🥇 একটি USB টোকেন ব্যবহার করে সাইটে দুই-ফ্যাক্টর প্রমাণীকরণ। এখন লিনাক্সের জন্যও

В আমাদের পূর্ববর্তী নিবন্ধগুলির মধ্যে একটি আমরা কোম্পানির কর্পোরেট পোর্টালগুলিতে দ্বি-ফ্যাক্টর প্রমাণীকরণের গুরুত্ব সম্পর্কে কথা বলেছি। গতবার আমরা দেখিয়েছি কিভাবে IIS ওয়েব সার্ভারে নিরাপদ প্রমাণীকরণ সেট আপ করতে হয়।

মন্তব্যগুলিতে, আমাদেরকে লিনাক্সের জন্য সবচেয়ে সাধারণ ওয়েব সার্ভারগুলির জন্য নির্দেশাবলী লিখতে বলা হয়েছিল - nginx এবং Apache।

আপনি জিজ্ঞাসা করেছেন - আমরা লিখেছি।

আপনি শুরু করতে কি প্রয়োজন?

যেকোনো আধুনিক লিনাক্স ডিস্ট্রিবিউশন। আমি MX Linux 18.2_x64 এ একটি পরীক্ষা সেটআপ করেছি। এটি অবশ্যই একটি সার্ভার বিতরণ নয়, তবে ডেবিয়ানের জন্য কোনও পার্থক্য হওয়ার সম্ভাবনা নেই। অন্যান্য ডিস্ট্রিবিউশনের জন্য, কনফিগার লাইব্রেরির পাথ সামান্য পরিবর্তিত হতে পারে।
টোকেন. আমরা মডেল ব্যবহার অবিরত রুটোকেন ইডিএস পিকেআই, যা কর্পোরেট ব্যবহারের জন্য গতির বৈশিষ্ট্যের ক্ষেত্রে আদর্শ।
লিনাক্সে একটি টোকেনের সাথে কাজ করতে, আপনাকে নিম্নলিখিত প্যাকেজগুলি ইনস্টল করতে হবে:
libccid libpcsclite1 pcscd pcsc-tools opensc

সার্টিফিকেট প্রদান

পূর্ববর্তী নিবন্ধগুলিতে, আমরা এই সত্যটির উপর নির্ভর করেছি যে Microsoft CA ব্যবহার করে সার্ভার এবং ক্লায়েন্ট শংসাপত্র জারি করা হবে। কিন্তু যেহেতু আমরা Linux-এ সবকিছু সেট-আপ করছি, তাই আমরা আপনাকে এই সার্টিফিকেট ইস্যু করার বিকল্প উপায় সম্পর্কেও বলব - Linux ছাড়াই।
আমরা CA হিসাবে XCA ব্যবহার করব (https://hohnstaedt.de/xca/), যা যেকোনো আধুনিক লিনাক্স ডিস্ট্রিবিউশনে পাওয়া যায়। XCA-তে আমরা যে সমস্ত ক্রিয়া সম্পাদন করব তা OpenSSL এবং pkcs11-টুল ইউটিলিটিগুলি ব্যবহার করে কমান্ড লাইন মোডে করা যেতে পারে, তবে আরও সরলতা এবং স্পষ্টতার জন্য, আমরা সেগুলি এই নিবন্ধে উপস্থাপন করব না।

গেটিং স্টার্টেড

ইনস্টল করুন:
```
$ apt-get install xca
```
এবং আমরা চালাই:
```
$ xca
```
আমরা CA - /root/CA.xdb এর জন্য আমাদের ডাটাবেস তৈরি করি
আমরা সার্টিফিকেট অথরিটি ডাটাবেসকে একটি ফোল্ডারে সংরক্ষণ করার পরামর্শ দিই যেখানে শুধুমাত্র প্রশাসকের অ্যাক্সেস আছে। এটি মূল শংসাপত্রের ব্যক্তিগত কীগুলি রক্ষা করার জন্য গুরুত্বপূর্ণ, যা অন্যান্য সমস্ত শংসাপত্রে স্বাক্ষর করতে ব্যবহৃত হয়।

কী এবং রুট CA শংসাপত্র তৈরি করুন

একটি পাবলিক কী অবকাঠামো (PKI) একটি শ্রেণিবদ্ধ ব্যবস্থার উপর ভিত্তি করে। এই সিস্টেমের মূল বিষয় হল রুট সার্টিফিকেশন অথরিটি বা রুট CA। এর সার্টিফিকেট আগে তৈরি করতে হবে।

