ಸರಳವಾದ ಪಾಸ್ವರ್ಡ್ಗಳು ಸುರಕ್ಷಿತವಾಗಿಲ್ಲ ಮತ್ತು ಸಂಕೀರ್ಣವಾದವುಗಳನ್ನು ನೆನಪಿಟ್ಟುಕೊಳ್ಳುವುದು ಅಸಾಧ್ಯ. ಅದಕ್ಕಾಗಿಯೇ ಅವು ಸಾಮಾನ್ಯವಾಗಿ ಕೀಬೋರ್ಡ್ ಅಥವಾ ಮಾನಿಟರ್ನಲ್ಲಿ ಜಿಗುಟಾದ ಟಿಪ್ಪಣಿಯಲ್ಲಿ ಕೊನೆಗೊಳ್ಳುತ್ತವೆ. ಪಾಸ್ವರ್ಡ್ಗಳು "ಮರೆತುಹೋಗುವ" ಬಳಕೆದಾರರ ಮನಸ್ಸಿನಲ್ಲಿ ಉಳಿಯುತ್ತವೆ ಮತ್ತು ರಕ್ಷಣೆಯ ವಿಶ್ವಾಸಾರ್ಹತೆ ಕಳೆದುಹೋಗುವುದಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣ (2FA) ಇದೆ.
ಸಾಧನವನ್ನು ಹೊಂದಿರುವ ಮತ್ತು ಅದರ ಪಿನ್ ಅನ್ನು ತಿಳಿದುಕೊಳ್ಳುವ ಸಂಯೋಜನೆಯಿಂದಾಗಿ, ಪಿನ್ ಸ್ವತಃ ಸರಳ ಮತ್ತು ನೆನಪಿಟ್ಟುಕೊಳ್ಳಲು ಸುಲಭವಾಗಿರುತ್ತದೆ. PIN ಉದ್ದ ಅಥವಾ ಯಾದೃಚ್ಛಿಕತೆಯಲ್ಲಿನ ಅನಾನುಕೂಲಗಳನ್ನು ಭೌತಿಕ ಸ್ವಾಧೀನದ ಅವಶ್ಯಕತೆ ಮತ್ತು PIN ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿಯ ಮೇಲಿನ ನಿರ್ಬಂಧಗಳಿಂದ ಸರಿದೂಗಿಸಲಾಗುತ್ತದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, GOST ಪ್ರಕಾರ ಎಲ್ಲವೂ ಕೆಲಸ ಮಾಡಲು ಅವರು ಬಯಸುತ್ತಾರೆ ಎಂದು ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಇದು ಸಂಭವಿಸುತ್ತದೆ. Linux ಗೆ ಲಾಗಿನ್ ಆಗಲು ಈ 2FA ಆಯ್ಕೆಯನ್ನು ಚರ್ಚಿಸಲಾಗುವುದು. ನಾನು ದೂರದಿಂದ ಪ್ರಾರಂಭಿಸುತ್ತೇನೆ.
PAM ಮಾಡ್ಯೂಲ್ಗಳು
ಪ್ಲಗ್ ಮಾಡಬಹುದಾದ ದೃಢೀಕರಣ ಮಾಡ್ಯೂಲ್ಗಳು (PAM) ಪ್ರಮಾಣಿತ API ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ವಿವಿಧ ದೃಢೀಕರಣ ಕಾರ್ಯವಿಧಾನಗಳ ಅನುಷ್ಠಾನಗಳೊಂದಿಗೆ ಮಾಡ್ಯೂಲ್ಗಳಾಗಿವೆ.
PAM ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಬಹುದಾದ ಎಲ್ಲಾ ಉಪಯುಕ್ತತೆಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳು ಅವುಗಳನ್ನು ಆಯ್ಕೆಮಾಡುತ್ತವೆ ಮತ್ತು ಬಳಕೆದಾರರ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಅವುಗಳನ್ನು ಬಳಸಬಹುದು.
