સરળ પાસવર્ડ્સ સુરક્ષિત નથી અને જટિલ પાસવર્ડ્સ યાદ રાખવા અશક્ય છે. તેથી જ તેઓ કીબોર્ડ હેઠળ અથવા મોનિટર પર ઘણી વાર સ્ટીકી નોટ પર સમાપ્ત થાય છે. પાસવર્ડ્સ "ભૂલી ગયેલા" વપરાશકર્તાઓના મગજમાં રહે અને સુરક્ષાની વિશ્વસનીયતા ખોવાઈ ન જાય તેની ખાતરી કરવા માટે, બે-પરિબળ પ્રમાણીકરણ (2FA) છે.

ઉપકરણની માલિકી અને તેનો PIN જાણવાના સંયોજનને લીધે, PIN પોતે જ સરળ અને યાદ રાખવામાં સરળ બની શકે છે. PIN લંબાઈ અથવા રેન્ડમનેસમાં ગેરફાયદા ભૌતિક કબજાની જરૂરિયાત અને PIN બ્રુટ ફોર્સ પરના નિયંત્રણો દ્વારા સરભર કરવામાં આવે છે.

વધુમાં, તે સરકારી એજન્સીઓમાં થાય છે કે તેઓ ઇચ્છે છે કે બધું જ GOST અનુસાર કાર્ય કરે. Linux માં લૉગ ઇન કરવા માટેના આ 2FA વિકલ્પની ચર્ચા કરવામાં આવશે. હું દૂરથી શરૂ કરીશ.

PAM મોડ્યુલો

પ્લગેબલ ઓથેન્ટિકેશન મોડ્યુલ્સ (PAM) એ સ્ટાન્ડર્ડ API અને એપ્લીકેશનમાં વિવિધ ઓથેન્ટિકેશન મિકેનિઝમ્સના અમલીકરણ સાથેના મોડ્યુલો છે.
તમામ ઉપયોગિતાઓ અને એપ્લિકેશનો જે PAM સાથે કામ કરી શકે છે તે તેમને પસંદ કરે છે અને તેનો ઉપયોગ વપરાશકર્તા પ્રમાણીકરણ માટે કરી શકે છે.
વ્યવહારમાં, તે કંઈક આના જેવું કાર્ય કરે છે: લોગિન કમાન્ડ PAM ને કૉલ કરે છે, જે રૂપરેખાંકન ફાઇલમાં ઉલ્લેખિત મોડ્યુલોનો ઉપયોગ કરીને તમામ જરૂરી તપાસ કરે છે અને પરિણામને લોગિન આદેશ પર પાછું આપે છે.

librtpam

એક્ટિવ કંપની દ્વારા વિકસાવવામાં આવેલ મોડ્યુલ ઘરેલું ક્રિપ્ટોગ્રાફીના નવીનતમ ધોરણો અનુસાર અસમપ્રમાણ કીનો ઉપયોગ કરીને સ્માર્ટ કાર્ડ્સ અથવા યુએસબી ટોકન્સનો ઉપયોગ કરતા વપરાશકર્તાઓનું દ્વિ-પરિબળ પ્રમાણીકરણ ઉમેરે છે.

ચાલો તેના ઓપરેશનના સિદ્ધાંતને જોઈએ:

ટોકન વપરાશકર્તાના પ્રમાણપત્ર અને તેની ખાનગી કીને સંગ્રહિત કરે છે;
પ્રમાણપત્ર વપરાશકર્તાની હોમ ડિરેક્ટરીમાં વિશ્વસનીય તરીકે સાચવવામાં આવે છે.

પ્રમાણીકરણ પ્રક્રિયા નીચે મુજબ થાય છે:

Rutoken વપરાશકર્તાના વ્યક્તિગત પ્રમાણપત્ર માટે શોધ કરે છે.
ટોકન પિન માંગવામાં આવે છે.
રેન્ડમ ડેટા સીધા રૂટોકન ચિપમાં ખાનગી કી પર સહી થયેલ છે.
પરિણામી હસ્તાક્ષર વપરાશકર્તાના પ્રમાણપત્રમાંથી જાહેર કીનો ઉપયોગ કરીને ચકાસવામાં આવે છે.
મોડ્યુલ કૉલિંગ એપ્લિકેશનને સહી ચકાસણી પરિણામ પરત કરે છે.

