Linux Foundation съобщи вчера, че добавя двуфакторна защита до хранилищата си, които съхраняват изходния код на Линукс ядрото в опит да подобрят безопасността на разработчиците и на самите хранилища.
До този момент те (разработчиците) биваха осигурявани със свой собствен частен SSH ключ, с помощта, на който доставяха направените от тях промени по ядрото. Докато ключовете доставят едно нормално ниво на сигурност, то от „Фондация Линукс“ знаят, че те могат да попаднат в неподходящи ръце и да се случи инцидент с неизвестни последици.
„За съжаление, въпреки че ключовете са достатъчно дълги и се съхраняват на твърдия диск на работните ви станции, вместо да се пазят в главата ви, какъвто е случая с паролите ви, те не биха могли да бъдат считани за реална двуфакторна авторизационна система (2FA, two-factor authentication), и дори когато те са защитени посредством секретна фраза – те могат да бъдат откраднати“, обяснява Константин Рябицов, старши системен и мрежов администратор към „Фондация Линукс“ в публикация в Linux.com.
Двуфакторната защита дава сигурност, че даден акаунт не може да бъде компрометиран, даже и да бъдат откраднати свързаните с него логин данни. 2FA системата изисква обикновено наличието на специализиран софтуер (приложение инсталирано на смартфона) или хардуерно устройство, което доставя еднократна парола, която се вписва при логването в акаунта ви. Рябинцов обяснява също така че обезопасяването на данните бива усложнено допълнително от това, че разработчиците работят по целия свят и нерядко сменят местоположението си. И тъй като едва ли ще са много разработчиците, които ще се занимават с попълването на еднократната парола често, когато работят с хранилището, то допълнителните проверки по сигурността ще бъдат осъществявани само когато разработчиците добавят данни в хранилището.
Когато те се опитат да осъществят операция по добавяне, като да речем „git push“ от невалидирано все още IP, те ще биват карани да го валидират чрез изпълнението на следната команда, заедно с добавка на информацията от токен-ключа си: ssh [email protected] 2fa val [token].
Що се отнася до самите токени, те ще могат да бъдат генерирани, както от софтуерни, така и от хардуерни инструменти, като специалистите окуражават разработчиците да използват хардуерни инструменти. За тази цел, фондацията е осъществила връзка с Yubico, създателите на Yubikeys, като от от компанията са обещали да раздадат безлатно Yubikeys ключове на всички разработчици, които имат акаунти в kernel.org.