მარტივი პაროლები არ არის დაცული და რთული პაროლების დამახსოვრება შეუძლებელია. ამიტომ, ისინი ხშირად ხვდებიან კლავიატურის ან მონიტორის ქვეშ წებოვან ნოტაზე. იმისათვის, რომ პაროლები დარჩეს „დავიწყებული“ მომხმარებლების გონებაში და არ დაიკარგოს დაცვის საიმედოობა, არსებობს ორფაქტორიანი ავტორიზაცია (2FA).

მოწყობილობის ფლობისა და მისი PIN-ის ცოდნის კომბინაციის გამო, თავად PIN შეიძლება იყოს უფრო მარტივი და ადვილად დასამახსოვრებელი. PIN-ის სიგრძის ან შემთხვევითობის ნაკლოვანებები კომპენსირდება ფიზიკური ფლობის მოთხოვნით და PIN-ის უხეში ძალის შეზღუდვით.

გარდა ამისა, ეს ხდება სამთავრობო უწყებებში, რომ მათ სურთ ყველაფერი იმუშაოს GOST-ის მიხედვით. განხილული იქნება Linux-ში შესვლის ეს 2FA ვარიანტი. შორიდან დავიწყებ.

PAM მოდულები

Pluggable Authentication Modules (PAM) არის მოდულები სტანდარტული API-ით და აპლიკაციებში ავტორიზაციის სხვადასხვა მექანიზმების დანერგვით.
ყველა კომუნალური პროგრამა და აპლიკაცია, რომელსაც შეუძლია PAM-თან მუშაობა, აიღებს მათ და შეუძლიათ გამოიყენონ ისინი მომხმარებლის ავთენტიფიკაციისთვის.
პრაქტიკაში, ის ასე მუშაობს: შესვლის ბრძანება უწოდებს PAM-ს, რომელიც ასრულებს ყველა საჭირო შემოწმებას კონფიგურაციის ფაილში მითითებული მოდულების გამოყენებით და შედეგს უბრუნებს შესვლის ბრძანებას.

ლიბრტპამი

კომპანია Aktiv-ის მიერ შემუშავებული მოდული ამატებს მომხმარებლების ორფაქტორიან ავთენტიფიკაციას სმარტ ბარათების ან USB ტოკენების გამოყენებით ასიმეტრიული გასაღებების გამოყენებით შიდა კრიპტოგრაფიის უახლესი სტანდარტების მიხედვით.

მოდით შევხედოთ მისი მოქმედების პრინციპს:

• ჟეტონი ინახავს მომხმარებლის სერტიფიკატს და მის პირად გასაღებს;
• სერთიფიკატი ინახება მომხმარებლის მთავარ დირექტორიაში, როგორც სანდო.

ავთენტიფიკაციის პროცესი ხდება შემდეგნაირად:

1. Rutoken ეძებს მომხმარებლის პირად სერტიფიკატს.
2. მოთხოვნილია ტოკენის PIN.
3. შემთხვევითი მონაცემები ხელმოწერილია პირად გასაღებზე პირდაპირ რუტოკენის ჩიპში.
4. შედეგად მიღებული ხელმოწერა დამოწმებულია მომხმარებლის სერტიფიკატის საჯარო გასაღების გამოყენებით.
5. მოდული უბრუნებს ხელმოწერის გადამოწმების შედეგს გამოძახების აპლიკაციას.

ავტორიზაცია შეგიძლიათ GOST R 34.10-2012 კლავიშების (სიგრძე 256 ან 512 ბიტი) ან მოძველებული GOST R 34.10-2001 გამოყენებით.

თქვენ არ უნდა ინერვიულოთ გასაღებების უსაფრთხოებაზე - ისინი წარმოიქმნება პირდაპირ რუტოკენში და არასოდეს ტოვებენ მის მეხსიერებას კრიპტოგრაფიული ოპერაციების დროს.

Rutoken EDS 2.0 დამოწმებულია FSB და FSTEC-ის მიერ NDV 4-ის მიხედვით, ამიტომ მისი გამოყენება შესაძლებელია საინფორმაციო სისტემებში, რომლებიც ამუშავებენ კონფიდენციალურ ინფორმაციას.

პრაქტიკული გამოყენება

თითქმის ნებისმიერი თანამედროვე Linux მუშაობს, მაგალითად, ჩვენ გამოვიყენებთ xUbuntu 18.10.

1) დააინსტალირეთ საჭირო პაკეტები

sudo apt-get install libccid pcscd opensc
თუ გსურთ დესკტოპის საკეტის დამატება ეკრანმზოგით, დააინსტალირეთ პაკეტი დამატებით libpam-pkcs11.

2) დაამატეთ PAM მოდული GOST მხარდაჭერით

ბიბლიოთეკის ჩატვირთვა დან https://download.rutoken.ru/Rutoken/PAM/
დააკოპირეთ PAM საქაღალდის librtpam.so.1.0.0 შიგთავსი სისტემის საქაღალდეში
/usr/lib/ ან /usr/lib/x86_64-linux-gnu/ან /usr/lib64

3) დააინსტალირეთ პაკეტი librtpkcs11ecp.so-ით

ჩამოტვირთეთ და დააინსტალირეთ DEB ან RPM პაკეტი ბმულიდან: https://www.rutoken.ru/support/download/pkcs/

4) შეამოწმეთ, რომ Rutoken EDS 2.0 მუშაობს სისტემაში

ტერმინალში ვასრულებთ
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
ხაზს თუ ხედავ Rutoken ECP <no label> - ეს ნიშნავს, რომ ყველაფერი კარგადაა.

5) წაიკითხეთ სერთიფიკატი

შეამოწმეთ, რომ მოწყობილობას აქვს სერთიფიკატი
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
თუ ხაზის შემდეგ:
Using slot 0 with a present token (0x0)

• ნაჩვენებია ინფორმაცია გასაღებებისა და სერთიფიკატების შესახებ, თქვენ უნდა წაიკითხოთ სერთიფიკატი და შეინახოთ იგი დისკზე. ამისათვის გაუშვით შემდეგი ბრძანება, სადაც {id}-ის ნაცვლად თქვენ უნდა შეცვალოთ სერთიფიკატის ID, რომელიც ნახეთ წინა ბრძანების გამოსავალში:
  $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
  თუ cert.crt ფაილი შეიქმნა, გააგრძელეთ ნაბიჯი 6).
• იქ არაფერია, მაშინ მოწყობილობა ცარიელია. დაუკავშირდით თქვენს ადმინისტრატორს ან თავად შექმენით გასაღებები და სერტიფიკატი შემდეგი ნაბიჯის შემდეგ.

5.1) შექმენით ტესტის სერტიფიკატი

ყურადღება! გასაღებების და სერთიფიკატების შექმნის აღწერილი მეთოდები შესაფერისია ტესტირებისთვის და არ არის განკუთვნილი საბრძოლო რეჟიმში გამოსაყენებლად. ამისათვის თქვენ უნდა გამოიყენოთ გასაღებები და სერთიფიკატები, რომლებიც გაცემულია თქვენი ორგანიზაციის სანდო სერტიფიცირების ორგანოს ან აკრედიტებული სერტიფიცირების ორგანოს მიერ.
PAM მოდული შექმნილია ადგილობრივი კომპიუტერების დასაცავად და შექმნილია მცირე ორგანიზაციებში მუშაობისთვის. ვინაიდან მომხმარებელი ცოტაა, ადმინისტრატორს შეუძლია აკონტროლოს სერთიფიკატების გაუქმება და ხელით დაბლოკოს ანგარიშები, ასევე სერთიფიკატების მოქმედების ვადა. PAM მოდულმა ჯერ არ იცის როგორ გადაამოწმოს სერთიფიკატები CRL-ების გამოყენებით და ააშენოს ნდობის ჯაჭვები.

მარტივი გზა (ბრაუზერის საშუალებით)

ტესტის სერთიფიკატის მისაღებად გამოიყენეთ ვებ სერვისი "რუტოკენის სარეგისტრაციო ცენტრი". პროცესს არაუმეტეს 5 წუთი დასჭირდება.

გიკის გზა (კონსოლის და შესაძლოა შემდგენელის მეშვეობით)

შეამოწმეთ OpenSC ვერსია
$ opensc-tool --version
თუ ვერსია 0.20-ზე ნაკლებია, განაახლეთ ან შექმენით pkcs11-tool ფილიალი GOST-2012 მხარდაჭერით ჩვენი GitHub-დან (ამ სტატიის გამოქვეყნების დროს, 0.20 გამოშვება ჯერ არ გამოქვეყნებულა) ან მთავარი OpenSC პროექტის მთავარი ფილიალიდან არა უგვიანეს ჩაიდინეთ 8cf1e6f

შექმენით გასაღების წყვილი შემდეგი პარამეტრებით:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: ობიექტის იდენტიფიკატორი (CKA_ID) როგორც ორნიშნა ექვსნიშნა სიმბოლოების რიცხვები ASCII ცხრილიდან. გამოიყენეთ მხოლოდ ASCII კოდები დასაბეჭდი სიმბოლოებისთვის, რადგან... id უნდა გადაეცეს OpenSSL-ს, როგორც სტრიქონი. მაგალითად, ASCII კოდი "3132" შეესაბამება სტრიქონს "12". მოხერხებულობისთვის შეგიძლიათ გამოიყენოთ ონლაინ სერვისი სტრიქონების ASCII კოდებად გადაქცევისთვის.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

შემდეგ ჩვენ შევქმნით სერთიფიკატს. ქვემოთ აღწერილი იქნება ორი გზა: პირველი არის CA-ს მეშვეობით (ჩვენ გამოვიყენებთ სატესტო CA-ებს), მეორე არის ხელმოწერილი. ამისათვის თქვენ ჯერ უნდა დააინსტალიროთ და დააკონფიგურიროთ OpenSSL ვერსია 1.1 ან უფრო ახალი Rutoken-თან მუშაობისთვის სპეციალური rtengine მოდულის მეშვეობით სახელმძღვანელოს გამოყენებით. OpenSSL-ის ინსტალაცია და კონფიგურაცია.
მაგალითად: ამისთვის --id 3132"OpenSSL-ში თქვენ უნდა მიუთითოთ"pkcs11:id=12".

თქვენ შეგიძლიათ გამოიყენოთ სატესტო CA სერვისები, რომელთაგან ბევრია, მაგალითად, აქ, აქ и აქ, ამისათვის ჩვენ შევქმნით მოთხოვნას სერტიფიკატის შესახებ

კიდევ ერთი ვარიანტია სიზარმაცის დათმობა და საკუთარი ხელმოწერის შექმნა
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

სერთიფიკატის ატვირთვა მოწყობილობაზე
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) მოწმობის რეგისტრაცია სისტემაში

დარწმუნდით, რომ თქვენი სერთიფიკატი ჰგავს base64 ფაილს:

თუ თქვენი სერთიფიკატი ასე გამოიყურება:

შემდეგ თქვენ უნდა გადაიყვანოთ სერთიფიკატი DER ფორმატიდან PEM ფორმატში (base64)

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
ჩვენ კვლავ ვამოწმებთ, რომ ახლა ყველაფერი რიგზეა.

დაამატეთ სერთიფიკატი სანდო სერთიფიკატების სიაში
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates
ბოლო სტრიქონი იცავს სანდო სერთიფიკატების სიას სხვა მომხმარებლების მიერ შემთხვევით ან განზრახ შეცვლისგან. ეს ხელს უშლის ვინმეს, დაამატოს თავისი სერტიფიკატი აქ და შეძლოს თქვენი სახელით შესვლა.

7) დააყენეთ ავთენტიფიკაცია

ჩვენი PAM მოდულის დაყენება სრულიად სტანდარტულია და კეთდება ზუსტად ისევე, როგორც სხვა მოდულების დაყენება. შექმენით ფაილში /usr/share/pam-configs/rutoken-gost-pam შეიცავს მოდულის სრულ სახელს, არის თუ არა ის ჩართული ნაგულისხმევად, მოდულის პრიორიტეტს და ავტორიზაციის პარამეტრებს.
ავთენტიფიკაციის პარამეტრები შეიცავს მოთხოვნებს ოპერაციის წარმატებისთვის:

