সহজ পাসওয়ার্ড নিরাপদ নয়, এবং জটিল পাসওয়ার্ড মনে রাখা অসম্ভব। এই কারণেই তারা প্রায়শই কীবোর্ডের নীচে বা মনিটরে একটি স্টিকি নোটে শেষ হয়। পাসওয়ার্ডগুলি যাতে "ভুলে যাওয়া" ব্যবহারকারীদের মনে থাকে এবং সুরক্ষার নির্ভরযোগ্যতা নষ্ট না হয় তা নিশ্চিত করার জন্য, রয়েছে টু-ফ্যাক্টর অথেনটিকেশন (2FA)৷

একটি ডিভাইসের মালিকানা এবং এটির পিন জানার সংমিশ্রণের কারণে, পিন নিজেই সহজ এবং মনে রাখা সহজ হতে পারে। পিনের দৈর্ঘ্য বা এলোমেলোতার অসুবিধাগুলি শারীরিক দখলের প্রয়োজনীয়তা এবং পিন ব্রুট ফোর্সের উপর বিধিনিষেধ দ্বারা অফসেট করা হয়।

উপরন্তু, এটি সরকারী সংস্থাগুলিতে ঘটে যে তারা সবকিছু GOST অনুযায়ী কাজ করতে চায়। লিনাক্সে লগ ইন করার জন্য এই 2FA বিকল্প নিয়ে আলোচনা করা হবে। আমি দূর থেকে শুরু করব।

PAM মডিউল

প্লাগেবল অথেন্টিকেশন মডিউল (PAM) হল একটি স্ট্যান্ডার্ড API সহ মডিউল এবং অ্যাপ্লিকেশনগুলিতে বিভিন্ন প্রমাণীকরণ প্রক্রিয়ার বাস্তবায়ন।
PAM এর সাথে কাজ করতে পারে এমন সমস্ত ইউটিলিটি এবং অ্যাপ্লিকেশনগুলি সেগুলিকে তুলে নেয় এবং ব্যবহারকারীর প্রমাণীকরণের জন্য সেগুলি ব্যবহার করতে পারে৷
অনুশীলনে, এটি এইরকম কিছু কাজ করে: লগইন কমান্ড PAM কল করে, যা কনফিগারেশন ফাইলে নির্দিষ্ট মডিউল ব্যবহার করে সমস্ত প্রয়োজনীয় পরীক্ষা করে এবং ফলাফলটি লগইন কমান্ডে ফেরত দেয়।

librtpam

অ্যাক্টিভ কোম্পানির দ্বারা তৈরি মডিউলটি গার্হস্থ্য ক্রিপ্টোগ্রাফির সর্বশেষ মান অনুযায়ী অ্যাসিমেট্রিক কী ব্যবহার করে স্মার্ট কার্ড বা USB টোকেন ব্যবহার করে ব্যবহারকারীদের দ্বি-ফ্যাক্টর প্রমাণীকরণ যোগ করে।

আসুন এর অপারেশনের নীতিটি দেখি:

টোকেন ব্যবহারকারীর শংসাপত্র এবং এর ব্যক্তিগত কী সংরক্ষণ করে;
সার্টিফিকেট ব্যবহারকারীর হোম ডিরেক্টরিতে বিশ্বস্ত হিসাবে সংরক্ষণ করা হয়।

প্রমাণীকরণ প্রক্রিয়া নিম্নলিখিত হিসাবে ঘটে:

রুটোকেন ব্যবহারকারীর ব্যক্তিগত শংসাপত্রের জন্য অনুসন্ধান করে।
টোকেন পিন অনুরোধ করা হয়.
র্যান্ডম ডেটা সরাসরি রুটোকেন চিপে ব্যক্তিগত কীতে স্বাক্ষরিত হয়।
ফলস্বরূপ স্বাক্ষরটি ব্যবহারকারীর শংসাপত্র থেকে সর্বজনীন কী ব্যবহার করে যাচাই করা হয়।
মডিউলটি কলিং অ্যাপ্লিকেশনে স্বাক্ষর যাচাইকরণের ফলাফল প্রদান করে।

