단순한 비밀번호는 안전하지 않으며, 복잡한 비밀번호는 기억하기 어렵습니다. 그렇기 때문에 키보드나 모니터 아래에 스티커 메모를 붙이는 경우가 많습니다. "잊어버리는" 사용자의 마음에 비밀번호가 남아 있고 보호 신뢰성이 상실되지 않도록 하기 위해 2단계 인증(XNUMXFA)이 있습니다.

장치를 소유하고 PIN을 알고 있으면 PIN 자체가 더 간단하고 기억하기 쉬울 수 있습니다. PIN 길이 또는 무작위성의 단점은 물리적 소유 요구 사항 및 PIN 무차별 대입에 대한 제한으로 상쇄됩니다.

또한 정부 기관에서는 모든 것이 GOST에 따라 작동하기를 원합니다. Linux에 로그인하기 위한 2FA 옵션에 대해 설명합니다. 멀리서부터 시작하겠습니다.

PAM 모듈

PAM(플러그형 인증 모듈)은 표준 API와 애플리케이션의 다양한 인증 메커니즘 구현을 갖춘 모듈입니다.
PAM과 함께 작동할 수 있는 모든 유틸리티와 애플리케이션은 이를 선택하여 사용자 인증에 사용할 수 있습니다.
실제로는 다음과 같이 작동합니다. 로그인 명령은 구성 파일에 지정된 모듈을 사용하여 필요한 모든 검사를 수행하고 결과를 다시 로그인 명령으로 반환하는 PAM을 호출합니다.

librtpam

Aktiv사가 개발한 모듈에는 국내 암호화의 최신 표준에 따라 비대칭 키를 사용하는 스마트 카드나 USB 토큰을 사용하는 사용자에 대한 XNUMX단계 인증이 추가됩니다.

작동 원리를 살펴 보겠습니다.

토큰은 사용자의 인증서와 개인 키를 저장합니다.
인증서는 사용자의 홈 디렉터리에 신뢰할 수 있는 것으로 저장됩니다.

인증 프로세스는 다음과 같이 진행됩니다.

Rutoken은 사용자의 개인 인증서를 검색합니다.
토큰 PIN이 요청됩니다.
무작위 데이터는 Rutoken 칩의 개인 키에 직접 서명됩니다.
결과 서명은 사용자 인증서의 공개 키를 사용하여 확인됩니다.
모듈은 서명 확인 결과를 호출 애플리케이션에 반환합니다.

GOST R 34.10-2012 키(길이 256 또는 512비트) 또는 오래된 GOST R 34.10-2001을 사용하여 인증할 수 있습니다.

키 보안에 대해 걱정할 필요가 없습니다. 키는 Rutoken에서 직접 생성되며 암호화 작업 중에 메모리를 떠나지 않습니다.

Rutoken EDS 2.0은 NDV 4에 따라 FSB 및 FSTEC의 인증을 받았으므로 기밀 정보를 처리하는 정보 시스템에 사용할 수 있습니다.

실용

거의 모든 최신 Linux가 가능합니다. 예를 들어 xUbuntu 18.10을 사용합니다.

1) 필요한 패키지를 설치합니다.

sudo apt-get install libccid pcscd opensc
화면 보호기로 바탕 화면 잠금을 추가하려면 패키지를 추가로 설치하십시오 libpam-pkcs11.

2) GOST를 지원하는 PAM 모듈 추가

다음에서 라이브러리 로드 https://download.rutoken.ru/Rutoken/PAM/
PAM 폴더 librtpam.so.1.0.0의 내용을 시스템 폴더에 복사합니다.
/usr/lib/ 또는 /usr/lib/x86_64-linux-gnu/또는 /usr/lib64

3) librtpkcs11ecp.so로 패키지를 설치합니다.

다음 링크에서 DEB 또는 RPM 패키지를 다운로드하여 설치하세요. https://www.rutoken.ru/support/download/pkcs/

4) Rutoken EDS 2.0이 시스템에서 작동하는지 확인하십시오.

터미널에서 우리는 실행합니다
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
줄을 보면 Rutoken ECP <no label> - 다 괜찮다는 뜻이에요.

