В Git-репозиториях ядра Linux обеспечена поддержка двухфакторной аутентификации
В рамках инициативы по усилению безопасности инфраструктуры разработки ядра Linux осуществлён перевод первичных Git-репозиториев kernel.org на использование двухфакторной аутентификации. В настоящее время возможность находится в тестовом режиме и применяется для репозиториев mainline и stable. Для остальных репозиториев возможность предлагается в качестве необязательной опции, включаемой по желанию разработчика. В будущем ожидается расширение числа репозиториев перешедших к обязательному применению двухфакторной аутентификации. До сих пор при совершении коммитов в Git-репозитории kernel.org разработчики использовали для аутентификации индивидуальные SSH-ключи, что потенциально могло быть использовано для компрометации в случае попадания ключа в руки злоумышленника (например, из-за незащищенной организации резервного копирования). Отныне кроме аутентификации по SSH-ключу, разработчик должен подтвердить, что операция выполняется с его IP-адреса, предварительно вирифицировов свой IP токеном, сгенерированным с использованием устройств или программ, поддерживающих определённые в стандарте OATH механизмы генерации одноразовых паролей HOTP (RFC 4226) или TOTP (RFC 6238).
Например, можно использовать TOTP-приложения для смартфонов FreeOTP, Google Authenticator или Authy, а также аппаратные брелоки с поддежкой HOTP, такие как Yubikey. Компания Yubico уже приняла решение безвозмездно снабдить брелоками Yubikey всех разработчиков, имеющих аккаунты на kernel.org.
Все запросы с неподтверждённых IP при применении двухфакторной аутентификации блокируются, что требует от атакующего не только кражи закрытого ключа разработчика, но и получение доступа к рабочей станции, с которой производятся коммиты. По умолчанию подтверждение адреса действует 24 часа, но разработчик может продлить данное время до 30 дней.
© OpenNet