ಪ್ರಾಯೋಗಿಕವಾಗಿ, ಇದು ಈ ರೀತಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ: ಲಾಗಿನ್ ಆಜ್ಞೆಯು PAM ಅನ್ನು ಕರೆಯುತ್ತದೆ, ಇದು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಎಲ್ಲಾ ಅಗತ್ಯ ಪರಿಶೀಲನೆಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಫಲಿತಾಂಶವನ್ನು ಲಾಗಿನ್ ಆಜ್ಞೆಗೆ ಹಿಂತಿರುಗಿಸುತ್ತದೆ.
librtpam
ಆಕ್ಟಿವ್ ಕಂಪನಿಯು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಮಾಡ್ಯೂಲ್ ದೇಶೀಯ ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯ ಇತ್ತೀಚಿನ ಮಾನದಂಡಗಳ ಪ್ರಕಾರ ಅಸಮಪಾರ್ಶ್ವದ ಕೀಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ಗಳು ಅಥವಾ ಯುಎಸ್ಬಿ ಟೋಕನ್ಗಳನ್ನು ಬಳಸುವ ಬಳಕೆದಾರರ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಸೇರಿಸುತ್ತದೆ.
ಅದರ ಕಾರ್ಯಾಚರಣೆಯ ತತ್ವವನ್ನು ನೋಡೋಣ:
- ಟೋಕನ್ ಬಳಕೆದಾರರ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ಅದರ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ;
- ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಕೆದಾರರ ಹೋಮ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ವಿಶ್ವಾಸಾರ್ಹವಾಗಿ ಉಳಿಸಲಾಗಿದೆ.
ದೃಢೀಕರಣ ಪ್ರಕ್ರಿಯೆಯು ಈ ಕೆಳಗಿನಂತೆ ಸಂಭವಿಸುತ್ತದೆ:
- Rutoken ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಹುಡುಕುತ್ತದೆ.
- ಟೋಕನ್ ಪಿನ್ ಅನ್ನು ವಿನಂತಿಸಲಾಗಿದೆ.
- ಯಾದೃಚ್ಛಿಕ ಡೇಟಾವನ್ನು ನೇರವಾಗಿ ರುಟೊಕನ್ ಚಿಪ್ನಲ್ಲಿ ಖಾಸಗಿ ಕೀಲಿಯಲ್ಲಿ ಸಹಿ ಮಾಡಲಾಗಿದೆ.
- ಪರಿಣಾಮವಾಗಿ ಸಹಿಯನ್ನು ಬಳಕೆದಾರರ ಪ್ರಮಾಣಪತ್ರದಿಂದ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ.
- ಮಾಡ್ಯೂಲ್ ಸಹಿ ಪರಿಶೀಲನೆ ಫಲಿತಾಂಶವನ್ನು ಕರೆ ಮಾಡುವ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಹಿಂತಿರುಗಿಸುತ್ತದೆ.
ನೀವು GOST R 34.10-2012 ಕೀಗಳನ್ನು (ಉದ್ದ 256 ಅಥವಾ 512 ಬಿಟ್ಗಳು) ಅಥವಾ ಹಳತಾದ GOST R 34.10-2001 ಬಳಸಿ ದೃಢೀಕರಿಸಬಹುದು.
ಕೀಗಳ ಸುರಕ್ಷತೆಯ ಬಗ್ಗೆ ನೀವು ಚಿಂತಿಸಬೇಕಾಗಿಲ್ಲ - ಅವು ನೇರವಾಗಿ ರುಟೊಕನ್ನಲ್ಲಿ ಉತ್ಪತ್ತಿಯಾಗುತ್ತವೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕಾರ್ಯಾಚರಣೆಗಳ ಸಮಯದಲ್ಲಿ ಅದರ ಸ್ಮರಣೆಯನ್ನು ಎಂದಿಗೂ ಬಿಡುವುದಿಲ್ಲ.