તમે GOST R 34.10-2012 કી (લંબાઈ 256 અથવા 512 બિટ્સ) અથવા જૂના GOST R 34.10-2001 નો ઉપયોગ કરીને પ્રમાણિત કરી શકો છો.

તમારે ચાવીઓની સુરક્ષા વિશે ચિંતા કરવાની જરૂર નથી - તે સીધી રુટોકેનમાં જનરેટ થાય છે અને ક્રિપ્ટોગ્રાફિક કામગીરી દરમિયાન તેની મેમરી ક્યારેય છોડતી નથી.

Rutoken EDS 2.0 ને NDV 4 અનુસાર FSB અને FSTEC દ્વારા પ્રમાણિત કરવામાં આવે છે, તેથી તેનો ઉપયોગ ગુપ્ત માહિતીની પ્રક્રિયા કરતી માહિતી પ્રણાલીઓમાં થઈ શકે છે.

વ્યવહારુ ઉપયોગ

લગભગ કોઈપણ આધુનિક Linux કરશે, ઉદાહરણ તરીકે આપણે xUbuntu 18.10 નો ઉપયોગ કરીશું.

1) જરૂરી પેકેજો ઇન્સ્ટોલ કરો

sudo apt-get install libccid pcscd opensc
જો તમે સ્ક્રીનસેવર સાથે ડેસ્કટૉપ લૉક ઉમેરવા માંગો છો, તો પેકેજને વધુમાં ઇન્સ્ટોલ કરો libpam-pkcs11.

2) GOST સપોર્ટ સાથે PAM મોડ્યુલ ઉમેરો

થી લાઇબ્રેરી લોડ કરી રહ્યું છે https://download.rutoken.ru/Rutoken/PAM/
PAM ફોલ્ડરની સામગ્રીને librtpam.so.1.0.0 સિસ્ટમ ફોલ્ડરમાં કૉપિ કરો
/usr/lib/ અથવા /usr/lib/x86_64-linux-gnu/અથવા /usr/lib64

3) librtpkcs11ecp.so સાથે પેકેજ ઇન્સ્ટોલ કરો

લિંક પરથી DEB અથવા RPM પેકેજ ડાઉનલોડ અને ઇન્સ્ટોલ કરો: https://www.rutoken.ru/support/download/pkcs/

4) તપાસો કે Rutoken EDS 2.0 સિસ્ટમમાં કામ કરે છે

ટર્મિનલમાં આપણે એક્ઝેક્યુટ કરીએ છીએ
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
જો તમે રેખા જુઓ છો Rutoken ECP <no label> - તેનો અર્થ એ છે કે બધું બરાબર છે.

5) પ્રમાણપત્ર વાંચો

તપાસી રહ્યું છે કે ઉપકરણ પાસે પ્રમાણપત્ર છે
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
જો લીટી પછી:
Using slot 0 with a present token (0x0)

માહિતી પ્રદર્શિત થાય છે કીઓ અને પ્રમાણપત્રો વિશે, તમારે પ્રમાણપત્ર વાંચવાની અને તેને ડિસ્કમાં સાચવવાની જરૂર છે. આ કરવા માટે, નીચેનો આદેશ ચલાવો, જ્યાં {id} ને બદલે તમારે પ્રમાણપત્ર ID ને બદલવાની જરૂર છે જે તમે અગાઉના આદેશના આઉટપુટમાં જોયું હતું:
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
જો cert.crt ફાઇલ બનાવવામાં આવી હોય, તો પગલું 6 પર આગળ વધો).
ત્યાં કાઈ નથી, પછી ઉપકરણ ખાલી છે. તમારા એડમિનિસ્ટ્રેટરનો સંપર્ક કરો અથવા આગલા પગલાને અનુસરીને કીઓ અને પ્રમાણપત્ર જાતે બનાવો.