আমরা CA-এর জন্য একটি RSA-2048 ব্যক্তিগত কী তৈরি করি। এটি করতে, ট্যাবে ব্যক্তিগত কী ধাক্কা নতুন কী এবং উপযুক্ত প্রকার নির্বাচন করুন।
নতুন কী জোড়ার জন্য একটি নাম সেট করুন। আমি এটাকে সিএ কী বলেছি।
আমরা তৈরি কী জোড়া ব্যবহার করে CA শংসাপত্র নিজেই জারি করি। এটি করতে, ট্যাবে যান সার্টিফিকেট এবং ধাক্কা নতুন সার্টিফিকেট.
নির্বাচন করতে ভুলবেন না রয়েছে SHA-256, কারণ SHA-1 ব্যবহার করা আর নিরাপদ বলে বিবেচিত হবে না৷
একটি টেমপ্লেট হিসাবে চয়ন করতে ভুলবেন না [ডিফল্ট]CA. ক্লিক করতে ভুলবেন না সব আবেদন, অন্যথায় টেমপ্লেট প্রয়োগ করা হয় না।
ট্যাবে বিষয় আমাদের মূল জোড়া চয়ন করুন. সেখানে আপনি শংসাপত্রের সমস্ত প্রধান ক্ষেত্রগুলি পূরণ করতে পারেন।

কী এবং একটি https সার্ভার শংসাপত্র তৈরি করা হচ্ছে

একইভাবে, আমরা সার্ভারের জন্য একটি RSA-2048 ব্যক্তিগত কী তৈরি করি, আমি এটিকে সার্ভার কী বলে থাকি।
একটি শংসাপত্র তৈরি করার সময়, আমরা নির্বাচন করি যে সার্ভার শংসাপত্রটি একটি CA শংসাপত্রের সাথে স্বাক্ষরিত হতে হবে৷
নির্বাচন করতে ভুলবেন না রয়েছে SHA-256.
আমরা একটি টেমপ্লেট হিসাবে নির্বাচন করুন [ডিফল্ট] HTTPS_server. ক্লিক করুন সব আবেদন.
তারপর ট্যাবে বিষয় আমাদের কী নির্বাচন করুন এবং প্রয়োজনীয় ক্ষেত্রগুলি পূরণ করুন।

ব্যবহারকারীর জন্য কী এবং সার্টিফিকেট তৈরি করুন

ব্যবহারকারীর ব্যক্তিগত কী আমাদের টোকেনে সংরক্ষণ করা হবে। এটির সাথে কাজ করার জন্য, আপনাকে আমাদের ওয়েবসাইট থেকে PKCS#11 লাইব্রেরি ইনস্টল করতে হবে। জনপ্রিয় বিতরণের জন্য, আমরা তৈরি প্যাকেজগুলি বিতরণ করি, যা এখানে অবস্থিত - https://www.rutoken.ru/support/download/pkcs/. আমাদের arm64, armv7el, armv7hf, e2k, mipso32el-এর জন্য অ্যাসেম্বলি রয়েছে, যা আমাদের SDK থেকে ডাউনলোড করা যেতে পারে - https://www.rutoken.ru/developers/sdk/. লিনাক্সের জন্য সমাবেশগুলি ছাড়াও, ম্যাকওএস, ফ্রিবিএসডি এবং অ্যান্ড্রয়েডের জন্য সমাবেশ রয়েছে।
XCA-তে একটি নতুন PKCS#11 প্রদানকারী যোগ করা হচ্ছে। এটি করতে, মেনুতে যান অপশন সমূহ ট্যাবে PKCS#11 প্রদানকারী.
আমরা প্রেস বিজ্ঞাপন এবং PKCS#11 লাইব্রেরির পথ নির্বাচন করুন। আমার ক্ষেত্রে এটা usrliblibrtpkcs11ecp.so.
আমাদের একটি বিন্যাসিত Rutoken EDS PKI টোকেন প্রয়োজন হবে। rtAdmin ইউটিলিটি ডাউনলোড করুন - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

আমরা বহন করি

$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

আমরা কী টাইপ হিসাবে Rutoken EDS PKI-এর জন্য RSA-2048 কী নির্বাচন করি। আমি এই কীটিকে ক্লায়েন্ট কী বলেছি।
পিন কোড লিখুন। এবং আমরা কী জোড়ার হার্ডওয়্যার তৈরির সমাপ্তির জন্য অপেক্ষা করি
আমরা সার্ভার সার্টিফিকেটের সাথে সাদৃশ্য দ্বারা ব্যবহারকারীর জন্য একটি শংসাপত্র তৈরি করি। এইবার আমরা একটি টেমপ্লেট নির্বাচন করি [ডিফল্ট] HTTPS_client এবং ক্লিক করতে ভুলবেন না সব আবেদন.
ট্যাবে বিষয় ব্যবহারকারী সম্পর্কে তথ্য লিখুন। আমরা টোকেনের জন্য শংসাপত্র সংরক্ষণ করার অনুরোধের ইতিবাচক উত্তর দিই।