NDV 2.0 ರ ಪ್ರಕಾರ ರುಟೊಕನ್ EDS 4 ಅನ್ನು FSB ಮತ್ತು FSTEC ಯಿಂದ ಪ್ರಮಾಣೀಕರಿಸಲಾಗಿದೆ, ಆದ್ದರಿಂದ ಗೌಪ್ಯ ಮಾಹಿತಿಯನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಇದನ್ನು ಬಳಸಬಹುದು.
ಪ್ರಾಯೋಗಿಕ ಬಳಕೆ
ಬಹುತೇಕ ಯಾವುದೇ ಆಧುನಿಕ ಲಿನಕ್ಸ್ ಮಾಡುತ್ತದೆ, ಉದಾಹರಣೆಗೆ ನಾವು xUbuntu 18.10 ಅನ್ನು ಬಳಸುತ್ತೇವೆ.
1) ಅಗತ್ಯ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಿ
sudo apt-get install libccid pcscd opensc
ನೀವು ಸ್ಕ್ರೀನ್ಸೇವರ್ನೊಂದಿಗೆ ಡೆಸ್ಕ್ಟಾಪ್ ಲಾಕ್ ಅನ್ನು ಸೇರಿಸಲು ಬಯಸಿದರೆ, ಹೆಚ್ಚುವರಿಯಾಗಿ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿ libpam-pkcs11.
2) GOST ಬೆಂಬಲದೊಂದಿಗೆ PAM ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸೇರಿಸಿ
ಲೈಬ್ರರಿಯನ್ನು ಲೋಡ್ ಮಾಡಲಾಗುತ್ತಿದೆ
PAM ಫೋಲ್ಡರ್ librtpam.so.1.0.0 ನ ವಿಷಯಗಳನ್ನು ಸಿಸ್ಟಮ್ ಫೋಲ್ಡರ್ಗೆ ನಕಲಿಸಿ
/usr/lib/ ಅಥವಾ /usr/lib/x86_64-linux-gnu/ಅಥವಾ /usr/lib64
3) librtpkcs11ecp.so ನೊಂದಿಗೆ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿ
ಲಿಂಕ್ನಿಂದ DEB ಅಥವಾ RPM ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿ ಮತ್ತು ಸ್ಥಾಪಿಸಿ:
4) ರುಟೊಕನ್ ಇಡಿಎಸ್ 2.0 ಸಿಸ್ಟಂನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಿ
ಟರ್ಮಿನಲ್ನಲ್ಲಿ ನಾವು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತೇವೆ
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
ನೀವು ಸಾಲು ನೋಡಿದರೆ Rutoken ECP <no label> - ಇದರರ್ಥ ಎಲ್ಲವೂ ಸರಿಯಾಗಿದೆ.
5) ಪ್ರಮಾಣಪತ್ರವನ್ನು ಓದಿ
ಸಾಧನವು ಪ್ರಮಾಣಪತ್ರವನ್ನು ಹೊಂದಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
ಸಾಲಿನ ನಂತರ ಇದ್ದರೆ:
Using slot 0 with a present token (0x0)
- ಮಾಹಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರಗಳ ಬಗ್ಗೆ, ನೀವು ಪ್ರಮಾಣಪತ್ರವನ್ನು ಓದಬೇಕು ಮತ್ತು ಅದನ್ನು ಡಿಸ್ಕ್ಗೆ ಉಳಿಸಬೇಕು. ಇದನ್ನು ಮಾಡಲು, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಿ, ಅಲ್ಲಿ {id} ಬದಲಿಗೆ ನೀವು ಹಿಂದಿನ ಆಜ್ಞೆಯ ಔಟ್ಪುಟ್ನಲ್ಲಿ ನೋಡಿದ ಪ್ರಮಾಣಪತ್ರ ID ಅನ್ನು ಬದಲಿಸಬೇಕಾಗುತ್ತದೆ:
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
cert.crt ಫೈಲ್ ಅನ್ನು ರಚಿಸಿದ್ದರೆ, ಹಂತ 6 ಕ್ಕೆ ಮುಂದುವರಿಯಿರಿ). - ಏನೂ ಇಲ್ಲ, ನಂತರ ಸಾಧನವು ಖಾಲಿಯಾಗಿದೆ. ಮುಂದಿನ ಹಂತವನ್ನು ಅನುಸರಿಸುವ ಮೂಲಕ ನಿಮ್ಮ ನಿರ್ವಾಹಕರನ್ನು ಸಂಪರ್ಕಿಸಿ ಅಥವಾ ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀವೇ ರಚಿಸಿ.