আপনি GOST R 34.10-2012 কী (দৈর্ঘ্য 256 বা 512 বিট) বা পুরানো GOST R 34.10-2001 ব্যবহার করে প্রমাণীকরণ করতে পারেন।

আপনাকে কীগুলির সুরক্ষা সম্পর্কে চিন্তা করতে হবে না - এগুলি সরাসরি রুটোকেনে তৈরি হয় এবং ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপের সময় এটির স্মৃতি কখনই ছেড়ে যায় না।

রুটোকেন ইডিএস 2.0 এনডিভি 4 অনুসারে FSB এবং FSTEC দ্বারা প্রত্যয়িত, তাই এটি গোপনীয় তথ্য প্রক্রিয়া করে এমন তথ্য সিস্টেমে ব্যবহার করা যেতে পারে।

বাস্তবিক ব্যবহার

প্রায় যেকোনো আধুনিক লিনাক্স করবে, উদাহরণস্বরূপ আমরা xUbuntu 18.10 ব্যবহার করব।

1) প্রয়োজনীয় প্যাকেজ ইনস্টল করুন

sudo apt-get install libccid pcscd opensc
আপনি যদি স্ক্রিনসেভারের সাথে একটি ডেস্কটপ লক যোগ করতে চান তবে প্যাকেজটি অতিরিক্তভাবে ইনস্টল করুন libpam-pkcs11.

2) GOST সমর্থন সহ একটি PAM মডিউল যোগ করুন

থেকে লাইব্রেরি লোড হচ্ছে https://download.rutoken.ru/Rutoken/PAM/
PAM ফোল্ডারের বিষয়বস্তু librtpam.so.1.0.0 সিস্টেম ফোল্ডারে অনুলিপি করুন
/usr/lib/ বা /usr/lib/x86_64-linux-gnu/বা /usr/lib64

3) librtpkcs11ecp.so দিয়ে প্যাকেজটি ইনস্টল করুন

লিঙ্ক থেকে DEB বা RPM প্যাকেজ ডাউনলোড এবং ইনস্টল করুন: https://www.rutoken.ru/support/download/pkcs/

4) চেক করুন যে রুটোকেন ইডিএস 2.0 সিস্টেমে কাজ করে

টার্মিনালে আমরা এক্সিকিউট করি
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
লাইন দেখলে Rutoken ECP <no label> - তার মানে সব ঠিক আছে।

5) সার্টিফিকেট পড়ুন

ডিভাইসটিতে একটি শংসাপত্র আছে কিনা তা পরীক্ষা করা হচ্ছে
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
যদি লাইনের পরে:
Using slot 0 with a present token (0x0)

তথ্য প্রদর্শিত হয় কী এবং শংসাপত্র সম্পর্কে, আপনাকে শংসাপত্রটি পড়তে হবে এবং ডিস্কে সংরক্ষণ করতে হবে। এটি করার জন্য, নিম্নলিখিত কমান্ডটি চালান, যেখানে {id} এর পরিবর্তে আপনাকে সার্টিফিকেট আইডি প্রতিস্থাপন করতে হবে যা আপনি পূর্ববর্তী কমান্ডের আউটপুটে দেখেছিলেন:
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
যদি cert.crt ফাইল তৈরি করা হয়, ধাপ 6 এ যান)।
সেখানে কিছুই নেই, তাহলে ডিভাইসটি খালি। আপনার প্রশাসকের সাথে যোগাযোগ করুন বা পরবর্তী ধাপ অনুসরণ করে কী এবং শংসাপত্র নিজেই তৈরি করুন।

