Cloudflare ha hecho pública la herramienta OPKSSH (OpenPubkey SSH), una solución que permite autenticar servidores a través de SSH utilizando OpenID Connect (OIDC), lo que elimina la necesidad de claves SSH configuradas manualmente y permite el acceso basado en el proveedor de identidades (IdP).
Originalmente desarrollada y mantenida por BastionZero, una compañía que ahora forma parte de Cloudflare, OPKSSH ha sido liberada como código abierto bajo el proyecto OpenPubkey. Este movimiento marca un hito en la autenticación basada en identidades en el acceso a infraestructuras. El código de OPKSSH ahora está disponible para la comunidad a través de GitHub, lo que refuerza el compromiso con la seguridad y la facilidad de acceso en la gestión de SSH.
Ventajas de OPKSSH
- Seguridad Mejorada: OPKSSH reemplaza las tradicionales claves SSH de larga duración por claves efímeras que se generan bajo demanda y caducan automáticamente después de un período determinado. Esto reduce el riesgo de que una clave privada sea comprometida, limitando el tiempo durante el cual un atacante puede utilizar una clave comprometida. De manera predeterminada, estas claves caducan cada 24 horas, aunque esta política puede ajustarse.
- Usabilidad Mejorada: El proceso de crear una clave SSH es tan sencillo como iniciar sesión en un proveedor de identidades. Los usuarios pueden SSH desde cualquier computadora con OPKSSH instalado, sin necesidad de copiar su clave privada a esa máquina. Solo necesitan ejecutar
opkssh loginpara generar su clave SSH, la cual incluye su identidad OIDC. - Visibilidad Mejorada: OPKSSH permite mover la autenticación de SSH de la clave pública a la autenticación por identidad. Si Alice quiere dar acceso a Bob a un servidor, ya no necesita pedir la clave pública de Bob; basta con agregar su correo electrónico a un archivo de usuarios autorizados. Esto facilita el seguimiento de quién tiene acceso al sistema, ya que los administradores pueden ver las direcciones de correo electrónico de los usuarios autorizados.
Mejoras en OpenPubkey
Aunque el proyecto OpenPubkey ya contenía código para usar SSH con OpenPubkey, este se encontraba en una fase de prototipo y carecía de características clave. Con OPKSSH, el soporte de SSH en OpenPubkey ha pasado de ser un prototipo a una característica completa, mejorando la capacidad de configuración y de instalación automatizada. Las nuevas características incluyen:
- SSH listo para producción en OpenPubkey
- Instalación automatizada
- Mejores herramientas de configuración
Cómo Funciona OPKSSH
OPKSSH permite que las claves SSH se generen con tokens PK (public key) que incluyen los ID Tokens de OpenID Connect. Esto significa que el protocolo de autenticación de SSH ahora puede verificar la identidad de un usuario utilizando su token OIDC, en lugar de depender de las tradicionales claves SSH. OPKSSH está diseñado para ser compatible con proveedores de identidades como Google, Microsoft/Azure, y GitLab.
Para usar OPKSSH, un usuario simplemente necesita descargar el binario, autenticar su cuenta a través de su proveedor de identidades en un navegador y generar una clave SSH temporal que incluye su identidad OIDC. Luego, puede usar esta clave SSH para conectarse a servidores configurados con OPKSSH, lo que facilita la administración de identidades sin comprometer la seguridad.
Configuración en el Servidor
En los servidores, la configuración de OPKSSH es bastante sencilla. Los administradores solo necesitan ejecutar un script de instalación que descarga el binario de OPKSSH e instala la autenticación basada en OpenID Connect en el servidor. Posteriormente, se puede agregar fácilmente a los usuarios autorizados mediante sus identificadores de OpenID (como correos electrónicos) a los archivos de configuración del servidor.
Instalación y Compatibilidad
OPKSSH es compatible con sistemas operativos como Linux, macOS y Windows, y se puede instalar a través de Homebrew en macOS o manualmente en cualquier plataforma. Además, está diseñado para funcionar con servidores Linux que ejecutan distribuciones como Ubuntu y CentOS, aunque también se están trabajando en soluciones para macOS y Windows.
Conclusión
La liberación de OPKSSH como software de código abierto marca un avance importante en la autenticación basada en identidades en el ámbito de la infraestructura de TI. Con este enfoque, Cloudflare y el proyecto OpenPubkey no solo mejoran la seguridad de los sistemas, sino que también hacen que la gestión de accesos y la visibilidad sean más simples y seguras, lo que permite un control más eficaz sobre los usuarios y sus permisos en el entorno de SSH.
