Chan eil faclan-faire sìmplidh tèarainte, agus chan urrainnear feadhainn iom-fhillte a chuimhneachadh. Sin as coireach gu bheil iad cho tric a’ tighinn gu crìch air nota steigeach fon mheur-chlàr no air an monitor. Gus dèanamh cinnteach gum fuirich faclan-faire ann an inntinnean luchd-cleachdaidh “dìochuimhnich” agus nach tèid earbsachd dìon a chall, tha dearbhadh dà-fhactaraidh (2FA).

Mar thoradh air a’ mheasgachadh de bhith a’ sealbhachadh inneal agus a bhith eòlach air a PIN, faodaidh am PIN fhèin a bhith nas sìmplidh agus nas fhasa a chuimhneachadh. Tha eas-bhuannachdan ann am fad PIN no air thuaiream air an cuir an aghaidh leis an riatanas seilbh corporra agus cuingeachaidhean air feachd brùideil PIN.

A bharrachd air an sin, tha e a’ tachairt ann am buidhnean riaghaltais gu bheil iad ag iarraidh gun obraich a h-uile càil a rèir GOST. Thèid an roghainn 2FA seo airson logadh a-steach do Linux a dheasbad. Tòisichidh mi o chian.

Modalan PAM

Tha Modalan Dearbhaidh Pluggable (PAM) nam modalan le API àbhaisteach agus buileachadh diofar dhòighean dearbhaidh ann an tagraidhean.
Bidh a h-uile goireas agus tagradh as urrainn obrachadh le PAM gan togail agus gan cleachdadh airson dearbhadh luchd-cleachdaidh.
Ann an cleachdadh, bidh e ag obair rudeigin mar seo: tha an àithne logadh a-steach a’ gairm PAM, a nì a h-uile sgrùdadh riatanach a’ cleachdadh nam modalan a tha air an sònrachadh anns an fhaidhle rèiteachaidh agus a thilleas an toradh air ais chun àithne logadh a-steach.

leabhar

Bidh am modal a chaidh a leasachadh leis a’ chompanaidh Aktiv a’ cur ri dearbhadh dà-fhactaraidh de luchd-cleachdaidh a’ cleachdadh chairtean snasail no comharran USB a’ cleachdadh iuchraichean neo-chunbhalach a rèir nan inbhean as ùire de chrioptachadh dachaigheil.

Bheir sinn sùil air a 'phrionnsabal den obair aige:

• Bidh an tòcan a’ stòradh teisteanas an neach-cleachdaidh agus an iuchair phrìobhaideach aige;
• Tha an teisteanas air a shàbhaladh ann an eòlaire dachaigh a' chleachdaiche mar a tha earbsa ann.

Tha am pròiseas dearbhaidh a’ tachairt mar a leanas:

1. Bidh Rutoken a’ lorg teisteanas pearsanta a’ chleachdaiche.
2. Tha an tòcan PIN air iarraidh.
3. Tha dàta air thuaiream air a shoidhnigeadh air an iuchair phrìobhaideach gu dìreach anns a’ chip Rutoken.
4. Tha an t-ainm-sgrìobhte a thig às air a dhearbhadh leis an iuchair phoblach bho theisteanas a' chleachdaiche.
5. Bidh am modal a’ tilleadh an toradh dearbhaidh ainm-sgrìobhte chun tagradh gairm.

Faodaidh tu dearbhadh le bhith a’ cleachdadh iuchraichean GOST R 34.10-2012 (fad 256 no 512 bit) no seann GOST R 34.10-2001.

Cha leig thu leas a bhith draghail mu thèarainteachd nan iuchraichean - bidh iad air an gineadh gu dìreach ann an Rutoken agus cha bhith iad a’ fàgail a chuimhne aig àm gnìomhachd criptografach.

Tha Rutoken EDS 2.0 air a dhearbhadh leis an FSB agus FSTEC a rèir NDV 4, mar sin faodar a chleachdadh ann an siostaman fiosrachaidh a bhios a’ làimhseachadh fiosrachadh dìomhair.

Cleachdadh làimhseachail

Cha mhòr nach dèan Linux ùr sam bith, mar eisimpleir cleachdaidh sinn xUbuntu 18.10.

1) Stàlaich na pacaidean riatanach

sudo apt-get install libccid pcscd opensc
Ma tha thu airson glas deasg a chuir ris le sàbhalaiche-sgrìn, stàlaich am pasgan a bharrachd libpam-pkcs11.

2) Cuir modal PAM ris le taic GOST

A luchdachadh a-nuas bho leabharlann. https://download.rutoken.ru/Rutoken/PAM/
Dèan lethbhreac de shusbaint pasgan PAM librtpam.so.1.0.0 gu pasgan an t-siostaim
/usr/lib/ no /usr/lib/x86_64-linux-gnu/no /usr/lib64

3) Stàlaich am pasgan le librtpkcs11ecp.so

Luchdaich sìos agus stàlaich am pasgan DEB no RPM bhon cheangal: https://www.rutoken.ru/support/download/pkcs/

4) Dèan cinnteach gu bheil Rutoken EDS 2.0 ag obair san t-siostam

Anns a’ chrìoch bidh sinn a’ cur an gnìomh
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
Ma chì thu an loidhne Rutoken ECP <no label> - tha e a 'ciallachadh gu bheil a h-uile dad ceart gu leòr.