5.1) একটি পরীক্ষার শংসাপত্র তৈরি করুন

মনোযোগ! কী এবং শংসাপত্র তৈরির জন্য বর্ণিত পদ্ধতিগুলি পরীক্ষার জন্য উপযুক্ত এবং যুদ্ধ মোডে ব্যবহারের উদ্দেশ্যে নয়। এটি করার জন্য, আপনাকে আপনার প্রতিষ্ঠানের বিশ্বস্ত সার্টিফিকেশন কর্তৃপক্ষ বা একটি স্বীকৃত শংসাপত্র কর্তৃপক্ষ দ্বারা জারি করা কী এবং শংসাপত্রগুলি ব্যবহার করতে হবে৷
PAM মডিউলটি স্থানীয় কম্পিউটারগুলিকে সুরক্ষিত করার জন্য ডিজাইন করা হয়েছে এবং ছোট প্রতিষ্ঠানে কাজ করার জন্য ডিজাইন করা হয়েছে। যেহেতু অল্পসংখ্যক ব্যবহারকারী আছে, তাই প্রশাসক সার্টিফিকেট প্রত্যাহার এবং ম্যানুয়ালি অ্যাকাউন্ট ব্লক করার পাশাপাশি সার্টিফিকেটের বৈধতার সময়কাল পর্যবেক্ষণ করতে পারেন। PAM মডিউল এখনও জানে না কিভাবে CRL ব্যবহার করে সার্টিফিকেট যাচাই করতে হয় এবং বিশ্বাসের চেইন তৈরি করতে হয়।

সহজ উপায় (ব্রাউজারের মাধ্যমে)

একটি পরীক্ষা শংসাপত্র পেতে, ব্যবহার করুন ওয়েব সার্ভিস "রুটোকেন রেজিস্ট্রেশন সেন্টার". প্রক্রিয়াটি 5 মিনিটের বেশি সময় নেবে না।

গীকের পথ (কনসোলের মাধ্যমে এবং সম্ভবত কম্পাইলারের মাধ্যমে)

OpenSC সংস্করণ পরীক্ষা করুন
$ opensc-tool --version
ভার্সনটি 0.20 এর কম হলে আপডেট বা বিল্ড করুন GOST-11 সমর্থন সহ pkcs2012-টুল শাখা আমাদের GitHub থেকে (এই নিবন্ধটি প্রকাশের সময়, রিলিজ 0.20 এখনও প্রকাশ করা হয়নি) অথবা মূল OpenSC প্রকল্পের মাস্টার শাখা থেকে কমিট 8cf1e6f

নিম্নলিখিত পরামিতিগুলির সাথে একটি কী জোড়া তৈরি করুন:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: ASCII টেবিল থেকে দুই-সংখ্যার হেক্স অক্ষর সংখ্যা হিসাবে অবজেক্ট আইডেন্টিফায়ার (CKA_ID)। মুদ্রণযোগ্য অক্ষরের জন্য শুধুমাত্র ASCII কোড ব্যবহার করুন, কারণ... id একটি স্ট্রিং হিসাবে OpenSSL এ পাস করতে হবে। উদাহরণস্বরূপ, ASCII কোড "3132" স্ট্রিং "12" এর সাথে মিলে যায়। সুবিধার জন্য, আপনি ব্যবহার করতে পারেন স্ট্রিংগুলিকে ASCII কোডে রূপান্তর করার জন্য অনলাইন পরিষেবা.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

পরবর্তী আমরা একটি শংসাপত্র তৈরি করব। দুটি উপায় নীচে বর্ণনা করা হবে: প্রথমটি একটি CA এর মাধ্যমে (আমরা পরীক্ষা CA ব্যবহার করব), দ্বিতীয়টি স্ব-স্বাক্ষরিত৷ এটি করার জন্য, আপনাকে প্রথমে ওপেনএসএসএল সংস্করণ 1.1 বা তার পরে ইনস্টল এবং কনফিগার করতে হবে ম্যানুয়ালটি ব্যবহার করে একটি বিশেষ rtengine মডিউলের মাধ্যমে রুটোকেনের সাথে কাজ করতে। OpenSSL ইনস্টল এবং কনফিগার করা হচ্ছে.
যেমন: '-এর জন্য-id 3132' OpenSSL এ আপনাকে নির্দিষ্ট করতে হবে "pkcs11:id=12"।

