סיסמאות פשוטות אינן מאובטחות, ואי אפשר לזכור סיסמאות מורכבות. לכן לעתים קרובות הם מגיעים לפתק נדבק מתחת למקלדת או על המסך. כדי להבטיח שסיסמאות יישארו במוחם של משתמשים "שכחנים" ושאמינות ההגנה לא תאבד, יש אימות דו-גורמי (2FA).

בשל השילוב של בעלות על מכשיר והכרת ה-PIN שלו, ה-PIN עצמו יכול להיות פשוט וקל יותר לזכור. החסרונות באורך או באקראיות של PIN מקוזזים על ידי דרישת ההחזקה הפיזית וההגבלות על כוח גס PIN.

בנוסף, זה קורה בסוכנויות ממשלתיות שהם רוצים שהכל יעבוד לפי GOST. אפשרות 2FA זו לכניסה ללינוקס תידון. אני אתחיל מרחוק.

מודולי PAM

מודולי אימות ניתנים לחיבור (PAM) הם מודולים עם API סטנדרטי והטמעות של מנגנוני אימות שונים ביישומים.
כל כלי השירות והיישומים שיכולים לעבוד עם PAM קולטים אותם ויכולים להשתמש בהם לאימות משתמשים.
בפועל זה עובד בערך כך: פקודת ה-login קוראת ל-PAM, שמבצעת את כל הבדיקות הנדרשות באמצעות המודולים המצוינים בקובץ התצורה ומחזירה את התוצאה לפקודת ה-login.

librtpam

המודול שפותח על ידי חברת Aktiv מוסיף אימות דו-גורמי של משתמשים באמצעות כרטיסים חכמים או אסימוני USB באמצעות מפתחות אסימטריים לפי הסטנדרטים העדכניים ביותר של קריפטוגרפיה מקומית.

הבה נסתכל על עיקרון פעולתו:

האסימון מאחסן את האישור של המשתמש והמפתח הפרטי שלו;
האישור נשמר בספריית הבית של המשתמש כאמין.

תהליך האימות מתרחש באופן הבא:

Rutoken מחפש את האישור האישי של המשתמש.
ה-PIN האסימון מתבקש.
נתונים אקראיים חתומים על המפתח הפרטי ישירות בשבב Rutoken.
החתימה המתקבלת מאומתת באמצעות המפתח הציבורי מהאישור של המשתמש.
המודול מחזיר את תוצאת אימות החתימה ליישום המתקשר.

אתה יכול לאמת באמצעות מפתחות GOST R 34.10-2012 (אורך 256 או 512 סיביות) או GOST R 34.10-2001 המיושן.

אתה לא צריך לדאוג לגבי האבטחה של המפתחות - הם נוצרים ישירות ב- Rutoken ולעולם לא עוזבים את הזיכרון שלו במהלך פעולות קריפטוגרפיות.

Rutoken EDS 2.0 מאושר על ידי ה-FSB וה-FSTEC לפי NDV 4, לכן ניתן להשתמש בו במערכות מידע המעבדות מידע סודי.

שימוש מעשי

כמעט כל לינוקס מודרנית תתאים, למשל נשתמש ב-xUbuntu 18.10.

1) התקן את החבילות הדרושות

sudo apt-get install libccid pcscd opensc
אם ברצונך להוסיף נעילת שולחן עבודה עם שומר מסך, התקן את החבילה בנוסף libpam-pkcs11.

2) הוסף מודול PAM עם תמיכת GOST

טוען את הספרייה מ https://download.rutoken.ru/Rutoken/PAM/
העתק את התוכן של תיקיית PAM librtpam.so.1.0.0 לתיקיית המערכת
/usr/lib/ או /usr/lib/x86_64-linux-gnu/או /usr/lib64

3) התקן את החבילה עם librtpkcs11ecp.so

הורד והתקן את חבילת DEB או RPM מהקישור: https://www.rutoken.ru/support/download/pkcs/

4) בדקו ש- Rutoken EDS 2.0 עובד במערכת

בטרמינל אנחנו מבצעים
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
אם אתה רואה את הקו Rutoken ECP <no label> - זה אומר שהכל בסדר.

5) קרא את התעודה

בודקים שלמכשיר יש תעודה
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
אם אחרי השורה:
Using slot 0 with a present token (0x0)

מידע מוצג לגבי מפתחות ואישורים, עליך לקרוא את האישור ולשמור אותו בדיסק. לשם כך, הפעל את הפקודה הבאה, כאשר במקום {id} עליך להחליף את מזהה האישור שראית בפלט של הפקודה הקודמת:
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
אם קובץ cert.crt נוצר, המשך לשלב 6).
אין שם כלום, אז המכשיר ריק. צור קשר עם מנהל המערכת שלך או צור את המפתחות והאישור בעצמך על ידי ביצוע השלב הבא.

5.1) צור תעודת בדיקה

תשומת הלב! השיטות המתוארות ליצירת מפתחות ותעודות מתאימות לבדיקה ואינן מיועדות לשימוש במצב לחימה. לשם כך, עליך להשתמש במפתחות ובאישורים שהונפקו על ידי רשות האישורים המהימנה של הארגון שלך או רשות אישורים מוסמכת.
מודול PAM נועד להגן על מחשבים מקומיים ונועד לעבוד בארגונים קטנים. מכיוון שיש מעט משתמשים, המנהל יכול לפקח על ביטול אישורים ולחסום חשבונות באופן ידני, כמו גם את תקופת התוקף של האישורים. מודול PAM עדיין לא יודע לאמת אישורים באמצעות CRL ולבנות שרשראות אמון.

הדרך הקלה (דרך הדפדפן)

לקבלת תעודת מבחן, השתמש שירות אינטרנט "מרכז רישום Rutoken". התהליך ייקח לא יותר מ-5 דקות.

דרכו של הגיק (דרך הקונסולה ואולי המהדר)

בדוק את גרסת OpenSC
$ opensc-tool --version
אם הגרסה היא פחות מ-0.20, אז עדכן או בנה סניף pkcs11-tool עם תמיכה ב-GOST-2012 מה-GitHub שלנו (בזמן פרסום מאמר זה, גרסה 0.20 עדיין לא שוחררה) או מהענף הראשי של פרויקט OpenSC הראשי לא מאוחר יותר לבצע 8cf1e6f

צור זוג מפתחות עם הפרמטרים הבאים:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: מזהה אובייקט (CKA_ID) כמספרי תו hex דו ספרתיים מטבלת ASCII. השתמש רק בקודי ASCII עבור תווים הניתנים להדפסה, כי... id יהיה צורך להעביר ל-OpenSSL כמחרוזת. לדוגמה, קוד ASCII "3132" מתאים למחרוזת "12". לנוחות, אתה יכול להשתמש שירות מקוון להמרת מחרוזות לקודי ASCII.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

בשלב הבא ניצור תעודה. שתי דרכים יתוארו להלן: הראשונה היא באמצעות CA (נשתמש ב-CAs מבחן), השנייה בחתימה עצמית. כדי לעשות זאת, תחילה עליך להתקין ולהגדיר את OpenSSL גרסה 1.1 ואילך לעבוד עם Rutoken באמצעות מודול rtengine מיוחד באמצעות המדריך התקנה והגדרה של OpenSSL.
לדוגמה: עבור '--id 3132' ב-OpenSSL אתה צריך לציין "pkcs11:id=12".

אתה יכול להשתמש בשירותים של CA בדיקה, שיש הרבה מהם, למשל, כאן, כאן и כאן, לשם כך ניצור בקשה לאישור

אפשרות נוספת היא להיכנע לעצלנות וליצור חתימה עצמית
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

העלאת האישור למכשיר
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) רישום האישור במערכת

ודא שהאישור שלך נראה כמו קובץ base64:

אם התעודה שלך נראית כך:

אז אתה צריך להמיר את האישור מפורמט DER לפורמט PEM (base64)

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
אנחנו בודקים שוב שהכל תקין עכשיו.

