Níl pasfhocail shimplí slán, agus ní féidir cuimhneamh ar na cinn chasta. Sin an fáth go gcríochnaíonn siad chomh minic sin ar nóta greamaitheach faoin méarchlár nó ar an monatóir. Chun a chinntiú go bhfanann pasfhocail in aigne úsáideoirí “dearmadta” agus nach gcailltear iontaofacht na cosanta, tá fíordheimhniú dhá fhachtóir ann (2FA).
Mar gheall ar an meascán de bheith ina húinéir ar fheiste agus a UAP a bheith ar eolas agat, is féidir an PIN féin a bheith níos simplí agus níos éasca le cuimhneamh. Déantar míbhuntáistí maidir le fad PIN nó randamacht a fhritháireamh ag an gceanglas maidir le seilbh fhisiciúil agus srianta ar fhórsa brúidiúil PIN.
Ina theannta sin, tarlaíonn sé i ngníomhaireachtaí rialtais go dteastaíonn uathu go n-oibreoidh gach rud de réir GOST. Déanfar an rogha 2FA seo chun logáil isteach i Linux a phlé. Tosóidh mé ó chian.
modúil PAM
Is modúil iad Modúil Fíordheimhnithe Pluggable (PAM) a bhfuil API caighdeánach acu agus meicníochtaí fíordheimhnithe éagsúla a chur i bhfeidhm in iarratais.
Tógann gach fóntais agus feidhmchlár ar féidir leo oibriú le PAM iad agus is féidir iad a úsáid le haghaidh fíordheimhnithe úsáideora.
Go praiticiúil, oibríonn sé rud éigin mar seo: glaonn an t-ordú logáil isteach PAM, a dhéanann na seiceálacha riachtanacha go léir ag baint úsáide as na modúil a shonraítear sa chomhad cumraíochta agus cuireann sé an toradh ar ais chuig an ordú logáil isteach.
librtpam
Cuireann an modúl a d'fhorbair cuideachta Aktiv fíordheimhniú dhá fhachtóir úsáideoirí ag baint úsáide as cártaí cliste nó comharthaí USB ag baint úsáide as eochracha neamhshiméadracha de réir na gcaighdeán cripteagrafaíochta baile is déanaí.
Breathnaímid ar phrionsabal a oibríochta:
- Stórálann an comhartha teastas an úsáideora agus a eochair phríobháideach;
- Sábháiltear an teastas i gcomhadlann baile an úsáideora mar iontaofa.
Tarlaíonn an próiseas fíordheimhnithe mar seo a leanas:
- Cuardaíonn Rutoken teastas pearsanta an úsáideora.
- Iarrtar an UAP chomhartha.
- Sínítear sonraí randamacha ar an eochair phríobháideach go díreach sa sliseanna Rutoken.
- Fíoraítear an síniú mar thoradh air trí úsáid a bhaint as an eochair phoiblí ó theastas an úsáideora.
- Tugann an modúl an toradh fíoraithe sínithe ar ais chuig an bhfeidhmchlár glaonna.
Is féidir leat a fhíordheimhniú ag baint úsáide as eochracha GOST R 34.10-2012 (fad 256 nó 512 giotán) nó an GOST R 34.10-2001 atá as dáta.
Ní gá a bheith buartha faoi shlándáil na n-eochracha - gintear iad go díreach i Rutoken agus ní fhágann siad a chuimhne le linn oibríochtaí cripteagrafacha.
Tá Rutoken EDS 2.0 deimhnithe ag an FSB agus FSTEC de réir NDV 4, dá bhrí sin is féidir é a úsáid i gcórais faisnéise a phróiseálann faisnéis rúnda.
Úsáid phraiticiúil
Déanfaidh beagnach aon Linux nua-aimseartha, mar shampla úsáidfimid xUbuntu 18.10.
1) Suiteáil na pacáistí is gá
sudo apt-get install libccid pcscd opensc
Más mian leat glas deisce a chur leis le spárálaíscáileáin, suiteáil an pacáiste freisin libpam-pkcs11.
2) Cuir modúl PAM le tacaíocht GOST
Íoslódáil an leabharlann ó
Cóipeáil ábhar an fhillteáin PAM librtpam.so.1.0.0 chuig an bhfillteán córais
/usr/lib/ nó /usr/lib/x86_64-linux-gnu/nó /usr/lib64
3) Suiteáil an pacáiste le librtpkcs11ecp.so
Íoslódáil agus suiteáil an pacáiste DEB nó RPM ón nasc:
4) Seiceáil go n-oibríonn Rutoken EDS 2.0 sa chóras
Sa teirminéal déanaimid a fhorghníomhú
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
Má fheiceann tú an líne Rutoken ECP <no label> - ciallaíonn sé go bhfuil gach rud ceart go leor.
