В Git-репозиториях ядра Linux обеспечена поддержка двухфакторной аутентификации
18 августа 2014 года
В рамках инициативы по усилению безопасности инфраструктуры разработки ядра Linux осуществлён перевод первичных Git-репозиториев kernel.org на использование двухфакторной аутентификации. В настоящее время возможность находится в тестовом режиме и применяется для репозиториев mainline и stable. Для остальных репозиториев возможность предлагается в качестве необязательной опции, включаемой по желанию разработчика. В будущем ожидается расширение числа репозиториев, перешедших к обязательному применению двухфакторной аутентификации.
До сих пор при совершении коммитов в Git-репозитории kernel.org разработчики использовали для аутентификации индивидуальные SSH-ключи, что потенциально могло быть использовано для компрометации в случае попадания ключа в руки злоумышленника (например, из-за незащищенной организации резервного копирования). Отныне кроме аутентификации по SSH-ключу, разработчик должен подтвердить, что операция выполняется с его IP-адреса, предварительно верифицировав свой IP токеном, сгенерированным с использованием устройств или программ, поддерживающих определённые в стандартах OATH (Initiative For Open Authentication) механизмы генерации одноразовых паролей HOTP ( RFC 4226, HMAC-Based One-Time Password) или TOTP ( RFC 6238, Time-Based One-Time Password).
Например, можно использовать TOTP-приложения для смартфонов FreeOTP, Google Authenticator или Authy, а также аппаратные брелоки с поддежкой HOTP, такие как Yubikey. Компания Yubico уже приняла решение безвозмездно снабдить брелоками Yubikey всех разработчиков, имеющих аккаунты на kernel.org.
Все запросы с неподтверждённых IP при применении двухфакторной аутентификации блокируются, что требует от атакующего не только кражи закрытого ключа разработчика, но и получение доступа к рабочей станции, с которой производятся коммиты. По умолчанию подтверждение адреса действует 24 часа, но разработчик может продлить данное время до 30 дней.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