5) 인증서 읽기

장치에 인증서가 있는지 확인
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
해당 줄 뒤에 있는 경우:
Using slot 0 with a present token (0x0)

정보가 표시됩니다 키와 인증서에 대해서는 인증서를 읽고 디스크에 저장해야 합니다. 이렇게 하려면 다음 명령을 실행합니다. 여기서 {id} 대신 이전 명령의 출력에서 본 인증서 ID를 대체해야 합니다.
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
cert.crt 파일이 생성되었다면 6)단계로 진행하세요.
아무것도 없다이면 장치가 비어 있습니다. 관리자에게 문의하거나 다음 단계에 따라 키와 인증서를 직접 만드세요.

5.1) 테스트 인증서 생성

주목! 설명된 키 및 인증서 생성 방법은 테스트에 적합하며 전투 모드에서 사용하기 위한 것이 아닙니다. 이렇게 하려면 조직의 신뢰할 수 있는 인증 기관이나 공인된 인증 기관에서 발급한 키와 인증서를 사용해야 합니다.
PAM 모듈은 로컬 컴퓨터를 보호하도록 설계되었으며 소규모 조직에서 작동하도록 설계되었습니다. 사용자 수가 적기 때문에 관리자는 인증서 해지 여부를 모니터링하고 계정을 수동으로 차단할 수 있으며 인증서 유효 기간도 확인할 수 있습니다. PAM 모듈은 CRL을 사용하여 인증서를 확인하고 신뢰 체인을 구축하는 방법을 아직 모릅니다.

쉬운 방법(브라우저를 통해)

테스트 인증서를 얻으려면 다음을 사용하십시오. 웹 서비스 "Rutoken 등록 센터". 이 과정은 5분 이상 걸리지 않습니다.

괴짜의 방식(콘솔 및 컴파일러를 통해)

OpenSC 버전 확인
$ opensc-tool --version
버전이 0.20 미만인 경우 업데이트 또는 빌드 GOST-11를 지원하는 pkcs2012-tool 분기 GitHub(이 기사를 게시할 당시 릴리스 0.20은 아직 릴리스되지 않음) 또는 나중에 주요 OpenSC 프로젝트의 마스터 브랜치에서 8cf1e6f 커밋

다음 매개변수를 사용하여 키 쌍을 생성합니다.
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: ASCII 테이블의 두 자리 3132진수 문자 숫자로 된 개체 식별자(CKA_ID)입니다. 인쇄 가능한 문자에는 ASCII 코드만 사용하십시오. 왜냐하면... id는 OpenSSL에 문자열로 전달되어야 합니다. 예를 들어, ASCII 코드 "12"는 문자열 "XNUMX"에 해당합니다. 편의를 위해 다음을 사용할 수 있습니다. 문자열을 ASCII 코드로 변환하는 온라인 서비스.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

다음으로 인증서를 생성하겠습니다. 아래에서는 두 가지 방법을 설명합니다. 첫 번째는 CA를 통하는 것이고(테스트 CA를 사용함) 두 번째는 자체 서명하는 것입니다. 이렇게 하려면 먼저 설명서를 사용하여 특수 rtengine 모듈을 통해 Rutoken과 작동하도록 OpenSSL 버전 1.1 이상을 설치하고 구성해야 합니다. OpenSSL 설치 및 구성.
예: '--id 3132' OpenSSL에서는 "를 지정해야 합니다.pkcs11:id=12".

예를 들어 다음과 같은 많은 테스트 CA 서비스를 사용할 수 있습니다. 여기에, 여기에 и 여기에, 이를 위해 인증서 요청을 생성하겠습니다.

또 다른 옵션은 게으름에 굴복하여 자체 서명된
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

장치에 인증서 업로드
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) 시스템에 인증서를 등록합니다.

인증서가 base64 파일처럼 보이는지 확인하세요.

인증서가 다음과 같은 경우:

그런 다음 인증서를 DER 형식에서 PEM 형식(base64)으로 변환해야 합니다.

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
이제 모든 것이 정상인지 다시 확인합니다.