5.1) ಪರೀಕ್ಷಾ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸಿ
ಗಮನ! ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ರಚಿಸಲು ವಿವರಿಸಿದ ವಿಧಾನಗಳು ಪರೀಕ್ಷೆಗೆ ಸೂಕ್ತವಾಗಿದೆ ಮತ್ತು ಯುದ್ಧ ಕ್ರಮದಲ್ಲಿ ಬಳಸಲು ಉದ್ದೇಶಿಸಿಲ್ಲ. ಇದನ್ನು ಮಾಡಲು, ನಿಮ್ಮ ಸಂಸ್ಥೆಯ ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರ ಅಥವಾ ಮಾನ್ಯತೆ ಪಡೆದ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ನೀಡಲಾದ ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀವು ಬಳಸಬೇಕಾಗುತ್ತದೆ.
PAM ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸ್ಥಳೀಯ ಕಂಪ್ಯೂಟರ್ಗಳನ್ನು ರಕ್ಷಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ಸಣ್ಣ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಕೆಲಸ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಕೆಲವು ಬಳಕೆದಾರರಿರುವುದರಿಂದ, ನಿರ್ವಾಹಕರು ಪ್ರಮಾಣಪತ್ರಗಳ ಹಿಂತೆಗೆದುಕೊಳ್ಳುವಿಕೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬಹುದು ಮತ್ತು ಖಾತೆಗಳನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ನಿರ್ಬಂಧಿಸಬಹುದು, ಹಾಗೆಯೇ ಪ್ರಮಾಣಪತ್ರಗಳ ಮಾನ್ಯತೆಯ ಅವಧಿಯನ್ನು ಮಾಡಬಹುದು. CRL ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಹೇಗೆ ಪರಿಶೀಲಿಸುವುದು ಮತ್ತು ನಂಬಿಕೆಯ ಸರಪಳಿಗಳನ್ನು ನಿರ್ಮಿಸುವುದು ಹೇಗೆ ಎಂದು PAM ಮಾಡ್ಯೂಲ್ಗೆ ಇನ್ನೂ ತಿಳಿದಿಲ್ಲ.
ಸುಲಭವಾದ ಮಾರ್ಗ (ಬ್ರೌಸರ್ ಮೂಲಕ)
ಪರೀಕ್ಷಾ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪಡೆಯಲು, ಬಳಸಿ . ಪ್ರಕ್ರಿಯೆಯು 5 ನಿಮಿಷಗಳಿಗಿಂತ ಹೆಚ್ಚು ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುವುದಿಲ್ಲ.
