-не, спасибо - я с rutoken ами для шифрования жестких дисков ноутбуков напр... текст свёрнут, показать | | |
| |
| 10.88, Аноним (137), 19:48, 26/03/2025 [^] [^^] [^^^] [ответить] | +/– | У нас примерно 2000 человек по всему миру юбикеями пользуется каждый день для до... текст свёрнут, показать | | |
| |
| 11.93, User (??), 20:07, 26/03/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Ну, у меня 1000 было - и это был ад на всех стадиях, от рассчета фактической по... большой текст свёрнут, показать | | |
| |
| 12.136, 1 (??), 13:26, 27/03/2025 [^] [^^] [^^^] [ответить] | +/– | 100500 И 2 чая этому господину И лучше прописывать в должностной наказание за... текст свёрнут, показать | | |
|
|
|
|
| |
| 9.138, Аноним (137), 17:15, 27/03/2025 [^] [^^] [^^^] [ответить] | +/– | Баш-скрипт на пару сотен строк без бэкенда на ещё пару тысяч и не на баше в реал... текст свёрнут, показать | | |
|
|
| 7.71, Аноним (137), 18:53, 26/03/2025 [^] [^^] [^^^] [ответить] | +/– | Есть, есть, и пользуемся давно И всё равно нужен костыль чтобы выдавать сертифи... большой текст свёрнут, показать | | |
|
| 6.72, User (??), 18:56, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот конкретно если у вас есть AD - то проще не через ADFS вот это всё на лыжах-в-гамаке, а расширить схему кастомным аттрибутом, запихнуть тудой ssh-ключик и горя не знать.
А вот если вы в а-аааблааааках-бела-гриии-иивых-лоша...дках тады и впрямь проще что-то уот такое уот запилить.
| | |
| |
| 7.76, Аноним (137), 19:05, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Пихать ключик куда угодно значит, что его кто-то должен сгенерировать, не потерять, не сделать его беспарольным, и не отправить по неосторожности вместо публичного ключа кому-нибудь. Если других способов нет, то и этот сойдёт, но это ничем не лучше скрипта дёргающего rsync по сути. Ну может админу маргинально удобнее, и только.
| | |
| |
| 8.78, User (??), 19:11, 26/03/2025 [^] [^^] [^^^] [ответить] | +/– | Не-не-не Тут не начальный деплой решается, а проблема расползания ключа по n-се... текст свёрнут, показать | | |
| |
| 9.91, Аноним (137), 19:59, 26/03/2025 [^] [^^] [^^^] [ответить] | +/– | Сегодня у нас работает так SSH CA, выдача сертификата на ключ из yubikey, и всё... текст свёрнут, показать | | |
| |
| 10.99, User (??), 20:39, 26/03/2025 [^] [^^] [^^^] [ответить] | +/– | Хорошо быть здоровым, богатым, не ленивым и умным, правда Мы одно время к таком... большой текст свёрнут, показать | | |
|
|
|
|
|
| 5.109, blkkid (?), 23:37, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
это очень круто, но подходит только разве что подкроватных систем
где начинается серьезное разделение прав обязанностей, ротация ключей и прочее, там authorized_keys сдувается и начинается дурдом
| | |
| |
| 6.150, _ (??), 19:59, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Но количество дурдома можно (и нужно!) значительно снизить!
К примеру OpenSSH server можно неплохо подружить с вашим MS AD. Вход не по ключу, а по паролю, конечно, но ведь в форточку они логинятся? Ну и ...
Для мест где вход по ключу таки нужен - ну тут всё ещё кто во что горазд... но тоже есть приемлемые решения.
PS: Сабж не щупал, относится он к приемлемым или нет - пока не в курсе.
| | |
| |
| 7.161, Аноним (137), 18:46, 28/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Вход не по ключу, а по паролю, конечно
Сразу отправляется под кровать обратно на локалхост, с которого он сбежал.
| | |
|
|
|
|
|
| |
| |
| 4.90, Аноним (11), 19:56, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Погуглите, почему многие компании прекратили саппорт продукта в 2018-ом.
| | |
|
| |
| 4.94, Аноним (11), 20:08, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 - это две разные вещи".