신뢰할 수 있는 인증서 목록에 인증서 추가
$ mkdir ~/.eid $ chmod 0755 ~/.eid $ cat cert.pem >> ~/.eid/authorized_certificates $ chmod 0644 ~/.eid/authorized_certificates
마지막 줄은 신뢰할 수 있는 인증서 목록이 다른 사용자에 의해 실수로 또는 의도적으로 변경되지 않도록 보호합니다. 이렇게 하면 다른 사람이 여기에 인증서를 추가하고 귀하를 대신하여 로그인할 수 없습니다.

7) 인증 설정

PAM 모듈 설정은 완전히 표준이며 다른 모듈 설정과 똑같은 방식으로 수행됩니다. 파일에 생성 /usr/share/pam-configs/rutoken-gost-pam 모듈의 전체 이름, 기본적으로 활성화되어 있는지 여부, 모듈의 우선 순위 및 인증 매개 변수가 포함되어 있습니다.
인증 매개변수에는 작업 성공을 위한 요구 사항이 포함되어 있습니다.

필수: 이러한 모듈은 긍정적인 응답을 반환해야 합니다. 모듈 호출 결과에 부정적인 응답이 포함되어 있으면 인증 오류가 발생합니다. 요청은 삭제되지만 나머지 모듈은 호출됩니다.
requisite: 필수와 유사하지만 즉시 인증에 실패하고 다른 모듈을 무시합니다.
충분함: 해당 모듈이 부정적인 결과를 반환하기 전에 필수 또는 충분한 모듈이 없으면 모듈은 긍정적인 응답을 반환합니다. 나머지 모듈은 무시됩니다.
선택 사항: 스택에 필수 모듈이 없고 충분한 모듈 중 어느 것도 긍정적인 결과를 반환하지 않는 경우, 선택적 모듈 중 하나 이상이 긍정적인 결과를 반환해야 합니다.

전체 파일 내용 /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

파일을 저장한 후 실행
$ sudo pam-auth-update
나타나는 창에서 옆에 별표를 표시하십시오. 루토켄 PAM GOST 밀어 넣다 OK

8) 설정을 확인하세요

모든 것이 구성되었음을 이해하지만 동시에 시스템에 로그인하는 기능을 잃지 않으려면 다음 명령을 입력하십시오.
$ sudo login
사용자 이름을 입력하세요. 시스템에 장치 PIN 코드가 필요한 경우 모든 것이 올바르게 구성된 것입니다.

9) 토큰 추출 시 차단되도록 컴퓨터 구성

패키지에 포함됨 libpam-pkcs11 유틸리티 포함 pkcs11_eventmgr, 이를 통해 PKCS#11 이벤트가 발생할 때 다양한 작업을 수행할 수 있습니다.
설정용 pkcs11_eventmgr 구성 파일 역할을 합니다. /etc/pam_pkcs11/pkcs11_eventmgr.conf
Linux 배포판에 따라 스마트 카드나 토큰이 제거될 때 계정을 잠그는 명령이 다릅니다. 센티미터. event card_remove.
구성 파일의 예는 다음과 같습니다.

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

그 후 응용 프로그램을 추가하십시오 pkcs11_eventmgr 시작합니다. 이렇게 하려면 .bash_profile 파일을 편집하세요.
$ nano /home/<имя_пользователя>/.bash_profile
파일 끝에 pkcs11_eventmgr 줄을 추가하고 재부팅합니다.

운영 체제 설정을 위해 설명된 단계는 국내 배포판을 포함한 모든 최신 Linux 배포판의 지침으로 사용될 수 있습니다.

결론

Linux PC는 러시아 정부 기관에서 점점 인기를 얻고 있으며 이 OS에서 안정적인 XNUMX단계 인증을 설정하는 것이 항상 쉬운 것은 아닙니다. 이 가이드를 통해 "비밀번호 문제"를 해결하고 PC에 많은 시간을 들이지 않고도 PC에 대한 액세스를 안정적으로 보호할 수 있도록 기꺼이 도와드리겠습니다.

출처 : habr.com

Rutoken에서 GOST-2012 키를 사용하여 Linux에서 로컬 인증을 위해 PAM 모듈을 사용하는 방법