ಗೀಕ್ ಮಾರ್ಗ (ಕನ್ಸೋಲ್ ಮತ್ತು ಪ್ರಾಯಶಃ ಕಂಪೈಲರ್ ಮೂಲಕ)
OpenSC ಆವೃತ್ತಿಯನ್ನು ಪರಿಶೀಲಿಸಿ
$ opensc-tool --version
ಆವೃತ್ತಿಯು 0.20 ಕ್ಕಿಂತ ಕಡಿಮೆಯಿದ್ದರೆ, ನಂತರ ನವೀಕರಿಸಿ ಅಥವಾ ನಿರ್ಮಿಸಿ ನಮ್ಮ GitHub ನಿಂದ (ಈ ಲೇಖನದ ಪ್ರಕಟಣೆಯ ಸಮಯದಲ್ಲಿ, ಬಿಡುಗಡೆ 0.20 ಅನ್ನು ಇನ್ನೂ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿಲ್ಲ) ಅಥವಾ ಮುಖ್ಯ OpenSC ಯೋಜನೆಯ ಮಾಸ್ಟರ್ ಶಾಖೆಯಿಂದ ನಂತರ
ಕೆಳಗಿನ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ ಕೀ ಜೋಡಿಯನ್ನು ರಚಿಸಿ:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)
--id: ಆಬ್ಜೆಕ್ಟ್ ಐಡೆಂಟಿಫೈಯರ್ (CKA_ID) ASCII ಕೋಷ್ಟಕದಿಂದ ಎರಡು-ಅಂಕಿಯ ಹೆಕ್ಸ್ ಅಕ್ಷರ ಸಂಖ್ಯೆಗಳಾಗಿ. ಮುದ್ರಿಸಬಹುದಾದ ಅಕ್ಷರಗಳಿಗೆ ASCII ಕೋಡ್ಗಳನ್ನು ಮಾತ್ರ ಬಳಸಿ, ಏಕೆಂದರೆ... ಐಡಿಯನ್ನು OpenSSL ಗೆ ಸ್ಟ್ರಿಂಗ್ ಆಗಿ ರವಾನಿಸಬೇಕಾಗುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ASCII ಕೋಡ್ "3132" ಸ್ಟ್ರಿಂಗ್ "12" ಗೆ ಅನುರೂಪವಾಗಿದೆ. ಅನುಕೂಲಕ್ಕಾಗಿ, ನೀವು ಬಳಸಬಹುದು .
$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132
ಮುಂದೆ ನಾವು ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸುತ್ತೇವೆ. ಎರಡು ಮಾರ್ಗಗಳನ್ನು ಕೆಳಗೆ ವಿವರಿಸಲಾಗುವುದು: ಮೊದಲನೆಯದು ಸಿಎ ಮೂಲಕ (ನಾವು ಪರೀಕ್ಷಾ ಸಿಎಗಳನ್ನು ಬಳಸುತ್ತೇವೆ), ಎರಡನೆಯದು ಸ್ವಯಂ-ಸಹಿ. ಇದನ್ನು ಮಾಡಲು, ಕೈಪಿಡಿಯನ್ನು ಬಳಸಿಕೊಂಡು ವಿಶೇಷ rtengine ಮಾಡ್ಯೂಲ್ ಮೂಲಕ Rutoken ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ನೀವು ಮೊದಲು OpenSSL ಆವೃತ್ತಿ 1.1 ಅಥವಾ ನಂತರವನ್ನು ಸ್ಥಾಪಿಸಬೇಕು ಮತ್ತು ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ .
ಉದಾಹರಣೆಗೆ: ಗಾಗಿ '--id 3132' OpenSSL ನಲ್ಲಿ ನೀವು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗಿದೆ "pkcs11:id=12".
ನೀವು ಪರೀಕ್ಷಾ ಸಿಎ ಸೇವೆಗಳನ್ನು ಬಳಸಬಹುದು, ಅವುಗಳಲ್ಲಿ ಹಲವು ಇವೆ, ಉದಾಹರಣೆಗೆ, , и , ಇದಕ್ಕಾಗಿ ನಾವು ಪ್ರಮಾಣಪತ್ರಕ್ಕಾಗಿ ವಿನಂತಿಯನ್ನು ರಚಿಸುತ್ತೇವೆ
ಸೋಮಾರಿತನಕ್ಕೆ ಒಳಗಾಗುವುದು ಮತ್ತು ಸ್ವಯಂ-ಸಹಿಯನ್ನು ರಚಿಸುವುದು ಮತ್ತೊಂದು ಆಯ್ಕೆಯಾಗಿದೆ
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr
ಸಾಧನಕ್ಕೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಲಾಗುತ್ತಿದೆ
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer
6) ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೋಂದಾಯಿಸಿ
ನಿಮ್ಮ ಪ್ರಮಾಣಪತ್ರವು Base64 ಫೈಲ್ನಂತೆ ಕಾಣುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ:
ನಿಮ್ಮ ಪ್ರಮಾಣಪತ್ರವು ಈ ರೀತಿ ಕಂಡುಬಂದರೆ:
ನಂತರ ನೀವು ಪ್ರಮಾಣಪತ್ರವನ್ನು DER ಫಾರ್ಮ್ಯಾಟ್ನಿಂದ PEM ಫಾರ್ಮ್ಯಾಟ್ಗೆ ಪರಿವರ್ತಿಸಬೇಕು (base64)
$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
ಈಗ ಎಲ್ಲವೂ ಕ್ರಮದಲ್ಲಿದೆ ಎಂದು ನಾವು ಮತ್ತೊಮ್ಮೆ ಪರಿಶೀಲಿಸುತ್ತೇವೆ.
ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರಗಳ ಪಟ್ಟಿಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸೇರಿಸಿ
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates
ಕೊನೆಯ ಸಾಲು ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರಗಳ ಪಟ್ಟಿಯನ್ನು ಆಕಸ್ಮಿಕವಾಗಿ ಅಥವಾ ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ ಇತರ ಬಳಕೆದಾರರಿಂದ ಬದಲಾಯಿಸದಂತೆ ರಕ್ಷಿಸುತ್ತದೆ. ಇದು ಯಾರಾದರೂ ತಮ್ಮ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಇಲ್ಲಿ ಸೇರಿಸುವುದರಿಂದ ಮತ್ತು ನಿಮ್ಮ ಪರವಾಗಿ ಲಾಗ್ ಇನ್ ಆಗುವುದನ್ನು ತಡೆಯುತ್ತದೆ.
7) ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸಿ
ನಮ್ಮ PAM ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಹೊಂದಿಸುವುದು ಸಂಪೂರ್ಣವಾಗಿ ಪ್ರಮಾಣಿತವಾಗಿದೆ ಮತ್ತು ಇತರ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಹೊಂದಿಸುವ ರೀತಿಯಲ್ಲಿಯೇ ಮಾಡಲಾಗುತ್ತದೆ. ಫೈಲ್ ಮಾಡಲು ರಚಿಸಿ /usr/share/pam-configs/rutoken-gost-pam ಮಾಡ್ಯೂಲ್ನ ಪೂರ್ಣ ಹೆಸರನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಅದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆಯೇ, ಮಾಡ್ಯೂಲ್ನ ಆದ್ಯತೆ ಮತ್ತು ದೃಢೀಕರಣ ನಿಯತಾಂಕಗಳು.
ಕಾರ್ಯಾಚರಣೆಯ ಯಶಸ್ಸಿಗೆ ದೃಢೀಕರಣ ನಿಯತಾಂಕಗಳು ಅವಶ್ಯಕತೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ:
- ಅಗತ್ಯವಿದೆ: ಅಂತಹ ಮಾಡ್ಯೂಲ್ಗಳು ಸಕಾರಾತ್ಮಕ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಹಿಂದಿರುಗಿಸಬೇಕು. ಮಾಡ್ಯೂಲ್ ಕರೆ ಫಲಿತಾಂಶವು ನಕಾರಾತ್ಮಕ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಹೊಂದಿದ್ದರೆ, ಇದು ದೃಢೀಕರಣ ದೋಷಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ. ವಿನಂತಿಯನ್ನು ಕೈಬಿಡಲಾಗುವುದು, ಆದರೆ ಉಳಿದ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಕರೆಯಲಾಗುವುದು.
- ಅಗತ್ಯ: ಅಗತ್ಯವಿರುವಂತೆಯೇ, ಆದರೆ ತಕ್ಷಣವೇ ದೃಢೀಕರಣವನ್ನು ವಿಫಲಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಇತರ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ನಿರ್ಲಕ್ಷಿಸುತ್ತದೆ.
