Zusammen mit den Kernel-Entwicklern hat die Linux Foundation entschieden, die Stable- und Mainline-Entwicklungszweige des Linux-Kernels mit Zwei-Faktor-Authentifizierung zu schützen. Die Entwickler müssen sich für diese beiden wichtigen Git-Repositories nun, bevor sie Quellcode hochladen können, mit einem Hardware-Token oder einer Software anmelden. Das soll es Angreifern erschweren, sich als Kernel-Entwickler auszugeben und Schadcode in den Linux-Kern zu schmuggeln sowie die Sicherheit der Entwicklungs-Infrastruktur erhöhen. Das System war bis jetzt nur durch passwortgeschützte SSH-Schlüssel gesichert.

Die Entwickler haben, um den neuen Schutz umzusetzen, eine quelloffene Erweiterung für die Software gitolite, welche auf kernel.org eingesetzt wird, geschrieben. Für 24 Stunden kann ein Entwickler seine IP damit freischalten, um von dort aus dann Code hochladen zu können. Auf Wunsch wird ihm von seinem System auch länger Zugang (maximal 30 Tage) gewährt, was für die Entwickler den Frust-Faktor der neuen Technik möglichst klein halten soll.

Das System unterstützt unter anderem den Google Authenticator und funktioniert mit Software-Tokens, welche mit dem TOTP-Protokoll erstellt wurden. Die Foundation bittet Kernel-Entwickler aber (um die Sicherheit zu erhöhen) Hardware-Token einzusetzen. Zu diesem Zweck unterstützt die neue Software auch den YubiKey von Yubico. Hundert der kleinen Passwort-Erzeuger, die jetzt an Kernel-Entwickler mit direktem Commit-Zugriff auf die entsprechenden Repos verteilt werden, hat Die Firma der Linux Foundation wohl auch geschenkt. Außerdem hofft die Foundation, dass weitere Entwickler bald für ihre Entwicklungszweige bei kernel.org die Zwei-Faktor-Authentifizierung aktivieren.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE