🥇אימות דו-גורמי באתר באמצעות אסימון USB. עכשיו גם ללינוקס

В אחד מהמאמרים הקודמים שלנו דיברנו על החשיבות של אימות דו-גורמי בפורטלים ארגוניים של חברות. בפעם האחרונה הדגמנו כיצד להגדיר אימות מאובטח בשרת האינטרנט של IIS.

בהערות התבקשנו לכתוב הוראות לשרתי האינטרנט הנפוצים ביותר ללינוקס - nginx ו-Apache.

שאלת - כתבנו.

מה אתה צריך כדי להתחיל?

כל הפצת לינוקס מודרנית. עשיתי הגדרת בדיקה ב-MX Linux 18.2_x64. זו כמובן לא הפצת שרת, אבל לא סביר שיהיו הבדלים עבור דביאן. עבור הפצות אחרות, הנתיבים לספריות התצורה עשויים להשתנות מעט.
אֲסִימוֹן. אנו ממשיכים להשתמש במודל Rutoken EDS PKI, שהוא אידיאלי מבחינת מאפייני מהירות לשימוש ארגוני.
כדי לעבוד עם אסימון בלינוקס, עליך להתקין את החבילות הבאות:
libccid libpcsclite1 pcscd pcsc-tools opensc

הנפקת תעודות

במאמרים קודמים הסתמכנו על העובדה שתעודות שרת ולקוח יונפקו באמצעות Microsoft CA. אבל מכיוון שאנו מגדירים הכל בלינוקס, נספר לכם גם על דרך חלופית להנפיק אישורים אלה - מבלי לעזוב את לינוקס.
נשתמש ב-XCA כ-CA (https://hohnstaedt.de/xca/), הזמין בכל הפצת לינוקס מודרנית. כל הפעולות שנבצע ב-XCA יכולות להיעשות במצב שורת פקודה באמצעות כלי השירות OpenSSL ו-pkcs11-tool, אך למען פשטות ובהירות רבה יותר, לא נציג אותן במאמר זה.

תחילת העבודה

להתקין:
```
$ apt-get install xca
```
ואנחנו רצים:
```
$ xca
```
אנו יוצרים את מסד הנתונים שלנו עבור CA - /root/CA.xdb
אנו ממליצים לאחסן את מסד הנתונים של רשות האישורים בתיקייה שבה רק למנהל יש גישה. זה חשוב כדי להגן על המפתחות הפרטיים של אישורי הבסיס, המשמשים לחתימה על כל שאר האישורים.

צור מפתחות ואישור CA שורש

תשתית מפתח ציבורי (PKI) מבוססת על מערכת היררכית. הדבר העיקרי במערכת זו הוא רשות אישור השורש או שורש CA. תחילה יש ליצור את האישור שלו.

אנו יוצרים מפתח פרטי RSA-2048 עבור ה-CA. כדי לעשות זאת, בכרטיסייה מפתחות פרטיים לִדחוֹף מפתח חדש ובחר את הסוג המתאים.
הגדר שם לזוג המפתחות החדש. קראתי לזה CA Key.
אנו מנפיקים את אישור ה-CA עצמו, באמצעות צמד המפתחות שנוצר. כדי לעשות זאת, עבור אל הכרטיסייה תעודות ולחץ תעודה חדשה.
הקפד לבחור SHA-256, כי השימוש ב-SHA-1 כבר לא יכול להיחשב בטוח.
הקפד לבחור כתבנית [ברירת מחדל]CA. אל תשכח ללחוץ על החל הכל, אחרת התבנית לא מיושמת.
כרטיסייה נושא בחר את זוג המפתחות שלנו. שם תוכלו למלא את כל השדות העיקריים של התעודה.