- ಸಾಕಷ್ಟು: ಅಂತಹ ಮಾಡ್ಯೂಲ್ಗೆ ಮೊದಲು ಅಗತ್ಯವಿರುವ ಅಥವಾ ಸಾಕಷ್ಟು ಮಾಡ್ಯೂಲ್ಗಳು ಋಣಾತ್ಮಕ ಫಲಿತಾಂಶವನ್ನು ನೀಡದಿದ್ದರೆ, ಮಾಡ್ಯೂಲ್ ಸಕಾರಾತ್ಮಕ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ನೀಡುತ್ತದೆ. ಉಳಿದ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ನಿರ್ಲಕ್ಷಿಸಲಾಗುತ್ತದೆ.
- ಐಚ್ಛಿಕ: ಸ್ಟಾಕ್ನಲ್ಲಿ ಯಾವುದೇ ಅಗತ್ಯವಿರುವ ಮಾಡ್ಯೂಲ್ಗಳಿಲ್ಲದಿದ್ದರೆ ಮತ್ತು ಸಾಕಷ್ಟು ಮಾಡ್ಯೂಲ್ಗಳಲ್ಲಿ ಯಾವುದೂ ಧನಾತ್ಮಕ ಫಲಿತಾಂಶವನ್ನು ನೀಡದಿದ್ದರೆ, ಕನಿಷ್ಠ ಒಂದು ಐಚ್ಛಿಕ ಮಾಡ್ಯೂಲ್ಗಳು ಧನಾತ್ಮಕ ಫಲಿತಾಂಶವನ್ನು ಹಿಂತಿರುಗಿಸಬೇಕು.
ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯಗಳು /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so
ಫೈಲ್ ಅನ್ನು ಉಳಿಸಿ, ನಂತರ ಕಾರ್ಯಗತಗೊಳಿಸಿ
$ sudo pam-auth-update
ಗೋಚರಿಸುವ ವಿಂಡೋದಲ್ಲಿ, ಪಕ್ಕದಲ್ಲಿ ನಕ್ಷತ್ರ ಚಿಹ್ನೆಯನ್ನು ಹಾಕಿ ರುಟೊಕೆನ್ PAM GOST ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ OK
8) ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಪರಿಶೀಲಿಸಿ
ಎಲ್ಲವನ್ನೂ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ಆದರೆ ಅದೇ ಸಮಯದಲ್ಲಿ ಸಿಸ್ಟಮ್ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಕಳೆದುಕೊಳ್ಳುವುದಿಲ್ಲ, ಆಜ್ಞೆಯನ್ನು ನಮೂದಿಸಿ
$ sudo login
ನಿಮ್ಮ ಬಳಕೆದಾರ ಹೆಸರು ನಮೂದಿಸಿ. ಸಿಸ್ಟಮ್ಗೆ ಸಾಧನದ ಪಿನ್ ಕೋಡ್ ಅಗತ್ಯವಿದ್ದರೆ ಎಲ್ಲವನ್ನೂ ಸರಿಯಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ.
9) ಟೋಕನ್ ಅನ್ನು ಹೊರತೆಗೆದಾಗ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ libpam-pkcs11 ಉಪಯುಕ್ತತೆಯನ್ನು ಒಳಗೊಂಡಿದೆ pkcs11_eventmgr, PKCS#11 ಈವೆಂಟ್ಗಳು ಸಂಭವಿಸಿದಾಗ ವಿವಿಧ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡಲು ಇದು ನಿಮ್ಮನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
ಸೆಟ್ಟಿಂಗ್ಗಳಿಗಾಗಿ pkcs11_eventmgr ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ: /etc/pam_pkcs11/pkcs11_eventmgr.conf
ವಿಭಿನ್ನ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳಿಗಾಗಿ, ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ ಅಥವಾ ಟೋಕನ್ ಅನ್ನು ತೆಗೆದುಹಾಕಿದಾಗ ಖಾತೆಯನ್ನು ಲಾಕ್ ಮಾಡಲು ಕಾರಣವಾಗುವ ಆಜ್ಞೆಯು ಭಿನ್ನವಾಗಿರುತ್ತದೆ. ಸೆಂ. event card_remove.