ফলস্বরূপ, ট্যাবে সার্টিফিকেশন XCA-তে আপনার এরকম কিছু পাওয়া উচিত।

কী এবং সার্টিফিকেটের এই ন্যূনতম সেট সার্ভারগুলি নিজেদের সেট আপ করা শুরু করার জন্য যথেষ্ট।

কনফিগার করতে, আমাদের CA সার্টিফিকেট, সার্ভার সার্টিফিকেট এবং সার্ভার প্রাইভেট কী রপ্তানি করতে হবে।

এটি করার জন্য, XCA-তে সংশ্লিষ্ট ট্যাবে পছন্দসই এন্ট্রি নির্বাচন করুন এবং ক্লিক করুন রপ্তানি.

nginx

আমি কীভাবে একটি এনজিনেক্স সার্ভার ইনস্টল এবং চালাতে হবে তা লিখব না - ইন্টারনেটে এই বিষয়ে পর্যাপ্ত নিবন্ধ রয়েছে, অফিসিয়াল ডকুমেন্টেশন উল্লেখ করার মতো নয়। আসুন সরাসরি একটি টোকেন ব্যবহার করে HTTPS এবং দ্বি-ফ্যাক্টর প্রমাণীকরণ সেট আপ করা যাক।

nginx.conf-এর সার্ভার বিভাগে নিম্নলিখিত লাইন যোগ করুন:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

nginx-এ ssl কনফিগার করার সাথে সম্পর্কিত সমস্ত প্যারামিটারের একটি বিশদ বিবরণ এখানে পাওয়া যাবে - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

আমি কেবল সংক্ষেপে বর্ণনা করব যা আমি নিজেকে জিজ্ঞাসা করেছি:

ssl_verify_client - নির্দিষ্ট করে যে শংসাপত্রের জন্য বিশ্বাসের চেইনটি যাচাই করা দরকার।
ssl_verify_depth - চেইনে বিশ্বস্ত রুট শংসাপত্রের অনুসন্ধানের গভীরতা নির্ধারণ করে। যেহেতু আমাদের ক্লায়েন্ট সার্টিফিকেট অবিলম্বে রুট শংসাপত্রে স্বাক্ষরিত হয়, তাই গভীরতা 1 তে সেট করা হয়। যদি ব্যবহারকারীর শংসাপত্রটি একটি মধ্যবর্তী CA-তে স্বাক্ষরিত হয়, তাহলে এই প্যারামিটারে 2 উল্লেখ করতে হবে, ইত্যাদি।
ssl_client_certificate - বিশ্বস্ত রুট শংসাপত্রের পথ নির্দিষ্ট করে, যা ব্যবহারকারীর শংসাপত্রে বিশ্বাস চেক করার সময় ব্যবহৃত হয়।
ssl_certificate/ssl_certificate_key - সার্ভার সার্টিফিকেট/প্রাইভেট কী-এর পথ নির্দেশ করে।

কনফিগারেশনে কোন টাইপ ভুল নেই এবং সমস্ত ফাইল সঠিক জায়গায় আছে কিনা তা পরীক্ষা করতে nginx -t চালাতে ভুলবেন না।

এবং যে সব! আপনি দেখতে পাচ্ছেন, সেটআপটি খুব সহজ।

এটি ফায়ারফক্সে কাজ করছে তা পরীক্ষা করা হচ্ছে

যেহেতু আমরা সম্পূর্ণরূপে লিনাক্সে সবকিছু করি, তাই আমরা ধরে নেব যে আমাদের ব্যবহারকারীরাও লিনাক্সে কাজ করে (যদি তাদের উইন্ডোজ থাকে, তাহলে পূর্ববর্তী নিবন্ধে ব্রাউজার সেট আপ করার জন্য নির্দেশাবলী দেখুন.

ফায়ারফক্স চালু করা যাক।
প্রথমে টোকেন ছাড়াই লগ ইন করার চেষ্টা করি। আমরা এই ছবিটি পাই:
আমরা চলি সম্পর্কে: পছন্দগুলি # গোপনীয়তা, এবং আমরা যেতে নিরাপত্তা ডিভাইস…
আমরা প্রেস বোঝাএকটি নতুন PKCS#11 ডিভাইস ড্রাইভার যোগ করতে এবং আমাদের librtpkcs11ecp.so এর পথ নির্দিষ্ট করতে।
শংসাপত্রটি দৃশ্যমান কিনা তা পরীক্ষা করতে, আপনি যেতে পারেন সার্টিফিকেট ম্যানেজার. আপনাকে আপনার পিন লিখতে বলা হবে। সঠিক ইনপুট করার পরে, আপনি ট্যাবে কি আছে তা পরীক্ষা করতে পারেন আপনার সার্টিফিকেট টোকেন থেকে আমাদের সার্টিফিকেট হাজির.
এখন টোকেন দিয়ে যাওয়া যাক। ফায়ারফক্স আপনাকে সার্ভারের জন্য নির্বাচিত একটি শংসাপত্র নির্বাচন করতে অনুরোধ করে। আমাদের শংসাপত্র চয়ন করুন.
লাভ!