5.1) પરીક્ષણ પ્રમાણપત્ર બનાવો

ધ્યાન આપો! કીઓ અને પ્રમાણપત્રો બનાવવા માટેની વર્ણવેલ પદ્ધતિઓ પરીક્ષણ માટે યોગ્ય છે અને લડાઇ મોડમાં ઉપયોગ માટે બનાવાયેલ નથી. આ કરવા માટે, તમારે તમારી સંસ્થાના વિશ્વસનીય પ્રમાણપત્ર અધિકારી અથવા માન્યતાપ્રાપ્ત પ્રમાણપત્ર અધિકારી દ્વારા જારી કરાયેલ કી અને પ્રમાણપત્રોનો ઉપયોગ કરવાની જરૂર છે.
PAM મોડ્યુલ સ્થાનિક કમ્પ્યુટર્સને સુરક્ષિત રાખવા માટે રચાયેલ છે અને તે નાની સંસ્થાઓમાં કામ કરવા માટે રચાયેલ છે. થોડા વપરાશકર્તાઓ હોવાથી, એડમિનિસ્ટ્રેટર પ્રમાણપત્રોના રદબાતલનું નિરીક્ષણ કરી શકે છે અને એકાઉન્ટ્સને મેન્યુઅલી અવરોધિત કરી શકે છે, તેમજ પ્રમાણપત્રોની માન્યતા અવધિ. PAM મોડ્યુલ હજુ સુધી CRL નો ઉપયોગ કરીને પ્રમાણપત્રોને કેવી રીતે ચકાસવું અને વિશ્વાસની સાંકળો કેવી રીતે બનાવવી તે જાણતું નથી.

સરળ રીત (બ્રાઉઝર દ્વારા)

પરીક્ષણ પ્રમાણપત્ર મેળવવા માટે, ઉપયોગ કરો વેબ સેવા "રુટોકેન નોંધણી કેન્દ્ર". પ્રક્રિયામાં 5 મિનિટથી વધુ સમય લાગશે નહીં.

ગીકનો માર્ગ (કન્સોલ અને સંભવતઃ કમ્પાઇલર દ્વારા)

OpenSC સંસ્કરણ તપાસો
$ opensc-tool --version
જો સંસ્કરણ 0.20 કરતા ઓછું છે, તો પછી અપડેટ કરો અથવા બનાવો GOST-11 સપોર્ટ સાથે pkcs2012-ટૂલ શાખા અમારા ગિટહબમાંથી (આ લેખના પ્રકાશન સમયે, પ્રકાશન 0.20 હજી બહાર પાડવામાં આવ્યું નથી) અથવા પછીથી મુખ્ય OpenSC પ્રોજેક્ટની મુખ્ય શાખામાંથી પ્રતિબદ્ધ 8cf1e6f

નીચેના પરિમાણો સાથે કી જોડી બનાવો:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: ઑબ્જેક્ટ ઓળખકર્તા (CKA_ID) ASCII કોષ્ટકમાંથી બે-અંકના હેક્સ અક્ષર નંબરો તરીકે. છાપવા યોગ્ય અક્ષરો માટે માત્ર ASCII કોડનો ઉપયોગ કરો, કારણ કે... id ને સ્ટ્રિંગ તરીકે OpenSSL ને પાસ કરવાની જરૂર પડશે. ઉદાહરણ તરીકે, ASCII કોડ “3132” શબ્દમાળા “12” ને અનુરૂપ છે. સગવડ માટે, તમે ઉપયોગ કરી શકો છો સ્ટ્રિંગ્સને ASCII કોડમાં કન્વર્ટ કરવા માટે ઑનલાઇન સેવા.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

આગળ આપણે પ્રમાણપત્ર બનાવીશું. નીચે બે રીતોનું વર્ણન કરવામાં આવશે: પ્રથમ CA દ્વારા છે (અમે ટેસ્ટ CA નો ઉપયોગ કરીશું), બીજી સ્વ-સહી કરેલ છે. આ કરવા માટે, તમારે પહેલા મેન્યુઅલનો ઉપયોગ કરીને સ્પેશિયલ rtengine મોડ્યુલ દ્વારા Rutoken સાથે કામ કરવા માટે OpenSSL વર્ઝન 1.1 અથવા પછીનું ઇન્સ્ટોલ અને ગોઠવવું પડશે. OpenSSL ને ઇન્સ્ટોલ અને ગોઠવી રહ્યું છે.
ઉદાહરણ તરીકે: '- માટે-id 3132OpenSSL માં તમારે સ્પષ્ટ કરવાની જરૂર છે "pkcs11:id=12".