আপনি একটি পরীক্ষা CA এর পরিষেবাগুলি ব্যবহার করতে পারেন, যার মধ্যে অনেকগুলি রয়েছে, উদাহরণস্বরূপ, এখানে, এখানে и এখানে, এর জন্য আমরা একটি শংসাপত্রের জন্য একটি অনুরোধ তৈরি করব৷

আরেকটি বিকল্প হল অলসতা ছেড়ে দেওয়া এবং একটি স্ব-স্বাক্ষরিত তৈরি করা
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

ডিভাইসে সার্টিফিকেট আপলোড করা হচ্ছে
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) সিস্টেমে সার্টিফিকেট নিবন্ধন করুন

নিশ্চিত করুন যে আপনার শংসাপত্র একটি base64 ফাইলের মত দেখাচ্ছে:

যদি আপনার শংসাপত্র এই মত দেখায়:

তারপর আপনাকে শংসাপত্রটিকে DER বিন্যাস থেকে PEM বিন্যাসে রূপান্তর করতে হবে (base64)

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
আমরা আবার পরীক্ষা করি যে এখন সবকিছু ঠিক আছে।

বিশ্বস্ত সার্টিফিকেটের তালিকায় সার্টিফিকেট যোগ করুন
$ mkdir ~/.eid $ chmod 0755 ~/.eid $ cat cert.pem >> ~/.eid/authorized_certificates $ chmod 0644 ~/.eid/authorized_certificates
শেষ লাইনটি বিশ্বস্ত সার্টিফিকেটের তালিকাকে অন্য ব্যবহারকারীদের দ্বারা দুর্ঘটনাক্রমে বা ইচ্ছাকৃতভাবে পরিবর্তন করা থেকে রক্ষা করে। এটি কাউকে এখানে তাদের শংসাপত্র যোগ করতে এবং আপনার পক্ষে লগ ইন করতে সক্ষম হতে বাধা দেয়৷

7) প্রমাণীকরণ সেট আপ করুন

আমাদের PAM মডিউল সেট আপ করা সম্পূর্ণরূপে আদর্শ এবং অন্যান্য মডিউল সেট আপ করার মতো ঠিক একইভাবে করা হয়। ফাইলে তৈরি করুন /usr/share/pam-configs/rutoken-gost-pam মডিউলের পুরো নাম ধারণ করে, এটি ডিফল্টরূপে সক্রিয় কিনা, মডিউলের অগ্রাধিকার এবং প্রমাণীকরণ পরামিতি।
প্রমাণীকরণের পরামিতিগুলিতে অপারেশনের সাফল্যের জন্য প্রয়োজনীয়তা রয়েছে:

প্রয়োজনীয়: এই ধরনের মডিউল অবশ্যই একটি ইতিবাচক প্রতিক্রিয়া প্রদান করবে। যদি একটি মডিউল কলের ফলাফলে একটি নেতিবাচক প্রতিক্রিয়া থাকে, তাহলে এটি একটি প্রমাণীকরণ ত্রুটির কারণ হবে৷ অনুরোধ বাদ দেওয়া হবে, কিন্তু অবশিষ্ট মডিউল কল করা হবে.
প্রয়োজনীয়: প্রয়োজনীয় অনুরূপ, কিন্তু অবিলম্বে প্রমাণীকরণ ব্যর্থ হয় এবং অন্যান্য মডিউল উপেক্ষা করে।
যথেষ্ট: যদি এই ধরনের একটি মডিউলের আগে প্রয়োজনীয় বা পর্যাপ্ত মডিউলগুলির একটিও নেতিবাচক ফলাফল না দেয়, তাহলে মডিউলটি একটি ইতিবাচক প্রতিক্রিয়া প্রদান করবে। অবশিষ্ট মডিউল উপেক্ষা করা হবে.
ঐচ্ছিক: যদি স্ট্যাকের উপর কোন প্রয়োজনীয় মডিউল না থাকে এবং পর্যাপ্ত মডিউলগুলির কোনটিই ইতিবাচক ফলাফল না দেয়, তাহলে অন্তত একটি ঐচ্ছিক মডিউল অবশ্যই একটি ইতিবাচক ফলাফল প্রদান করবে।