• საჭიროა: ასეთმა მოდულებმა უნდა დააბრუნონ დადებითი პასუხი. თუ მოდულის გამოძახების შედეგი შეიცავს უარყოფით პასუხს, ეს გამოიწვევს ავტორიზაციის შეცდომას. მოთხოვნა გაუქმდება, მაგრამ დარჩენილი მოდულები გამოიძახება.
• რეკვიზიტი: საჭიროების მსგავსი, მაგრამ დაუყოვნებლივ ვერ ხერხდება ავტორიზაცია და უგულებელყოფს სხვა მოდულებს.
• საკმარისი: თუ არც ერთმა საჭირო ან საკმარისმა მოდულმა ასეთ მოდულამდე არ დააბრუნა უარყოფითი შედეგი, მაშინ მოდული უბრუნებს დადებით პასუხს. დარჩენილი მოდულები იგნორირებული იქნება.
• სურვილისამებრ: თუ დასტაზე არ არის საჭირო მოდული და არცერთი საკმარისი მოდული არ აბრუნებს დადებით შედეგს, მაშინ ერთ-ერთმა არჩევითმა მოდულმა მაინც უნდა დააბრუნოს დადებითი შედეგი.

ფაილის სრული შინაარსი /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

შეინახეთ ფაილი, შემდეგ შეასრულეთ
$ sudo pam-auth-update
ფანჯარაში, რომელიც გამოჩნდება, მის გვერდით დაადეთ ვარსკვლავი რუტოკენი PAM GOST და დააჭირეთ OK

8) შეამოწმეთ პარამეტრები

იმის გასაგებად, რომ ყველაფერი კონფიგურირებულია, მაგრამ ამავე დროს არ დაკარგოთ სისტემაში შესვლის შესაძლებლობა, შეიყვანეთ ბრძანება
$ sudo login
Შეიყვანეთ თქვენი მომხმარებლის სახელი. ყველაფერი სწორად არის კონფიგურირებული, თუ სისტემა მოითხოვს მოწყობილობის PIN კოდს.

9) დააკონფიგურირეთ კომპიუტერი, რომ დაიბლოკოს ნიშნის ამოღებისას

შეფუთვაში შედის libpam-pkcs11 კომუნალური შედის pkcs11_eventmgr, რომელიც საშუალებას გაძლევთ შეასრულოთ სხვადასხვა მოქმედებები, როდესაც ხდება PKCS#11 მოვლენები.
პარამეტრებისთვის pkcs11_eventmgr ემსახურება როგორც კონფიგურაციის ფაილს: /etc/pam_pkcs11/pkcs11_eventmgr.conf
Linux-ის სხვადასხვა დისტრიბუციისთვის, ბრძანება, რომელიც იწვევს ანგარიშის დაბლოკვას სმარტ ბარათის ან ტოკენის ამოღებისას, განსხვავდება. Სმ. event card_remove.
კონფიგურაციის ფაილის მაგალითი ნაჩვენებია ქვემოთ:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

ამის შემდეგ დაამატეთ აპლიკაცია pkcs11_eventmgr დაწყებამდე. ამისათვის შეცვალეთ .bash_profile ფაილი:
$ nano /home/<имя_пользователя>/.bash_profile
დაამატეთ ხაზი pkcs11_eventmgr ფაილის ბოლოს და გადატვირთეთ.

ოპერაციული სისტემის დაყენების აღწერილი ნაბიჯები შეიძლება გამოყენებულ იქნას როგორც ინსტრუქციები ნებისმიერ თანამედროვე Linux დისტრიბუციაში, მათ შორის შიდა.

დასკვნა

Linux-ის კომპიუტერები სულ უფრო პოპულარული ხდება რუსეთის სამთავრობო უწყებებში და ამ OS-ში საიმედო ორფაქტორიანი ავტორიზაციის დაყენება ყოველთვის ადვილი არ არის. მოხარული ვიქნებით დაგეხმაროთ ამ სახელმძღვანელოს მეშვეობით „პაროლის პრობლემის“ გადაჭრაში და საიმედოდ დავიცვათ წვდომა თქვენს კომპიუტერზე, მასზე დიდი დროის დახარჯვის გარეშე.

წყარო: www.habr.com