5) Leugh an teisteanas

Dèan cinnteach gu bheil teisteanas aig an inneal
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
Ma tha an dèidh na loidhne:
Using slot 0 with a present token (0x0)

• fiosrachadh air a thaisbeanadh mu dheidhinn iuchraichean is teisteanasan, feumaidh tu an teisteanas a leughadh agus a shàbhaladh gu diosc. Gus seo a dhèanamh, ruith an àithne a leanas, far an àite {id} feumaidh tu an ID teisteanais a chunnaic thu ann an toradh na h-àithne roimhe a chuir na àite:
  $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
  Ma chaidh am faidhle cert.crt a chruthachadh, lean air adhart gu ceum 6).
• chan eil dad ann, an uairsin tha an inneal falamh. Cuir fios chun rianaire agad no cruthaich na h-iuchraichean agus teisteanas thu fhèin le bhith a’ leantainn an ath cheum.

5.1) Cruthaich teisteanas deuchainn

Thoir an aire! Tha na dòighean a chaidh a mhìneachadh airson iuchraichean agus teisteanasan a chruthachadh freagarrach airson deuchainn agus chan eilear an dùil an cleachdadh ann am modh sabaid. Gus seo a dhèanamh, feumaidh tu iuchraichean agus teisteanasan a chuir a-mach ùghdarras teisteanais earbsach na buidhne agad no ùghdarras teisteanais barrantaichte a chleachdadh.
Tha am modal PAM air a dhealbhadh gus coimpiutairean ionadail a dhìon agus tha e air a dhealbhadh gus obrachadh ann am buidhnean beaga. Leis nach eil mòran luchd-cleachdaidh ann, faodaidh an Rianaire sùil a chumail air cùl-ghairm theisteanasan agus casg a chuir air cunntasan le làimh, a bharrachd air ùine dligheachd theisteanasan. Chan eil fios aig modal PAM fhathast mar a dhearbhas tu teisteanasan a’ cleachdadh CRLn agus a’ togail slabhraidhean earbsa.

An dòigh furasta (tro bhrobhsair)

Gus teisteanas deuchainn fhaighinn, cleachd seirbheis lìn "Ionad Clàraidh Rutoken". Cha toir am pròiseas nas fhaide na 5 mionaidean.

Slighe na geek (tron consol agus is dòcha an compiler)

Thoir sùil air an tionndadh OpenSC
$ opensc-tool --version
Ma tha an tionndadh nas lugha na 0.20, an uairsin ùraich no tog meur pkcs11-inneal le taic GOST-2012 bhon GitHub againn (aig àm foillseachaidh an artaigil seo, cha deach fios 0.20 fhoillseachadh fhathast) no bhon phrìomh mheur den phrìomh phròiseact OpenSC gun a bhith nas fhaide air adhart tiomnadh 8cf1e6f

Cruthaich prìomh phaidhir leis na paramadairean a leanas:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: aithnichear nì (CKA_ID) mar àireamhan caractar heics dà-fhigearach bhon chlàr ASCII. Cleachd còdan ASCII a-mhàin airson caractaran clò-bhuailte, oir ... feumaidh id a chuir gu OpenSSL mar shreang. Mar eisimpleir, tha an còd ASCII "3132" a 'freagairt ris an t-sreath "12". Airson goireasachd, faodaidh tu a chleachdadh seirbheis air-loidhne airson sreangan a thionndadh gu còdan ASCII.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

An uairsin cruthaichidh sinn teisteanas. Bidh dà dhòigh air am mìneachadh gu h-ìosal: tha a’ chiad fhear tro CA (cleachdaidh sinn CAan deuchainn), tha an dàrna fear fèin-shoidhnichte. Gus seo a dhèanamh, feumaidh tu an toiseach stàladh agus rèiteachadh OpenSSL dreach 1.1 no nas fhaide air adhart gus obrachadh le Rutoken tro mhodal rtengine sònraichte a’ cleachdadh an leabhar-làimhe A 'stàladh agus a' rèiteachadh OpenSSL.
Mar eisimpleir: airson '--id 3132' ann an OpenSSL feumaidh tu "pkcs11:id=12".

Faodaidh tu seirbheisean deuchainn CA a chleachdadh, agus tha mòran dhiubh ann, mar eisimpleir, feuch, feuch и feuch, airson seo cruthaichidh sinn iarrtas airson teisteanas

Is e roghainn eile a bhith a’ toirt a-steach leisg agus a’ cruthachadh fèin-soidhnigeadh
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

A luchdachadh a-nuas an teisteanas air an inneal
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) Clàraich an teisteanas san t-siostam

Dèan cinnteach gu bheil an teisteanas agad coltach ri faidhle base64:

Ma tha coltas mar seo air an teisteanas agad:

feumaidh tu an teisteanas a thionndadh bho chruth DER gu cruth PEM (base64)

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
Bidh sinn a’ dèanamh cinnteach a-rithist gu bheil a h-uile dad ann an òrdugh a-nis.