הוסף את האישור לרשימת האישורים המהימנים
$ mkdir ~/.eid $ chmod 0755 ~/.eid $ cat cert.pem >> ~/.eid/authorized_certificates $ chmod 0644 ~/.eid/authorized_certificates
השורה האחרונה מגנה על רשימת האישורים המהימנים מפני שינוי בטעות או בכוונה על ידי משתמשים אחרים. זה מונע ממישהו להוסיף את האישור שלו לכאן ולהיות מסוגל להתחבר בשמך.

7) הגדר אימות

הגדרת מודול PAM שלנו היא סטנדרטית לחלוטין ומתבצעת בדיוק באותו אופן כמו הגדרת מודולים אחרים. צור לקובץ /usr/share/pam-configs/rutoken-gost-pam המכיל את השם המלא של המודול, בין אם הוא מופעל כברירת מחדל, עדיפות המודול ופרמטרי אימות.
פרמטרי האימות מכילים דרישות להצלחת הפעולה:

נדרש: מודולים כאלה חייבים להחזיר תגובה חיובית. אם התוצאה של קריאת מודול מכילה תגובה שלילית, הדבר יגרום לשגיאת אימות. הבקשה תבוטל, אך שאר המודולים ייקראו.
נדרש: דומה לנדרש, אך נכשל מיד באימות ומתעלם ממודולים אחרים.
מספיק: אם אף אחד מהמודולים הנדרשים או המספיקים לפני מודול כזה לא החזיר תוצאה שלילית, אז המודול יחזיר תגובה חיובית. יתעלמו מהמודולים הנותרים.
אופציונלי: אם אין מודולים נדרשים בערימה ואף אחד מהמודולים המספיקים לא מחזיר תוצאה חיובית, אז לפחות אחד מהמודולים האופציונליים חייב להחזיר תוצאה חיובית.

תוכן הקובץ המלא /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

שמור את הקובץ ולאחר מכן בצע
$ sudo pam-auth-update
בחלון שמופיע, שים כוכבית לידו Rutoken PAM GOST ולחץ OK

8) בדוק את ההגדרות

כדי להבין שהכל מוגדר, אבל באותו זמן לא לאבד את היכולת להיכנס למערכת, הזן את הפקודה
$ sudo login
הכנס שם משתמש. הכל מוגדר כהלכה אם המערכת דורשת קוד PIN של התקן.

9) הגדר את המחשב כך שייחסם בעת חילוץ האסימון

כלול בחבילה libpam-pkcs11 שירות כלול pkcs11_eventmgr, המאפשר לך לבצע פעולות שונות כאשר מתרחשים אירועי PKCS#11.
להגדרות pkcs11_eventmgr משמש כקובץ תצורה: /etc/pam_pkcs11/pkcs11_eventmgr.conf
עבור הפצות לינוקס שונות, הפקודה שגורמת לחשבון להינעל בעת הסרת כרטיס חכם או אסימון תהיה שונה. ס"מ. event card_remove.
קובץ תצורה לדוגמה מוצג להלן:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

לאחר מכן הוסף את האפליקציה pkcs11_eventmgr להפעלה. לשם כך, ערוך את קובץ ‎.bash_profile:
$ nano /home/<имя_пользователя>/.bash_profile
הוסף את השורה pkcs11_eventmgr לסוף הקובץ ואתחל מחדש.

השלבים המתוארים להגדרת מערכת ההפעלה יכולים לשמש כהוראות בכל הפצת לינוקס מודרנית, כולל מקומית.

מסקנה

מחשבי Linux הופכים פופולריים יותר ויותר בסוכנויות ממשלתיות ברוסיה, והגדרת אימות דו-גורמי אמין במערכת הפעלה זו אינה תמיד קלה. נשמח לעזור לך לפתור את "בעיית הסיסמה" באמצעות מדריך זה ולהגן בצורה מהימנה על הגישה למחשב האישי שלך מבלי לבזבז על זה זמן רב.

מקור: www.habr.com

כיצד להשתמש במודולי PAM עבור אימות מקומי בלינוקס באמצעות מפתחות GOST-2012 ב- Rutoken