OpenID Connect - это третье поколение стандарта OpenID.
| | |
| |
| 5.115, bonifatium (?), 02:27, 27/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 -
> это две разные вещи".
> OpenID Connect - это третье поколение стандарта OpenID.
это твои аналогии звучат нелепо. В треде дан контекст. И в этом контексте есть OpenID, закрытый в 2018 году, что есть gen 1, и есть OpenID Connect, что есть gen 3.
| | |
|
|
|
|
| 1.3, Аноним (3), 15:23, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– | |
> Для привязки учётной записи к OpenID администратор сервера выполняет команду "opkssh add".
И? Это буквально ничем не отличается от ручного копирования ключей. Одну операцию заменили на другую, да ещё и сомнительную с точки зрения безопасности.
| | |
| |
| 2.7, Аноним (7), 15:28, 26/03/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ручной ключ живёт вечно и привязан к одному хосту.
Некоторые правда ставят для ключа пустой пароль и копируют один ключ на разные системы, чтобы не заморачиваться с прописыванием на сервере, но потом в один прекрасный день обнаруживают, что по их сети шарится кто-то, выудивший ключ из старого диска, выброшенного на помойку.
| | |
| |
| 3.60, Аноним (55), 18:31, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Есть:
- Сертификаты SSH, с возможностью указать время действия подписанного ключа. И настраивается банальным закидыванием в сервак одного паблика CA в указанный файл (либо в authorized_keys с опцией).
- Хост вместо локального хранения пабликов может исполнять команду для получения списка ключей из stdout. Команда же, в свою очередь, может быть хоть curl-ом на другой хост, куда доступы нужны другие.
- Можно прописать прям в authorized_keys, до какого срока ключ будет действительным.
| | |
| |
| 4.80, Аноним (137), 19:22, 26/03/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Сертификаты SSH, с возможностью указать время действия подписанного ключа
Для контекста: время жизни ключа для прода — 10 минут. Стейдж — 1 час. Дев — 8 часов. Это всё для интерактивных сессий. Для автоматизации время жизни всех ключей без исключения — 2 минуты.
> Можно прописать прям в authorized_keys, до какого срока ключ будет действительным.
Начинай прописывать вон то выше. Правда, чтобы что-то записать в прод надо сперва туда как-то попасть, и сделать доступным для записи что-то подходящее, а таких мест в проде нет by design.
| | |
|
|
| 2.85, Анонизм (?), 19:36, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Как сомнительную? А вы о товарище майоре не подумали, который за нашу с вами безопасность борется? Ещё один способ для него, чтобы получить доступ к серверу...
| | |
|
| 1.4, Аноним (7), 15:24, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Я правильно понимаю, что в такой схеме компрометация провайдера OpenID означает компрометацию всех клиентов? Если взломают провайдера OpenID или его администратор окажется продажен, то что мешает сгенерировать от моего имени токен и подключиться к моему серверу?
| | |
| |
| 2.12, пох. (?), 15:36, 26/03/2025 [^] [^^] [^^^] [ответить]
| –4 +/– | |
не переживай так сильно, компроментация гитляпа означает компроментацию всего мира целиком через миллиарды неочевидных цепочек зависимостей.
твой локалхост при этом наверное даже уцелеет, потому что просто на него пожалеют время
| | |
| |
| 3.33, 1 (??), 16:49, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
У AI времени много и скрипты не различают большой сервер или подкроватный.
| | |
| |
| 4.41, Аноним (137), 17:11, 26/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Очень даже различают, и именно потому, что время AI стоит слишком дорого, чтобы тратить его на подкроватные хосты.
| | |
| 4.53, пох. (?), 18:18, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
это пока их сотни и тысячи поломанных. А как будут миллионы - мигом научится различать цели повкуснее от тех на которые нечего ИИ переводить.
| | |
|
|
| 2.96, Bob (??), 20:12, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Если настолько взломают Гугл, Майкрософт, Amazon и прочих, то OpenID будет чуть ли не на последнем месте.