Cuir an teisteanas ris an liosta de theisteanasan earbsach
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates
Bidh an loidhne mu dheireadh a’ dìon liosta nan teisteanasan earbsach bho bhith air an atharrachadh gu tubaisteach no a dh’aona ghnothach le luchd-cleachdaidh eile. Tha seo a’ cur casg air cuideigin an teisteanas aca a chur ris an seo agus a bhith comasach air logadh a-steach às do leth.

7) Stèidhich dearbhadh

Tha stèidheachadh ar modal PAM gu tur àbhaisteach agus tha e air a dhèanamh san aon dòigh ri stèidheachadh mhodalan eile. Cruthaich gu faidhle /usr/share/pam-configs/rutoken-gost-pam anns a bheil ainm slàn a’ mhodal, ge bith a bheil e air a chomasachadh gu bunaiteach, prìomhachas a’ mhodal, agus paramadairean dearbhaidh.
Anns na paramadairean dearbhaidh tha riatanasan airson soirbheachas na h-obrach:

• a dhìth: Feumaidh modalan mar seo freagairt dheimhinneach a thilleadh. Ma tha freagairt àicheil ann an toradh gairm modal, thig seo gu mearachd dearbhaidh. Thèid an t-iarrtas a leigeil seachad, ach thèid na modalan a tha air fhàgail a ghairm.
• riatanach: Coltach ris a tha a dhìth, ach sa bhad a’ fàiligeadh dearbhadh agus a’ seachnadh mhodalan eile.
• gu leòr: Mura h-eil gin de na modalan riatanach no gu leòr mus do thill a leithid de mhodal toradh àicheil, tillidh am modal freagairt adhartach. Thèid dearmad a dhèanamh air na modalan a tha air fhàgail.
• roghainneil: Mura h-eil modalan riatanach air a 'chruach agus nach eil gin de na modalan gu leòr a' tilleadh toradh dearbhach, feumaidh co-dhiù aon de na modalan roghainneil toradh math a thilleadh.

Susbaint faidhle slàn /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

sàbhail am faidhle, an uairsin cuir an gnìomh
$ sudo pam-auth-update
san uinneig a nochdas, cuir rionnag ri thaobh GOST PAM saor an asgaidh agus cliog OK

8) Thoir sùil air na roghainnean

Gus tuigsinn gu bheil a h-uile càil air a rèiteachadh, ach aig an aon àm na caill an comas logadh a-steach don t-siostam, cuir a-steach an àithne
$ sudo login
Cuir a-steach d’ ainm-cleachdaidh. Tha a h-uile dad air a rèiteachadh gu ceart ma tha feum aig an t-siostam air còd PIN inneal.

9) Dèan rèiteachadh air a 'choimpiutair gus a bhith air a bhacadh nuair a thèid an comharra a thoirt a-mach

Air a ghabhail a-steach sa phacaid libpam-pkcs11 goireas air a thoirt a-steach pkcs11_eventmgr, a leigeas leat diofar ghnìomhan a dhèanamh nuair a thachras tachartasan PKCS#11.
Airson roghainnean pkcs11_eventmgr a’ frithealadh mar fhaidhle rèiteachaidh: /etc/pam_pkcs11/pkcs11_eventmgr.conf
Airson diofar sgaoilidhean Linux, bidh an àithne a dh’ adhbhraicheas cunntas a ghlasadh nuair a thèid cairt spaideil no tòcan a thoirt air falbh eadar-dhealaichte. Cm. event card_remove.
Tha eisimpleir de fhaidhle rèiteachaidh ri fhaicinn gu h-ìosal:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

Às deidh sin cuir ris an tagradh pkcs11_eventmgr a thòiseachadh. Gus seo a dhèanamh, deasaich am faidhle .bash_profile:
$ nano /home/<имя_пользователя>/.bash_profile
Cuir an loidhne pkcs11_eventmgr gu deireadh an fhaidhle agus ath-thòisich.

Faodar na ceumannan a chaidh a mhìneachadh airson an siostam obrachaidh a stèidheachadh a chleachdadh mar stiùireadh ann an cuairteachadh Linux ùr-nodha sam bith, a’ toirt a-steach feadhainn dachaigheil.

co-dhùnadh

Tha Linux PCs a’ sìor fhàs mòr-chòrdte ann am buidhnean riaghaltais na Ruis, agus chan eil e an-còmhnaidh furasta dearbhadh dà-fhactaraidh earbsach a stèidheachadh san OS seo. Bidh sinn toilichte do chuideachadh le bhith a’ fuasgladh an “duilgheadas facal-faire” leis an iùl seo agus dìon gu h-earbsach ruigsinneachd don PC agad gun a bhith a’ caitheamh mòran ùine air.

Source: www.habr.com