সেটআপ একবার সম্পন্ন হয়, এবং আপনি সার্টিফিকেট অনুরোধ উইন্ডোতে দেখতে পাচ্ছেন, আমরা আমাদের নির্বাচন সংরক্ষণ করতে পারি। এর পরে, প্রতিবার আমরা পোর্টালে লগ ইন করার সময়, আমাদের শুধুমাত্র একটি টোকেন সন্নিবেশ করাতে হবে এবং ব্যবহারকারীর পিন কোডটি প্রবেশ করাতে হবে যা ফর্ম্যাটিংয়ের সময় নির্দিষ্ট করা হয়েছিল। এই ধরনের প্রমাণীকরণের পরে, সার্ভার ইতিমধ্যেই জানে যে কোন ব্যবহারকারী লগ ইন করেছে এবং আপনি যাচাইকরণের জন্য আর কোনো অতিরিক্ত উইন্ডো তৈরি করতে পারবেন না, তবে অবিলম্বে ব্যবহারকারীকে তার ব্যক্তিগত অ্যাকাউন্টে যেতে দিন।

এ্যাপাচি

ঠিক যেমন nginx এর সাথে, অ্যাপাচি ইনস্টল করতে কারও কোন সমস্যা হওয়া উচিত নয়। আপনি যদি এই ওয়েব সার্ভারটি কীভাবে ইনস্টল করবেন তা না জানেন তবে কেবল অফিসিয়াল ডকুমেন্টেশন ব্যবহার করুন৷

এবং আমরা আমাদের HTTPS এবং দ্বি-ফ্যাক্টর প্রমাণীকরণ সেট আপ করা শুরু করি:

প্রথমে আপনাকে mod_ssl সক্রিয় করতে হবে:
```
$ a2enmod ssl
```
এবং তারপর সাইটের ডিফল্ট HTTPS সেটিংস সক্ষম করুন:
```
$ a2ensite default-ssl
```
এখন আমরা কনফিগারেশন ফাইলটি সম্পাদনা করি: /etc/apache2/sites-enabled/default-ssl.conf:
```
    SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10
```
আপনি দেখতে পাচ্ছেন, প্যারামিটারের নামগুলি ব্যবহারিকভাবে nginx-এর পরামিতিগুলির নামের সাথে মিলে যায়, তাই আমি তাদের ব্যাখ্যা করব না। আবার, বিশদ বিবরণে আগ্রহী যে কেউ ডকুমেন্টেশনে স্বাগত জানাই।
এখন আমরা আমাদের সার্ভার পুনরায় চালু করি:
```
$ service apache2 reload
$ service apache2 restart
```

আপনি দেখতে পাচ্ছেন, যেকোনো ওয়েব সার্ভারে দ্বি-ফ্যাক্টর প্রমাণীকরণ সেট আপ করতে, উইন্ডোজ বা লিনাক্সে, সর্বোচ্চ এক ঘন্টা সময় নেয়। এবং ব্রাউজার সেট আপ করতে প্রায় 5 মিনিট সময় লাগে। অনেক লোক মনে করে যে দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথে সেট আপ করা এবং কাজ করা কঠিন এবং অস্পষ্ট। আমি আশা করি আমাদের নিবন্ধটি এই পৌরাণিক কাহিনীকে কিছুটা হলেও উড়িয়ে দেবে।

শুধুমাত্র নিবন্ধিত ব্যবহারকারীরা জরিপে অংশগ্রহণ করতে পারবেন। সাইন ইন করুনকরুন।

আপনার কি GOST 34.10-2012 অনুযায়ী সার্টিফিকেট সহ TLS সেট আপ করার জন্য নির্দেশাবলীর প্রয়োজন আছে:

হ্যাঁ, TLS-GOST খুবই প্রয়োজনীয়
না, GOST অ্যালগরিদমগুলির সাথে টিউন করা আকর্ষণীয় নয়

44 জন ব্যবহারকারী ভোট দিয়েছেন। 9 জন ব্যবহারকারী বিরত ছিলেন।

উত্স: www.habr.com

একটি USB টোকেন ব্যবহার করে সাইটে দ্বি-ফ্যাক্টর প্রমাণীকরণ। এখন লিনাক্সের জন্যও