А понял ты не правильно. Там всё шифровано как минимум твоим паролем. Можно добавить ключь свой (или кодовую фразу) и 2FA. Без этого не расшифруют.
На счёт "продажен" - для юрисдикций нормальных людей прециденты были?
И, в целом, технология больше для мега энтерпрайза или у кого ничего важного нет, но хочется удобства.
| | |
| |
| 3.125, _ (??), 05:44, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>На счёт "продажен" - для юрисдикций нормальных людей прециденты были?
Ты совсем что-ли в коконе? Не раз и не два и в любых "юрисдикциях" включая ваш фетишЪ ... а что? :)
| | |
|
|
| 1.8, Аноним (11), 15:29, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> подключение к серверу с любых хостов
Вот это точно, организуют они тебе подключение с любых хостов :) Сейчас первое, что надо узнавать, в чьей юрисдикции этот OpenID. А то получится, как с Линусом: вроде и open, и в Америке.
| | |
| |
| 2.10, Аноним (-), 15:34, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Так оно опен независимо от юрисдикции.
Просто потому что ты можешь скачать код и развернуть где захочешь, хоть на своем подкроватном сервере.
Вопрос зачем и кто с ним будет общаться, открытый, но возможности у тебя есть.
Так же и с Линуксом - да, оттуда выкинули сотрудников подгебнявых компаний, но никто не запрещает им писать код самим.
| | |
| |
| 3.13, Аноним (11), 15:38, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> можешь скачать
Не можешь. Многие закрыли доступ к своим "open".
| | |
|
| 2.48, Аноним (137), 17:48, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> в чьей юрисдикции этот OpenID
В той же самой, в чьей IP, SMTP, HTTP, BGP и прочие. Да и в целом, проблемы с юрисдикцией — это какой-то локальный мем. Подавляющее большинство людей на планете о такой проблеме узнают из новостей про очередной виток эскалации конфликта стран-террористов с цивилизованным миром. Что ж теперь, из-за каких-то отщепенцев годной технологией не пользоваться?
| | |
| |
| |
| 4.151, _ (??), 20:04, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
До основанья!, а затем ... (С)
Что может пойти не так?! ;)
| | |
|
|
|
| 1.9, пох. (?), 15:34, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– | |
краудшмара как всегда - из всех возможных и невозможных методов авторизации выбрала самый худший.
Теперь для работы в консоли - нужен браузер. Причем модный-современный-распоследней версии.
| | |
| |
| |
| 3.18, пох. (?), 15:57, 26/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
для работы дополнительно должен быть установлен Firefox новее выпуска 56
ну такое себе... впрочем, полагаю, с 18го года эта поделка успела уже умереть.
| | |
|
| 2.50, Аноним (137), 17:59, 26/03/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Всё с точностью до наоборот: выбрали самый простой и доступный метод, который используется буквально в каждой корпораци уже пятнадцать лет, имеет несколько хороших реализаций, и коммерческих, и даже опенсорсных. Сказки про рабочие станции без браузера оставь эникеям, котрые PoSы настраивают и картриджи трясут.
| | |
| |
| 3.82, bonifatium (?), 19:28, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
там даже базовым rfc едва 10 лет исполнилось, а уж про 15 лет это и вовсе сказки
| | |
| |
| 4.92, Аноним (137), 20:01, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
OpenID был опубликован 18 лет назад. Что там кому не исполнилось?
| | |
|
|
| 2.110, anonymous (??), 00:13, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Больше от Identity Provider-а зависит и того, что он готов выдать твоему сервису. Некоторые аутентификационные флоу вообще позволяют через HOTP или TOTP аутентифицироваться - скачал аутентификатор на телефон, зарегистрировал его и все, управляй доступом одним нажатием. И секурно, и двухфакторка, и удобно.
| | |
| |
| 3.117, Аноним (137), 02:45, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Любой более-менее крупный бизнес — сам себе IdP. Если скучно, можешь себе прямо под кроваться IdP развернуть с любым флоу, хоть HOTP, хоть TOTP, хоть за разрешением к маме и бабушке. Коммерческие IdP за деньги сделают что угодно. Но на практике хотя бы попытаются отговорить от совсем уж безумных затей.
