Hacker News 의견

• SSH 인증서가 오래전부터 존재해왔으며, 자체 SSH CA를 만들어 단기 인증서를 발급받을 수 있음
  • 인증서를 자동으로 받기 위한 다양한 옵션이 있으며, 그 중 하나가 step-ca 프로젝트임
  • step-ca는 OAUTH/OIDC 시스템과 클라우드 제공자와 통신할 수 있음
  • 상업적 솔루션도 존재함
• SSH CA와 하드웨어를 사용하는 방법을 선호함
  • SSHD에서 타사 코드를 호출할 필요가 없어 공격 표면과 벡터를 최소화할 수 있음
  • 키 유출이나 재사용 공격을 완전히 방지할 수 있음
  • 기본 ssh-keygen 명령어로 모든 것을 수행할 수 있어 관리자의 관점에서 유리함
• ID 토큰이 사용자 공개 키를 포함하지 않아 SSH 프로토콜을 직접 보호할 수 없다는 주장에 의문을 가짐
  • SSH 인증은 반드시 키 기반일 필요가 없음
  • GSSAPI를 통해 구현할 수 있었을지 궁금함
• Teleport를 사용하여 인증서 기반 SSH 인증을 수행하며, SSO 인증으로 단기 인증서를 발급받음
  • 접근 제어와 감사 로그의 이점이 있음
• Terminalwire라는 SSH 대안을 개발 중임
  • 개발자 워크스테이션에서 SaaS에 대한 일회성 명령 실행에 적합함
  • 서버에서 클라이언트로 stdio를 스트리밍하는 SSH와 유사하지만 추가 명령을 제공함
• Userify의 SSH 키 기술과 비교함
  • Userify는 분산된 일반 키를 사용하며, 중앙 제어 평면만 중앙 집중화함
  • 인증 서버가 오프라인일 때도 서버에 로그인할 수 있음
  • 사용자 세션을 종료하고 계정을 삭제하는 기능이 있음
• 블로그 게시물의 작성자이자 opkssh의 주요 기여자로서 질문에 답변할 준비가 되어 있음
• OIDC를 지원하는 SSH CA를 운영하는 것과의 차이점을 알기 어려움
  • 서버는 CA의 키만 신뢰하면 됨
• X.509 인증서 CA를 지원하는 OpenSSH 포크가 있음
  • 공개 키를 토큰으로 반환하는 표준과 이를 사용하여 SSH에 로그인하는 서버 측 인증 바이너리가 혁신적인 것으로 제시된 점이 재미있다고 생각함