יצירת מפתחות ותעודת שרת https

באופן דומה, אנו יוצרים מפתח פרטי RSA-2048 לשרת, קראתי לו Server Key.
בעת יצירת אישור, אנו בוחרים שתעודת השרת חייבת להיות חתומה באישור CA.
אל תשכח לבחור SHA-256.
אנו בוחרים כתבנית [ברירת מחדל] HTTPS_server. לחץ על החל הכל.
ואז בכרטיסייה נושא בחר את המפתח שלנו ומלא את השדות הנדרשים.

צור מפתחות ואישור עבור המשתמש

המפתח הפרטי של המשתמש יישמר על האסימון שלנו. כדי לעבוד איתה, עליך להתקין את ספריית PKCS#11 מהאתר שלנו. להפצות פופולריות, אנו מפיצים חבילות מוכנות, שנמצאות כאן - https://www.rutoken.ru/support/download/pkcs/. יש לנו גם מכלולים עבור arm64, armv7el, armv7hf, e2k, mipso32el, אותם ניתן להוריד מה-SDK שלנו - https://www.rutoken.ru/developers/sdk/. בנוסף למכלולים עבור לינוקס, יש גם מכלולים עבור macOS, freebsd ואנדרואיד.
הוספת ספק PKCS#11 חדש ל-XCA. כדי לעשות זאת, עבור לתפריט אפשרויות לכרטיסייה ספק PKCS#11.
אנחנו לוחצים להוסיף ובחר את הנתיב לספריית PKCS#11. במקרה שלי זה usrliblibrtpkcs11ecp.so.
נצטרך אסימון Rutoken EDS PKI מעוצב. הורד את כלי השירות rtAdmin - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

אנו מבצעים

$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

אנו בוחרים את מפתח RSA-2048 עבור Rutoken EDS PKI כסוג המפתח. קראתי למפתח הזה Client Key.
הזן את קוד ה-PIN. ואנחנו מחכים להשלמת ייצור החומרה של צמד המפתחות
אנו יוצרים תעודה עבור המשתמש באנלוגיה לתעודת השרת. הפעם נבחר תבנית [ברירת מחדל] HTTPS_client ואל תשכח ללחוץ החל הכל.
כרטיסייה נושא להזין מידע על המשתמש. אנו עונים בחיוב לבקשה לשמור את התעודה עבור האסימון.

כתוצאה מכך, בכרטיסייה תעודות ב-XCA אתה אמור לקבל משהו כזה.

קבוצה מינימלית זו של מפתחות ואישורים מספיקה כדי להתחיל בהגדרת השרתים עצמם.

כדי להגדיר, עלינו לייצא את אישור ה-CA, אישור השרת והמפתח הפרטי של השרת.

לשם כך, בחר את הערך הרצוי בלשונית המתאימה ב-XCA ולחץ יצוא.

nginx

אני לא אכתוב איך להתקין ולהפעיל שרת nginx - יש מספיק מאמרים בנושא זה באינטרנט, שלא לדבר על התיעוד הרשמי. בואו ניגש ישר להגדרת HTTPS ואימות דו-גורמי באמצעות אסימון.

הוסף את השורות הבאות למקטע השרת ב-nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

תיאור מפורט של כל הפרמטרים הקשורים להגדרת ssl ב-nginx ניתן למצוא כאן - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

אני רק אתאר בקצרה את אלה ששאלתי את עצמי:

ssl_verify_client - מציין שיש לאמת את שרשרת האמון של האישור.
ssl_verify_depth - מגדיר את עומק החיפוש עבור אישור השורש המהימן בשרשרת. מכיוון שאישור הלקוח שלנו נחתם מיד על אישור השורש, העומק מוגדר ל-1. אם אישור המשתמש חתום על CA ביניים, יש לציין 2 בפרמטר זה, וכן הלאה.
ssl_client_certificate - מציין את הנתיב לאישור השורש המהימן, המשמש בעת בדיקת האמון בתעודת המשתמש.
ssl_certificate/ssl_certificate_key - ציין את הנתיב לאישור השרת/מפתח הפרטי.

אל תשכח להפעיל את nginx -t כדי לבדוק שאין שגיאות הקלדה בתצורה, ושכל הקבצים נמצאים במקום הנכון, וכן הלאה.