| | |
| 3.129, Аноним (129), 08:57, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Удобно - это когда ты взял и подключился через openvpn в хуке коннекта интерфейса или сразу в rc.local. Когда для этого приходится доставать телефон, привязывать к этому ещё какое-то приложение, а потом открывать ещё по десять окон корпоративного буллшита и в каждом подобные препоны с аутентификацией и поддержкой логина больше часа - это называется НЕудобно.
| | |
| |
| 4.139, Аноним (137), 17:26, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
А ещё удобнее просто телнетом без пароля. Никакие хуки не нужны, никакие впны. Лепота!
| | |
| 4.152, _ (??), 20:08, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> это называется НЕудобно.
Дорожный знак на Ыnterprise Шtrasии :
<== Удобно = | = БезопасТно ==>
:)
| | |
|
|
|
| |
| 2.20, пох. (?), 15:59, 26/03/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> У меня только один вопрос: что это и зачем оно нужно?
клаудшмара: орган заботы о пользователях и пользуемых интернетом
гитхаб: чатик для разработчиков софта и примазавшихся, под крылышком лучшего друга опенсорсия
ssh: ненужная программа для взлома злоумышленниками твоего сервера
не благодари
| | |
| |
| 3.98, Krtek (?), 20:20, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм.
| | |
| |
| 4.123, Аноним (55), 05:06, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
IP пакеты по проводу совсем немного быстрее доставляются, чем ваша задница до картотеки с Тётей Зиной.
| | |
| |
| |
| 6.140, Аноним (137), 17:28, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Точно. Сгорел сарай, гори и хата. Всё либо ничего. Подростковый абсолютизм как жизненное кредо ещё никого не подводил.
| | |
| |
| 7.153, _ (??), 20:11, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну ачпета всё и держится на True|False и ничего другого уж лет 70 как :)
Хотя троичные в СССР делали ... но всё умерло :(
| | |
|
|
|
| 4.147, Аноним (147), 18:56, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм.
Т.к. новинки индустриализации в конечном счёте оказываются превосходством в грубой силе оружия тоже, кроме прочих достоинств.
При отставании в индустриализации теряется способность к защите себя, кроме огромного числа прочих недостатков отказа от изобретений.
| | |
|
|
| 2.23, Аноним (11), 16:02, 26/03/2025 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Технический ответ: чтобы писать ААА в файле БББ вместо писанины ВВВ в файле ГГГ. Конкретные значения первой пары озвучены в статье, вторая - штатные средства самого ssh.
Практический ответ: чтобы можно было получить доступ к твоему серверу по требованию.
| | |
| 2.35, Аноним (-), 16:55, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Хм, странно что ты сидишь на этом сайте и не слышал, ну да ладно.
> что это
Cloudflare - одна из крупных компаний, которая оберегает от ддос и прочих неприятостей.
opkssh - опенсорс программа которую она сделала, тк у сообщества лапки (кривые).
Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности.
> зачем оно нужно
Чтобы можно было одной учеткой логиниться в разные сервисы
Основная фишка в децентрализации.
| | |
| |
| 3.43, Аноним (43), 17:20, 26/03/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Чтобы можно было одной учеткой логиниться в разные сервисы
Тебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину.
| | |
| |
| 4.127, Perlovka (ok), 08:27, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
 В компаниях, отличных от локалхоста, бывают тысячи пользователей и десятки сервисов.
Но хомячкам главное ляпнуть )
| | |
| |
| 5.154, _ (??), 20:16, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Но правило изложенное выше от их количества никак не зависит. И усли у вас это не так ... :) Ну - "shame to be you!"(C) :-D
| | |
| |
| 6.158, Perlovka (ok), 23:53, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Но правило изложенное выше от их количества никак не зависит. И усли
> у вас это не так ... :) Ну - "shame to
> be you!"(C) :-D
Правило, которое ты сам придумал? Ни одна нормальная компания такой херней не страдает.
| | |
|
|
| 4.148, Аноним (147), 19:03, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Тебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину.