5) Léigh an deimhniú
Ag seiceáil go bhfuil teastas ag an ngléas
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
Más rud é tar éis na líne:
Using slot 0 with a present token (0x0)
- tá eolas ar taispeáint faoi eochracha agus deimhnithe, ní mór duit an teastas a léamh agus é a shábháil ar diosca. Chun é seo a dhéanamh, rith an t-ordú seo a leanas, áit a gcaithfidh tú an t-aitheantas teastais a chonaic tú in aschur an ordaithe roimhe seo a chur in ionad {id}:
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
Má tá an comhad cert.crt cruthaithe, téigh ar aghaidh go dtí céim 6). - níl aon rud ann, ansin tá an gléas folamh. Déan teagmháil le do riarthóir nó cruthaigh na heochracha agus teastasaigh tú féin tríd an gcéad chéim eile a leanúint.
5.1) Cruthaigh deimhniú tástála
Aird! Tá na modhanna tuairiscithe chun eochracha agus deimhnithe a chruthú oiriúnach le haghaidh tástála agus níl siad beartaithe lena n-úsáid i mód comhraic. Chun seo a dhéanamh, ní mór duit eochracha agus teastais a d’eisigh údarás deimhniúcháin iontaofa d’eagraíochta nó údarás deimhniúcháin creidiúnaithe a úsáid.
Tá an modúl PAM deartha chun ríomhairí áitiúla a chosaint agus tá sé deartha chun oibriú in eagraíochtaí beaga. Ós rud é nach bhfuil mórán úsáideoirí ann, is féidir leis an Riarthóir monatóireacht a dhéanamh ar dheimhnithe a chúlghairm agus cuntais a bhlocáil de láimh, chomh maith le tréimhse bailíochta na ndeimhnithe. Níl a fhios ag an modúl PAM fós conas teastais a fhíorú ag baint úsáide as CRLanna agus slabhraí muiníne a thógáil.
An bealach éasca (trí bhrabhsálaí)
Chun deimhniú tástála a fháil, bain úsáid as . Ní ghlacfaidh an próiseas níos mó ná 5 nóiméad.
Bealach na geek (tríd an consól agus b'fhéidir an tiomsaitheoir)
Seiceáil an leagan OpenSC
$ opensc-tool --version
Má tá an leagan níos lú ná 0.20, ansin nuashonraigh nó tóg ónár GitHub (ag am an t-alt seo níor scaoileadh 0.20 fós) nó ón máistir-bhrainse den phríomhthionscadal OpenSC tráth nach déanaí
Gin péire eochair leis na paraiméadair seo a leanas:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)
--id: aitheantóir oibiachta (CKA_ID) mar uimhreacha carachtair heicsidheacha dhá dhigit ón tábla ASCII. Bain úsáid as cóid ASCII amháin do charachtair inphriontáilte, toisc... ní mór an t-aitheantas a chur ar aghaidh chuig OpenSSL mar theaghrán. Mar shampla, comhfhreagraíonn an cód ASCII “3132” don teaghrán “12”. Ar mhaithe le caoithiúlacht, is féidir leat é a úsáid .
$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132
Ansin cruthóimid teastas. Déanfar cur síos ar dhá bhealach thíos: is é an chéad cheann trí CA (úsáidfimid CAanna tástála), tá an dara ceann féin-shínithe. Chun seo a dhéanamh, ní mór duit OpenSSL leagan 1.1 nó níos déanaí a shuiteáil agus a chumrú chun oibriú le Rutoken trí mhodúl rtengine speisialta ag baint úsáide as an lámhleabhar .
Mar shampla: le haghaidh '--id 3132' in OpenSSL ní mór duit "pkcs11:id=12".
Is féidir leat úsáid a bhaint as seirbhísí CA tástála, a bhfuil go leor acu, mar shampla, , и , le haghaidh seo cruthóimid iarratas ar dheimhniú
Rogha eile ná géilleadh don leisciúlacht agus féinsínithe a chruthú
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr
Íoslódáil an deimhniú ar an gléas
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer
6) Cláraigh an deimhniú sa chóras
Cinntigh go bhfuil cuma chomhad base64 ar do theastas:
Má tá cuma mar seo ar do theastas:
ansin ní mór duit an teastas a thiontú ó fhormáid DER go formáid PEM (base64)
$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
Déanaimid seiceáil arís go bhfuil gach rud in ord anois.
Cuir an teastas le liosta na dteastas iontaofa
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates
Cosnaíonn an líne dheireanach liosta na ndeimhnithe iontaofa ó bheith athraithe de thaisme nó d'aon ghnó ag úsáideoirí eile. Cuireann sé seo cosc ar dhuine a dteastas a chur leis anseo agus a bheith in ann logáil isteach ar do shon.
7) Fíordheimhniú a chur ar bun
Tá bunú ár modúl PAM go hiomlán caighdeánach agus déantar é ar an mbealach céanna le modúil eile a bhunú. Cruthaigh chun an comhad /usr/share/pam-configs/rutoken-gost-pam ina bhfuil ainm iomlán an mhodúil, cibé an bhfuil sé cumasaithe de réir réamhshocraithe, tosaíocht an mhodúil, agus paraiméadair fíordheimhnithe.