וזה הכל! כפי שאתה יכול לראות, ההגדרה פשוטה מאוד.

בודק שזה עובד בפיירפוקס

מכיוון שאנחנו עושים הכל לגמרי בלינוקס, נניח שהמשתמשים שלנו עובדים גם בלינוקס (אם יש להם ווינדוס, אז ראה הוראות להגדרת דפדפנים במאמר הקודם.

בואו להפעיל את Firefox.
תחילה ננסה להיכנס ללא אסימון. אנחנו מקבלים את התמונה הזאת:
לך ל אודות: העדפות # פרטיות, ואנחנו הולכים ל מכשירי אבטחה...
אנחנו לוחצים לִטעוֹןכדי להוסיף מנהל התקן PKCS#11 חדש ולציין את הנתיב ל-librtpkcs11ecp.so שלנו.
כדי לבדוק שהתעודה גלויה, ניתן לעבור אל מנהל אישורים. תתבקש להזין את ה-PIN שלך. לאחר קלט נכון, אתה יכול לבדוק מה יש בכרטיסייה האישורים שלך האישור שלנו מהאסימון הופיע.
עכשיו בוא נלך עם האסימון. Firefox מבקש ממך לבחור אישור שייבחר עבור השרת. בחר את התעודה שלנו.
רווח!

ההגדרה מתבצעת פעם אחת, וכפי שניתן לראות בחלון בקשת האישור, אנו יכולים לשמור את הבחירה שלנו. לאחר מכן, בכל פעם שניכנס לפורטל, נצטרך רק להכניס אסימון ולהזין את קוד ה-PIN של המשתמש שצוין במהלך העיצוב. לאחר אימות כזה, השרת כבר יודע איזה משתמש נכנס ולא ניתן עוד ליצור חלונות נוספים לאימות, אלא להכניס מיד את המשתמש לחשבון האישי שלו.

אַפָּשׁ

בדיוק כמו עם nginx, לאף אחד לא אמורה להיות בעיות בהתקנת אפאצ'י. אם אינך יודע כיצד להתקין שרת אינטרנט זה, פשוט השתמש בתיעוד הרשמי.

ואנחנו מתחילים להגדיר את ה-HTTPS ואת האימות הדו-גורמי שלנו:

ראשית עליך להפעיל את mod_ssl:
```
$ a2enmod ssl
```
ולאחר מכן הפעל את הגדרות ברירת המחדל של HTTPS של האתר:
```
$ a2ensite default-ssl
```
כעת אנו עורכים את קובץ התצורה: /etc/apache2/sites-enabled/default-ssl.conf:
```
    SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10
```
כפי שאתה יכול לראות, שמות הפרמטרים תואמים למעשה את שמות הפרמטרים ב-nginx, אז אני לא אסביר אותם. שוב, מי שמתעניין בפרטים מוזמן לתיעוד.
כעת אנו מאתחלים את השרת שלנו:
```
$ service apache2 reload
$ service apache2 restart
```

כפי שאתה יכול לראות, הגדרת אימות דו-גורמי בכל שרת אינטרנט, בין אם ב-Windows או לינוקס, אורכת שעה לכל היותר. והגדרת דפדפנים אורכת כ-5 דקות. אנשים רבים חושבים שההגדרה והעבודה עם אימות דו-גורמי היא קשה ולא ברורה. אני מקווה שהמאמר שלנו מפריך את המיתוס הזה, לפחות במעט.

רק משתמשים רשומים יכולים להשתתף בסקר. להתחברבבקשה.

האם אתה צריך הוראות להגדרת TLS עם אישורים לפי GOST 34.10-2012:

כן, TLS-GOST נחוץ מאוד
לא, כוונון עם אלגוריתמי GOST אינו מעניין

44 משתמשים הצביעו. 9 משתמשים נמנעו.

מקור: www.habr.com

אימות דו-גורמי באתר באמצעות אסימון USB. עכשיו גם ללינוקס