Как быть уверенным, что в каждый момент времени каждый из тысяч может успешно логинится по сети одновременно в многие разные сервисы. Контекст: за 15 минут полезной работы без ошибок логина эти тысячи пользователей создают очень много полезного и нужного в эквиваленте денег, например.
Когда все сервисы оказались в Интернете, а операционная система под сервисами в большинстве, почему-то, случаев на базе GPL софта.
Тогда логично, что эти сделали примерно это.
| | |
| |
| 5.155, _ (??), 20:18, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
SSO - не не слыхал?
Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет вот прямо запрещаю!(С) :)
| | |
| |
| 6.159, Perlovka (ok), 23:56, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
> SSO - не не слыхал?
> Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет
> вот прямо запрещаю!(С) :)
SSO это буквально одна учетка на все сервисы. Как-то жидко у тебя получается набрасывать.
| | |
|
|
|
| 3.63, Аноним (55), 18:36, 26/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Отдавать логин какому-то хосту (ещё и не в твоей кладовке) вместо того, чтобы делать это локально - это противоположность децентрализации. Что вы имели ввиду вообще?
| | |
| |
| 4.141, Аноним (137), 17:30, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Отдай хосту в своей кладовке. Что мешает-то? Протоколы открыты и реализации доступны.
| | |
|
| 3.112, Аноним (-), 01:03, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности.
Простите, а чем это они заслужили такое доверие?
> Чтобы можно было одной учеткой логиниться в разные сервисы. Основная фишка в децентрализации.
Децентрализации? В каком месте? Может вы хотели сказать о централизации входа? Или может хотели рассказать о децентрализации серверов этих самых корпораций? У них она есть и этим они и заманивают доверить им вход - взламывать не будут. Потому что сервера их рассчитнаны на высокие нагрузки и есть возможность юридического воздействия если что. Хмм... кто ж взламывать то будет локалхост используя точно такие же возможности нападения на сервер как у них возможности защиты? Да и зачем?
| | |
| |
| 4.143, Аноним (137), 17:40, 27/03/2025 [^] [^^] [^^^] [ответить] | +/– | Успешным ведением бизнеса, тщательным исполнением местного законодательства, зак... большой текст свёрнут, показать | | |
|
|
| 2.113, Аноним (-), 01:12, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> иди проспись
И то правда. Все это такие глупости, порой лучше просто промолчать.
| | |
|
| 1.16, Аноним (16), 15:43, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Как показали недавние события, все эти подписи до лампочки, если в проекте участвуют анонимные ЖинТяны.
Достаточно немного надавить на задолбанного мейнтенера... и можно пихать бекдоры куда угодно.
| | |
| 1.21, Омномно (?), 16:01, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
SSH-сертификат со сроком жизни и тулза для её выписывания, если угодно, на сервере, не?
| | |
| |
| 2.64, Аноним (55), 18:37, 26/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Они, походу, именно этот механизм и используют. Только ты ещё и логинится на гитхабе должен, перед тем как на сервер попадёшь. Крута, дыа? :)
| | |
| 2.65, User (??), 18:40, 26/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну в общем "да", но есть нюанс в виде отсутствия opensource'ного решения как для сервера, так и для клиента (Как-то же этот ключик должен попасть тебе в ssh-agent, да?). Если не ошибаюсь, решение были вот у hashicorp и 1password - но у них ты авторизуешься та-дааам! По OIDC.
| | |
| |
| 3.68, Аноним (55), 18:48, 26/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте.
| | |
| |
| 4.74, User (??), 18:58, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте.
Удачи, сынок - запилишь аналоговнету - приноси на opennet, посмеемся.
| | |
|
|
|
| 1.25, Аноним (25), 16:06, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
>без необходимости создания закрытых ключей на каждом клиентском компьютере
Да, да, все приватные ключи надо срочно доверить GitHubу и Cloudflare!
| | |
| |
| 2.66, User (??), 18:42, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Так это у Тео надо спрашивать, какого моржового он свою ни с чем не совместимую реализацию PKI запилил. Не то, чтобы в стандартном x509 было дофига чего хорошего, н-но...
| | |
|
| 1.40, Аноним (43), 17:10, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
>При помощи opkssh можно избавиться от ручной работы по управлению и настройке SSH-ключей, а также организовать подключение к серверу с любых хостов, без необходимости создания закрытых ключей на каждом клиентском компьютере и без ручного копирования открытых ключей на сервер.