সম্পূর্ণ ফাইল বিষয়বস্তু /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

ফাইল সংরক্ষণ করুন, তারপর চালান
$ sudo pam-auth-update
প্রদর্শিত উইন্ডোতে, এটির পাশে একটি তারকাচিহ্ন রাখুন রুটোকেন PAM GOST এবং ধাক্কা OK

8) সেটিংস চেক করুন

সবকিছু কনফিগার করা হয়েছে তা বোঝার জন্য, কিন্তু একই সময়ে সিস্টেমে লগ ইন করার ক্ষমতা হারাবেন না, কমান্ডটি প্রবেশ করান
$ sudo login
আপনার ব্যবহারকারীর নাম লিখুন. সিস্টেমের একটি ডিভাইস পিন কোড প্রয়োজন হলে সবকিছু সঠিকভাবে কনফিগার করা হয়।

9) টোকেন বের করা হলে ব্লক করা কম্পিউটার কনফিগার করুন

প্যাকেজ অন্তর্ভুক্ত libpam-pkcs11 ইউটিলিটি অন্তর্ভুক্ত pkcs11_eventmgr, যা আপনাকে PKCS#11 ইভেন্ট ঘটলে বিভিন্ন ক্রিয়া সম্পাদন করতে দেয়।
সেটিংসের জন্য pkcs11_eventmgr একটি কনফিগারেশন ফাইল হিসাবে কাজ করে: /etc/pam_pkcs11/pkcs11_eventmgr.conf
বিভিন্ন লিনাক্স ডিস্ট্রিবিউশনের জন্য, স্মার্ট কার্ড বা টোকেন সরানো হলে যে কমান্ডের কারণে অ্যাকাউন্ট লক হয়ে যায় তা ভিন্ন হবে। সেমি. event card_remove.
একটি উদাহরণ কনফিগারেশন ফাইল নীচে দেখানো হয়েছে:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

এর পরে অ্যাপ্লিকেশনটি যুক্ত করুন pkcs11_eventmgr শুরু করতে এটি করতে, .bash_profile ফাইলটি সম্পাদনা করুন:
$ nano /home/<имя_пользователя>/.bash_profile
ফাইলের শেষে pkcs11_eventmgr লাইন যোগ করুন এবং রিবুট করুন।

অপারেটিং সিস্টেম সেট আপ করার জন্য বর্ণিত ধাপগুলি গার্হস্থ্য সহ যেকোনো আধুনিক লিনাক্স বিতরণে নির্দেশাবলী হিসাবে ব্যবহার করা যেতে পারে।

উপসংহার

লিনাক্স পিসিগুলি রাশিয়ান সরকারী সংস্থাগুলিতে ক্রমশ জনপ্রিয় হয়ে উঠছে এবং এই ওএসে নির্ভরযোগ্য দ্বি-ফ্যাক্টর প্রমাণীকরণ সেট আপ করা সবসময় সহজ নয়। আমরা আপনাকে এই নির্দেশিকাটির সাহায্যে "পাসওয়ার্ড সমস্যা" সমাধান করতে এবং এটিতে অনেক সময় ব্যয় না করে নির্ভরযোগ্যভাবে আপনার পিসিতে অ্যাক্সেস রক্ষা করতে সহায়তা করতে পেরে খুশি হব।

উত্স: www.habr.com

রুটোকেনে GOST-2012 কী ব্যবহার করে লিনাক্সে স্থানীয় প্রমাণীকরণের জন্য PAM মডিউলগুলি কীভাবে ব্যবহার করবেন