Mastodawn

SSH-Frontière — login shell SSH restreint en #Rust 🦀

Je publie un applicatif en Rust, pour du contrôle déclaratif fin des accès #SSH pour comptes de service (CI/CD, agents #IA, scripts). Parseur grammatical, #RBAC, zero unsafe, 540+ tests.

La licence européenne est EUPL-1.2, donc open source ! 🇪🇺

🧵

Show thread

Julien Garderon Mar 25

Dans le détail, à quel problème cela répond-il ? Les comptes de service habituels utilisent /bin/bash : contrôle difficile (expansion, sudoers), multiplication des comptes sur les systèmes et perte de visibilité quand vous êtes un utilisateur intensif d'agents et de scripts
comme moi...

La solution que je propose : un binaire unique de ~1 Mo qui valide chaque commande contre un fichier TOML avec du RBAC.

Show thread

Julien Garderon

Derrière, c'est un parseur grammatical (whitelist). Aucune injection non contrôlée (structurellement impossible).

Tags de visibilité par domaine applicatif, contrôle à 3 niveaux (read, ops, admin), librement configurable, ce qui permet d'avoir pour un même compte SSH plusieurs niveaux de privilèges.

Show thread

Julien Garderon Mar 25

Ce n'est donc pas un « remplaçant » de sudoers ou de SSH : ça vient plutôt rajouter la couche fine et plus « moderne » d'un certain point de vue, pour un usage massifié, sans tomber dans des solutions lourdes et souvent onéreuses de bastion SSH.

#VibeCode bienvenue !

Documentation : https://pages.nothus.fr/ssh-frontiere/
Dépôt public : https://github.com/JGarderon/ssh-frontiere