search

minsk-hackerspace / hackerspace.by

Website of Minsk Hackerspace (Ruby on Rails)
https://hackerspace.by/
11 stars 20 forks source link

Подтягивать ssh ключи из профиля пользователя в инфраструктуру ХС #561

Closed jekhor closed 2 years ago

jekhor commented 2 years ago

Сейчас есть репозиторий https://github.com/minsk-hackerspace/ssh-pub-keys с публичными ключами, который управляется вручную — скрипт просто достаёт ключи из него и кладёт на хост, на котором запущен. Соответственно, никакого контроля доступа по оплаченным взносам нету. Плюс нету onboarding мануала, где было бы написано про этот репозиторий.

У нас уже есть поле SSH key в профиле пользователя на сайте, осталось только вытащить из него ключик и положить куда надо.

Нужно:

yahor commented 2 years ago

гучыць як бэкдор))

Задача рашаемая. API endpoint, павінен быць з http basic auth?

jekhor commented 2 years ago

Ці базік, ці токенам, як з брамнікам зроблена

нд, 15 мая 2022, 13:28 карыстальнік Yahor @.***> напісаў:

гучыць бэкдор))

Задача рашаемая. API endpoint, павінен быць з http basic auth?

— Reply to this email directly, view it on GitHub https://github.com/minsk-hackerspace/hackerspace.by/issues/561#issuecomment-1126904267, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAA4VW4HNFGQH4Y5QNPG4VTVKDGWPANCNFSM5V6ZHB4A . You are receiving this because you authored the thread.Message ID: @.***>

jekhor commented 2 years ago

Чаму бэкдор? Ключы ж адкрытыя

нд, 15 мая 2022, 16:08 карыстальнік Yauhen Kharuzhy @.***> напісаў:

Ці базік, ці токенам, як з брамнікам зроблена

нд, 15 мая 2022, 13:28 карыстальнік Yahor @.***> напісаў:

гучыць бэкдор))

Задача рашаемая. API endpoint, павінен быць з http basic auth?

— Reply to this email directly, view it on GitHub https://github.com/minsk-hackerspace/hackerspace.by/issues/561#issuecomment-1126904267, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAA4VW4HNFGQH4Y5QNPG4VTVKDGWPANCNFSM5V6ZHB4A . You are receiving this because you authored the thread.Message ID: @.***>

abitrolly commented 2 years ago

Без бэкдоров не прикольно. Айтизм в чистом виде остаётся.

jekhor commented 2 years ago

Гм, а надо ли авторизовывать? Идея изначальная была в максимально простом деплое скрипта с этими ключами на нужные хосты... Так оно, конечно, отдаст список ключей пользователей, косвенно раскрыв список участников ХС. Но и так рассылка открытая, а наличие авторизации создаёт лишнюю головную боль с менеджментом токена/пароля.

abitrolly commented 2 years ago

косвенно раскрыв список участников ХС

Если это открытая площадка, то в чём проблема? Кому хочется совсем прайваси может же юзать псевдоним.

jekhor commented 2 years ago

Решил вычисткой поля "comment" в ssh-ключе при экспорте.

abitrolly commented 2 years ago

GitHub/GitLab сами его чистят https://github.com/abitrolly.keys но вопрос что это решает? Ключ всё равно ведь гуглится, если он в паблике.