А как работает авторизация «git@github.com» под капотом?

0

2

Ковырял я тут libssh и вдруг стало интересно, а как работает авторизация в гилабах/гитхабах?

Получается, что у них должен быть самописный ssh-сервер, который особым образом обрабатывает аутентификацию по ключам? Или же есть возможность для shell-а понять, что за ключ использовался при авторизации?

Ну и может кто подскажет, где/по каким ключевым словам можно найти исходники этих серверов авторизации?

Ссылка

←	Семафоры и дохнущий процесс

Смещение указателя по массиву интов

→

Ну так этот сервер и есть. И не обязательно самописный. Просто там работают и другие сервисы, помимо sshd.

Ты же прекрасно можешь выполнить

ssh gitlab.com

— только shell-доступ тебе никто не даст.

Как хранятся 100500 публичных ключей всех пользователей ресурса и как пользователь git получает разные привилегии в зависимости от того, с каким ключом вошёл, — вопросы открытые.

Bass ★★★★★
(11.12.20 15:38:34 MSK)

man sshd_config
/AuthorizedKeysCommand

…
PRONTO!

aol ★★★★★
(11.12.20 15:47:46 MSK)

Вот тебе пример из gitlab. В github вероятно аналогично

~git/.ssh/authorized_keys:

command="/opt/gitlab/embedded/service/gitlab-shell/bin/gitlab-shell key-18",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa AAA3... key-name

обрати внимание на key-18. В БД есть соответствие ключей и пользователей.

Tanger ★★★★★
(11.12.20 15:52:52 MSK)

GitLab можно поднять на своём сервере и авторизация по SSH через единственного юзера git точно также будет работать. Можешь посмотреть как это устроено там. Используется обычный OpenSSH из системы. Инструкция по установке GitLab не требует модификации конфига OpenSSH. Так что смотри в ~/.ssh создаваемого при установке юзера git, а также в параметры самого юзера в системе. Больше ничего.

KivApple ★★★★★
(11.12.20 15:53:40 MSK)
Последнее исправление: KivApple 11.12.20 15:54:58 MSK (всего исправлений: 1)

Ответ на: комментарий от aol 11.12.20 15:47:46 MSK

Читаем ман:

The program should produce on standard output zero or more lines of authorized_keys output

То есть, эта штука должна выплюнуть пачку публичных ключей, которые sshd попытается «приложить» к приватным ключам, пришедшим от клиента. Но на вопрос «как git@github.com превращается в конкретно взятого kawaii_neko» это не отвечает.

kawaii_neko ★★★★
(11.12.20 15:53:43 MSK) автор топика

Ответ на: комментарий от Tanger 11.12.20 15:52:52 MSK

~git/.ssh/authorized_keys:

Спасибо, похоже оно. Никогда бы не подумал, что это через authroized_keys решается.

Правда все равно любопытно, неужели авторизация на этих сервисах проходит за линейное от количества публичных ключей время.

kawaii_neko ★★★★
(11.12.20 15:59:02 MSK) автор топика

Ответ на: комментарий от kawaii_neko 11.12.20 15:53:43 MSK

Но на вопрос «как git@github.com превращается в конкретно взятого kawaii_neko» это не отвечает.

кавай, фантазируй, ну!.. ;) скрипт->бд->профит ))

aol ★★★★★
(11.12.20 16:12:37 MSK)

Ответ на: комментарий от kawaii_neko 11.12.20 15:59:02 MSK

Правда все равно любопытно, неужели авторизация на этих сервисах проходит за линейное от количества публичных ключей время.

Для анализа времени надо читать исходники openssh-server. Если будет узким местом - можно и пропатчить. Это не сложно.

Tanger ★★★★★
(11.12.20 16:24:06 MSK)

Ссылка

Ответ на: комментарий от KivApple 11.12.20 15:53:40 MSK

Можешь посмотреть как это устроено там. Используется обычный OpenSSH из системы.

Или в gitolite (SSH-based gatekeeper for git repositories). Очень легковесный: там просто perl и shell скрипты.

gag ★★★★★
(11.12.20 16:29:06 MSK)

Ссылка

Ответ на: комментарий от aol 11.12.20 16:12:37 MSK

кавай, фантазируй, ну!.. ;) скрипт->бд->профит ))

Ну после command=... из authrozied_keys все стало на свои места, да.

kawaii_neko ★★★★
(11.12.20 16:37:21 MSK) автор топика

Ссылка

Ответ на: комментарий от Bass 11.12.20 15:38:34 MSK

только shell-доступ тебе никто не даст.

Сборище тупаков… )))

https://docs.gitlab.com/ee/ssh/README.html

anonymous
(11.12.20 17:29:32 MSK)

Ответ на: комментарий от anonymous 11.12.20 17:29:32 MSK

Сборище тупаков… )))

https://docs.gitlab.com/ee/ssh/README.html

Умничка.

Ты можешь соединиться с github/gitlab/bitbucket по SSH и выполнить хотя бы одну команду – ну, скажем, uname?

Bass ★★★★★
(11.12.20 22:57:28 MSK)

Ссылка

Почитай про gitolite еще

anonymous
(12.12.20 09:08:59 MSK)

Ссылка

про то, какие детали в использовании sshd для 100 миллионов ключей не подскажу, я писал такой код для эрланга:

https://github.com/flussonic/ssh-proxy/blob/master/ssh-proxy.erl#L167

sshd поставляемый в самом эрланге просто вызывает код с уже указанным username и публичным ключом. Надо пойти в базу и среди всех ключей Username найти тот, который равен публичному ключу.

Это делается не перебором, а прямым поиском, так что нет повода не отмасштабировать это на 100 млрд ключей.

max_lapshin ★★★★★
(14.12.20 17:47:10 MSK)

Ссылка

Блин столько ответов и все втирают какую-то дичь, а всё очень просто :) Надо пойти в исходники гитлаба и посмотреть, как оно устроено под капотом. Есть проект:

https://gitlab.com/gitlab-org/gitlab-shell