Menü
Security

Linux-Entwickler steigen auf Zwei-Faktor-Authentifizierung um

Die Linux-Entwicklung soll sicherer werden. Deswegen hat die Linux Foundation jetzt durchgesetzt, dass sich Entwickler, die an den wichtigen Teilen des Linux-Kerns arbeiten, zusätzlich mit einem Hardware- oder Software-Token ausweisen müssen.

vorlesen Drucken Kommentare lesen 50 Beiträge

Die Linux Foundation hat zusammen mit den Kernel-Entwicklern entschieden, die Mainline- und Stable-Entwicklungszweige des Linux-Kernels mit Zwei-Faktor-Authentifizierung zu schützen. Für diese beiden wichtigen Git-Repositories müssen sich die Entwickler nun mit einem Hardware-Token oder einer Software anmelden, bevor sie Quellcode hochladen können. Das soll die Sicherheit der Entwicklungs-Infrastruktur erhöhen und es Angreifern erschweren, sich als Kernel-Entwickler auszugeben und Schadcode in den Linux-Kern zu schmuggeln. Bis jetzt war das System nur durch passwortgeschützte SSH-Schlüssel gesichert.

Die Firma Yubico hat einhundert YubiKeys für das Vorhaben springen lassen

Um den neuen Schutz umzusetzen, haben die Entwickler eine quelloffene Erweiterung für die Software gitolite geschrieben, welche auf kernel.org eingesetzt wird. Damit kann ein Entwickler seine IP für 24 Stunden freischalten, um dann von dort aus Code hochladen zu können. Auf Wunsch wird ihm von seinem System auch länger Zugang gewährt, bis maximal 30 Tage. Das soll den Frust-Faktor der neuen Technik für die Entwickler möglichst klein halten.

Das System funktioniert mit Software-Tokens, die mit dem TOTP-Protokoll erstellt wurden und unterstützt unter anderem den Google Authenticator. Kernel-Entwickler werden von der Foundation aber gebeten, Hardware-Token einzusetzen, um die Sicherheit zu erhöhen. Die neue Software unterstützt zu diesem Zweck auch den YubiKey von Yubico. Die Firma hat der Linux Foundation wohl auch hundert der kleinen Passwort-Erzeuger geschenkt, die jetzt an Kernel-Entwickler verteilt werden, die direkten Commit-Zugriff auf die entsprechenden Repos haben. Die Foundation hofft außerdem, dass bald weitere Entwickler die Zwei-Faktor-Authentifizierung für ihre Entwicklungszweige bei kernel.org aktivieren. (fab)