ಉದಾಹರಣೆ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಕೆಳಗೆ ತೋರಿಸಲಾಗಿದೆ:
pkcs11_eventmgr
{
# Запуск в бэкграунде
daemon = true;
# Настройка сообщений отладки
debug = false;
# Время опроса в секундах
polling_time = 1;
# Установка тайм-аута на удаление карты
# По-умолчанию 0
expire_time = 0;
# Выбор pkcs11 библиотеки для работы с Рутокен
pkcs11_module = usr/lib/librtpkcs11ecp.so;
# Действия с картой
# Карта вставлена:
event card_insert {
# Оставляем значения по умолчанию (ничего не происходит)
on_error = ignore ;
action = "/bin/false";
}
# Карта извлечена
event card_remove {
on_error = ignore;
# Вызываем функцию блокировки экрана
# Для GNOME
action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
# Для XFCE
# action = "xflock4";
# Для Astra Linux (FLY)
# action = "fly-wmfunc FLYWM_LOCK";
}
# Карта долгое время извлечена
event expire_time {
# Оставляем значения по умолчанию (ничего не происходит)
on_error = ignore;
action = "/bin/false";
}
}ಅದರ ನಂತರ ಅಪ್ಲಿಕೇಶನ್ ಸೇರಿಸಿ pkcs11_eventmgr ಪ್ರಾರಂಭಿಸಲು. ಇದನ್ನು ಮಾಡಲು, .bash_profile ಫೈಲ್ ಅನ್ನು ಎಡಿಟ್ ಮಾಡಿ:
$ nano /home/<имя_пользователя>/.bash_profile
ಫೈಲ್ನ ಅಂತ್ಯಕ್ಕೆ pkcs11_eventmgr ಸಾಲನ್ನು ಸೇರಿಸಿ ಮತ್ತು ರೀಬೂಟ್ ಮಾಡಿ.
ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂ ಅನ್ನು ಹೊಂದಿಸಲು ವಿವರಿಸಿದ ಹಂತಗಳನ್ನು ಯಾವುದೇ ಆಧುನಿಕ ಲಿನಕ್ಸ್ ವಿತರಣೆಯಲ್ಲಿ ಸೂಚನೆಗಳಾಗಿ ಬಳಸಬಹುದು, ದೇಶೀಯವುಗಳನ್ನು ಒಳಗೊಂಡಂತೆ.
ತೀರ್ಮಾನಕ್ಕೆ
ರಷ್ಯಾದ ಸರ್ಕಾರಿ ಏಜೆನ್ಸಿಗಳಲ್ಲಿ Linux PC ಗಳು ಹೆಚ್ಚು ಜನಪ್ರಿಯವಾಗುತ್ತಿವೆ ಮತ್ತು ಈ OS ನಲ್ಲಿ ವಿಶ್ವಾಸಾರ್ಹ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸುವುದು ಯಾವಾಗಲೂ ಸುಲಭವಲ್ಲ. ಈ ಮಾರ್ಗದರ್ಶಿಯೊಂದಿಗೆ "ಪಾಸ್ವರ್ಡ್ ಸಮಸ್ಯೆಯನ್ನು" ಪರಿಹರಿಸಲು ನಿಮಗೆ ಸಹಾಯ ಮಾಡಲು ನಾವು ಸಂತೋಷಪಡುತ್ತೇವೆ ಮತ್ತು ನಿಮ್ಮ PC ಗೆ ಹೆಚ್ಚಿನ ಸಮಯವನ್ನು ವ್ಯಯಿಸದೆಯೇ ಪ್ರವೇಶವನ್ನು ವಿಶ್ವಾಸಾರ್ಹವಾಗಿ ರಕ್ಷಿಸುತ್ತೇವೆ.
ಮೂಲ: www.habr.com