Cuimsíonn na paraiméadair fíordheimhnithe ceanglais maidir le rathúlacht na hoibríochta:
- ag teastáil: Ní mór do mhodúil dá leithéid freagairt dhearfach a thabhairt. Má bhíonn freagra diúltach ar thoradh glao ar mhodúil, beidh earráid fíordheimhnithe mar thoradh air sin. Fágfar an t-iarratas, ach glaofar na modúil atá fágtha.
- riachtanach: Cosúil le teastáil, ach teipeann láithreach ar fhíordheimhniú agus neamhaird ar mhodúil eile.
- leordhóthanach: Mura bhfuair aon cheann de na modúil riachtanacha nó leordhóthanacha roimh mhodúl den sórt sin toradh diúltach, ansin tabharfaidh an modúl freagra dearfach ar ais. Déanfar neamhaird de na modúil atá fágtha.
- roghnach: Mura bhfuil aon mhodúil riachtanacha ar an gcruach agus mura bhfilleann aon cheann de na modúil leordhóthanacha toradh dearfach, ansin caithfidh ceann amháin de na modúil roghnacha ar a laghad toradh dearfach a thabhairt ar ais.
Ábhar iomlán an chomhaid /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so
shábháil an comhad, ansin a fhorghníomhú
$ sudo pam-auth-update
sa fhuinneog atá le feiceáil, cuir réiltín in aice leis Rutoken PAM GOST agus cliceáil OK
8) Seiceáil na socruithe
Chun a thuiscint go bhfuil gach rud cumraithe, ach ag an am céanna gan an cumas logáil isteach sa chóras a chailleadh, cuir isteach an t-ordú
$ sudo login
Cuir isteach d'ainm úsáideora. Tá gach rud cumraithe i gceart má tá cód PIN gléis ag teastáil ón gcóras.
9) Cumraigh an ríomhaire le bac nuair a bhaintear an comhartha
San áireamh sa phacáiste libpam-pkcs11 fóntais san áireamh pkcs11_eventmgr, a ligeann duit gníomhartha éagsúla a dhéanamh nuair a tharlaíonn teagmhais PKCS#11.
Le haghaidh socruithe pkcs11_eventmgr feidhmíonn sé mar chomhad cumraíochta: /etc/pam_pkcs11/pkcs11_eventmgr.conf
I gcás dáiltí Linux éagsúla, beidh difríocht idir an t-ordú a chuireann faoi deara go gcuirfear cuntas faoi ghlas nuair a bhaintear cárta cliste nó comhartha. Cm. event card_remove.
Taispeántar comhad cumraíochta samplach thíos:
pkcs11_eventmgr
{
# Запуск в бэкграунде
daemon = true;
# Настройка сообщений отладки
debug = false;
# Время опроса в секундах
polling_time = 1;
# Установка тайм-аута на удаление карты
# По-умолчанию 0
expire_time = 0;
# Выбор pkcs11 библиотеки для работы с Рутокен
pkcs11_module = usr/lib/librtpkcs11ecp.so;
# Действия с картой
# Карта вставлена:
event card_insert {
# Оставляем значения по умолчанию (ничего не происходит)
on_error = ignore ;
action = "/bin/false";
}
# Карта извлечена
event card_remove {
on_error = ignore;
# Вызываем функцию блокировки экрана
# Для GNOME
action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
# Для XFCE
# action = "xflock4";
# Для Astra Linux (FLY)
# action = "fly-wmfunc FLYWM_LOCK";
}
# Карта долгое время извлечена
event expire_time {
# Оставляем значения по умолчанию (ничего не происходит)
on_error = ignore;
action = "/bin/false";
}
}Tar éis sin cuir an t-iarratas pkcs11_eventmgr chun tosaithe. Chun seo a dhéanamh, cuir an comhad .bash_profile in eagar:
$ nano /home/<имя_пользователя>/.bash_profile
Cuir an líne pkcs11_eventmgr le deireadh an chomhaid agus atosaigh.
Is féidir na céimeanna a gcuirtear síos orthu chun an córas oibriúcháin a bhunú a úsáid mar threoracha in aon dáileadh Linux nua-aimseartha, lena n-áirítear cinn intíre.
Conclúid
Tá ríomhairí pearsanta Linux ag éirí níos coitianta i ngníomhaireachtaí rialtais na Rúise, agus níl sé éasca i gcónaí fíordheimhniú iontaofa dhá fhachtóir a bhunú san OS seo. Beidh áthas orainn cabhrú leat an “fhadhb phasfhocal” a réiteach leis an treoir seo agus rochtain ar do ríomhaire a chosaint go hiontaofa gan go leor ama a chaitheamh air.
Foinse: will.com