- Вы, чего, и пальцы за меня загибать будете?
- Ага!
| | |
| 1.45, Аноним (59), 17:30, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Как подчинить хомячков?
Создать необходимо-безопасную среду и предложить помощь в централизованном хранение средств аутентификации.
| | |
| 1.49, Аноним (59), 17:55, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
На картинках надо рисовать не Алису, а Буратино, ищущий путь в страну дураков.
| | |
| 1.51, Аноним (137), 18:03, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Тред-перепись админов локалхоста, для которых 2FA — это смс с циферками, OpenID — Гитхаб, интернет — локалка провайдера за cgNAT, а серверов не бывет больше одного, потому под кроватью не помещаются.
Алсо, предоставлю OpenID в вашей юрисдикции. Дорого.
| | |
| |
| 2.54, Аноним (59), 18:24, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
А Вы в резюме указываете на скольких хостах(кластерах) и юрлицах админити. Это важно!
Не очень хочется компрометировать систему теми кто шляется не знамо где.
| | |
| |
| 3.84, Аноним (137), 19:36, 26/03/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Последние десять лет работу нахожу строго через личные рекомендации. В резюме у меня два параграфа, в первом написано что я могу сделать для вашего бизнеса, во втором — «райдер». CTO и топ-менеджменту пофиг на то, какими языками программирования и фреймворками ты владеешь. Внезапно.
| | |
| |
| 4.107, Аноним (11), 22:08, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> CTO и топ-менеджменту пофиг
Естественно. Им важно, насколько быстро ты тряпкой по машине водишь и не оставляешь ли царапин.
| | |
| |
| 5.118, Аноним (137), 02:55, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Если бы ты знал, сколько стоит «быстро тряпкой» для элитных авто уважаемых людей, ты бы наверное сгорел от зависти. Я столько за год не зарабатываю пока. Но есть плюсы: мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать.
| | |
| |
| 6.149, Аноним (59), 19:56, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать.
Это Ваш райдер? Ну не надо уж так откровенно.
| | |
| |
| 7.162, Аноним (137), 19:00, 28/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Это Ваш райдер?
Да, почти слово в слово. Мне для жизни мало надо, а для успешной работы и того меньше — Эксель, Джира и Слак.
> Ну не надо уж так откровенно.
Почему же? У меня крайне мало секретов, да и те что есть весьма скучны и банальны. Скрытность считаю пороком.
| | |
|
|
|
|
|
| 2.67, User (??), 18:48, 26/03/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, вот конкретно с ЭТИХ станется захардкодить перечень ДОВЕРЕННЫХ провайдеров, да еще и какое-нибудь ниочень стандартное расширение протокола вклеить )
| | |
| |
| 3.86, Аноним (137), 19:41, 26/03/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко, в срок, и на слабые места в ТЗ со старта указали, сразу с возможными вариантами решений. Мне бы таких орлов, я бы за два года с нижнего уровня менеджмента на средний переехал не особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не могут захардкодить по определению.
| | |
| |
| 4.95, User (??), 20:10, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у
> себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко,
> в срок, и на слабые места в ТЗ со старта указали,
> сразу с возможными вариантами решений. Мне бы таких орлов, я бы
> за два года с нижнего уровня менеджмента на средний переехал не
> особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не
> могут захардкодить по определению.
Ну, вот ЭТИХ - тех, которые:
https://github.com/cloudflare/boringtun
Не знаю, что у них там со стафффом, а вот опенсорц у ребят... своеобразный.
| | |
| |
| 5.119, Аноним (137), 02:59, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Так а что не так-то? Я не слежу особо, мне tailscale для локалхостов хватает, а на работе обычный cisco vpn. Они ж его вроде для себя в первую очередь писали.
| | |
| 5.132, нах. (?), 09:07, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
да все даже лучше чем обычно - выложили какие-то исходники, только они даже не собираются, не говоря уж что не работают, но вон вам бинарнички, скачайте откуда положено и не беспокойтесь.