તમે પરીક્ષણ CA ની સેવાઓનો ઉપયોગ કરી શકો છો, જેમાંથી ઘણી છે, ઉદાહરણ તરીકે, જોયેલું, જોયેલું и જોયેલું, આ માટે અમે પ્રમાણપત્ર માટે વિનંતી બનાવીશું

બીજો વિકલ્પ આળસને સ્વીકારવાનો અને સ્વ-હસ્તાક્ષરિત બનાવવાનો છે
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

ઉપકરણ પર પ્રમાણપત્ર અપલોડ કરી રહ્યું છે
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) સિસ્ટમમાં પ્રમાણપત્રની નોંધણી કરો

ખાતરી કરો કે તમારું પ્રમાણપત્ર base64 ફાઇલ જેવું લાગે છે:

જો તમારું પ્રમાણપત્ર આના જેવું લાગે છે:

પછી તમારે પ્રમાણપત્રને DER ફોર્મેટમાંથી PEM ફોર્મેટ (base64)માં કન્વર્ટ કરવાની જરૂર છે.

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
અમે ફરીથી તપાસીએ છીએ કે હવે બધું ક્રમમાં છે.

પ્રમાણપત્રને વિશ્વસનીય પ્રમાણપત્રોની સૂચિમાં ઉમેરો
$ mkdir ~/.eid $ chmod 0755 ~/.eid $ cat cert.pem >> ~/.eid/authorized_certificates $ chmod 0644 ~/.eid/authorized_certificates
છેલ્લી પંક્તિ વિશ્વસનીય પ્રમાણપત્રોની સૂચિને અન્ય વપરાશકર્તાઓ દ્વારા આકસ્મિક અથવા ઇરાદાપૂર્વક બદલવાથી સુરક્ષિત કરે છે. આ કોઈને તેમનું પ્રમાણપત્ર અહીં ઉમેરવાથી અને તમારા વતી લૉગ ઇન કરવામાં સમર્થ થવાથી અટકાવે છે.

7) પ્રમાણીકરણ સેટ કરો

અમારા PAM મોડ્યુલને સુયોજિત કરવું સંપૂર્ણપણે પ્રમાણભૂત છે અને તે અન્ય મોડ્યુલ સેટઅપ કરવા જેવી જ રીતે કરવામાં આવે છે. ફાઇલ કરવા માટે બનાવો /usr/share/pam-configs/rutoken-gost-pam મોડ્યુલનું પૂરું નામ, શું તે મૂળભૂત રીતે સક્ષમ છે, મોડ્યુલની અગ્રતા, અને પ્રમાણીકરણ પરિમાણો ધરાવે છે.
ઑથેન્ટિકેશન પેરામીટર્સમાં ઑપરેશનની સફળતા માટેની આવશ્યકતાઓ છે:

આવશ્યક: આવા મોડ્યુલોએ સકારાત્મક પ્રતિસાદ આપવો જોઈએ. જો મોડ્યુલ કૉલના પરિણામમાં નકારાત્મક પ્રતિસાદ હોય, તો આ પ્રમાણીકરણ ભૂલમાં પરિણમશે. વિનંતી છોડવામાં આવશે, પરંતુ બાકીના મોડ્યુલોને બોલાવવામાં આવશે.
જરૂરી: જરૂરી સમાન, પરંતુ તરત જ પ્રમાણીકરણ નિષ્ફળ જાય છે અને અન્ય મોડ્યુલોને અવગણે છે.
પૂરતું: જો આવા મોડ્યુલ પહેલાં જરૂરી અથવા પર્યાપ્ત મોડ્યુલમાંથી કોઈ પણ નકારાત્મક પરિણામ ન આપે, તો મોડ્યુલ હકારાત્મક પ્રતિસાદ આપશે. બાકીના મોડ્યુલોને અવગણવામાં આવશે.
વૈકલ્પિક: જો સ્ટેક પર કોઈ જરૂરી મોડ્યુલો ન હોય અને પર્યાપ્ત મોડ્યુલોમાંથી કોઈ પણ હકારાત્મક પરિણામ ન આપતું હોય, તો ઓછામાં ઓછું એક વૈકલ્પિક મોડ્યુલ હકારાત્મક પરિણામ આપે.