Обычно-то и бинарничков нет - "есть, но только в нашей внутренней инфраструктуре"
Там не только про попенсорц, там про общий уровень культуры разработки выводы очевидные напрашиваются.
| | |
| |
| 6.146, Аноним (137), 18:15, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> даже не собираются
Пох как всегда, даже их чужих исходников собрать не может. А я не поленился и проверил. Собирается на раз, хотя проект два года вообще без движения стоит (это к слову тем, кто вечно ноет что раст слишком быстро развивается и без послезавтрашней ночнушки ничего не работает):
$ cargo build --bin boringtun-cli --release
[…]
Finished 'release' profile [optimized] target(s) in 41.59s
На винде только ругается, мол:
error[E0433]: failed to resolve: could not find 'unix' in 'os'
Что правда, unix в этой os отродясь не было.
| | |
|
|
|
|
| 2.130, Аноним (129), 09:01, 27/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Алсо, предоставлю OpenID в вашей юрисдикции. >Дорого.
Сколько уже купило? Когда купят? Сколько порч на понос выдали благодарные конечные пользователи?
| | |
| |
| 3.144, Аноним (137), 17:46, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Сколько уже купило?
Нет времени считать, за забором очередь стоит со вчерашнего дня.
> Когда купят?
Уже покупают. Разлетаются как горячие пирожки. Занимай быстрее, пока не байты не закончились.
> Сколько порч на понос выдали благодарные конечные пользователи?
По состоянию на 2025-03-27, ровно ноль. Продолжаю вести наблюдение.
| | |
|
|
| 1.87, Аноним (129), 19:42, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Скажите, а разметить гидранты доступом к серверу или получить отказ по причине потому что нельзя можно будет? Если да, то это прямо как на десктопах и я обоими руками за такие нововведения от CloudFlare.
| | |
| 1.105, Аноним (105), 20:58, 26/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Очередная потуга вендорлока от очередной мегакорпы. Теперь у них подгорает что кто-то может ssh юзать без их одобрения видимо.
| | |
| |
| 2.108, Qqq (?), 22:54, 26/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если они не заставляют использовать себя в качестве OIDC-провайдера?
| | |
| |
| 3.111, Аноним (11), 00:36, 27/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> они не заставляют
Ну да, конечно, каждый админ локалхоста разворачивает у себя свой поисковик, почту, гит, телеграф.
| | |
| |
| 4.120, Аноним (137), 03:01, 27/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
А зачем админу локалхоста что-то кроме одного ключа в ~/.ssh/authorized_keys?
| | |
| 4.134, Аноним (134), 09:56, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Разве OIDC требует чего-то серьёзнее HTTPS на Let's encrypt, а не DNS туда-обратно, DKIM и отпечаток ануса как e-mail?
| | |
|
| 3.121, Аноним (-), 03:47, 27/03/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если
> они не заставляют использовать себя в качестве OIDC-провайдера?
Да вы в принцитпе и CDN можете свой поставить. А потом клаудспайварь немного поддосит вас и вам ценничек развлекухи не понравится, и у вас деньги кончатся быстрее чем у них. После чего у вас будет не так уж много выбора :)
| | |
| |
| 4.145, Аноним (137), 17:50, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> клаудспайварь немного поддосит вас
Но пруфов как всегда не будет.
| | |
| |
| 5.156, _ (??), 21:04, 27/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Поисковики всё ещё работают, бро - попробуй да и обрящешь! :)
| | |
|
|
|
|
| 1.135, Соль земли (?), 10:59, 27/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
То есть пустить к себе Google, Microsoft/Azure и Gitlab. Уж лучше качать скрипты в stdin bash.
| | |
| 1.164, Аноним (164), 14:11, 30/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
КФ опен ид провайдера показывает с шильдиком гугла. Их поставщик решений AI?
| | |
|