સંપૂર્ણ ફાઇલ સમાવિષ્ટો /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

ફાઇલ સાચવો, પછી એક્ઝિક્યુટ કરો
$ sudo pam-auth-update
દેખાતી વિંડોમાં, તેની બાજુમાં ફૂદડી મૂકો Rutoken PAM GOST અને ક્લિક કરો OK

8) સેટિંગ્સ તપાસો

તે સમજવા માટે કે બધું ગોઠવેલું છે, પરંતુ તે જ સમયે સિસ્ટમમાં લૉગ ઇન કરવાની ક્ષમતા ગુમાવશો નહીં, આદેશ દાખલ કરો
$ sudo login
તમારું વપરાશકર્તા નામ દાખલ કરો. જો સિસ્ટમને ઉપકરણ પિન કોડની જરૂર હોય તો બધું યોગ્ય રીતે ગોઠવેલ છે.

9) ટોકન કાઢવામાં આવે ત્યારે બ્લૉક થવા માટે કમ્પ્યુટરને ગોઠવો

પેકેજમાં સમાવેશ થાય છે libpam-pkcs11 ઉપયોગિતા સમાવેશ થાય છે pkcs11_eventmgr, જે તમને PKCS#11 ઘટનાઓ બને ત્યારે વિવિધ ક્રિયાઓ કરવા દે છે.
સેટિંગ્સ માટે pkcs11_eventmgr રૂપરેખાંકન ફાઇલ તરીકે સેવા આપે છે: /etc/pam_pkcs11/pkcs11_eventmgr.conf
વિવિધ Linux વિતરણો માટે, સ્માર્ટ કાર્ડ અથવા ટોકન દૂર કરવામાં આવે ત્યારે એકાઉન્ટ લૉક થવાનું કારણ બને તે આદેશ અલગ હશે. સેમી. event card_remove.
એક ઉદાહરણ રૂપરેખાંકન ફાઇલ નીચે બતાવેલ છે:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

તે પછી એપ્લિકેશન ઉમેરો pkcs11_eventmgr સ્ટાર્ટઅપ માટે. આ કરવા માટે, .bash_profile ફાઇલમાં ફેરફાર કરો:
$ nano /home/<имя_пользователя>/.bash_profile
ફાઇલના અંતમાં pkcs11_eventmgr લાઇન ઉમેરો અને રીબૂટ કરો.

ઑપરેટિંગ સિસ્ટમ સેટ કરવા માટે વર્ણવેલ પગલાંનો ઉપયોગ સ્થાનિક સહિત કોઈપણ આધુનિક Linux વિતરણમાં સૂચનાઓ તરીકે થઈ શકે છે.

નિષ્કર્ષ

લિનક્સ પીસી રશિયન સરકારી એજન્સીઓમાં વધુને વધુ લોકપ્રિય બની રહ્યા છે, અને આ OS માં વિશ્વસનીય દ્વિ-પરિબળ પ્રમાણીકરણ સેટ કરવું હંમેશા સરળ નથી. આ માર્ગદર્શિકા વડે તમને "પાસવર્ડ સમસ્યા" ઉકેલવામાં મદદ કરવામાં અમને આનંદ થશે અને તેના પર ઘણો સમય વિતાવ્યા વિના તમારા PCની ઍક્સેસને વિશ્વસનીય રીતે સુરક્ષિત કરવામાં આવશે.

સોર્સ: www.habr.com

Rutoken પર GOST-2012 કીનો ઉપયોગ કરીને Linux માં સ્થાનિક પ્રમાણીકરણ માટે PAM મોડ્યુલોનો ઉપયોગ કેવી રીતે કરવો