ລະຫັດຜ່ານງ່າຍໆແມ່ນບໍ່ປອດໄພ, ແລະລະຫັດຜ່ານທີ່ຊັບຊ້ອນແມ່ນບໍ່ສາມາດຈື່ໄດ້. ດ້ວຍເຫດນັ້ນ, ພວກມັນຈຶ່ງມັກຈະຈົບລົງດ້ວຍບັນທຶກຕິດຢູ່ກ້ອງແປ້ນພິມ ຫຼື ຈໍພາບ. ເພື່ອຮັບປະກັນວ່າລະຫັດຜ່ານຍັງຄົງຢູ່ໃນໃຈຂອງຜູ້ໃຊ້ "ລືມ" ແລະຄວາມຫນ້າເຊື່ອຖືຂອງການປົກປ້ອງບໍ່ໄດ້ສູນເສຍ, ມີການກວດສອບສອງປັດໃຈ (2FA).

ເນື່ອງຈາກການປະສົມປະສານຂອງການເປັນເຈົ້າຂອງອຸປະກອນແລະການຮູ້ PIN ຂອງມັນ, PIN ຕົວຂອງມັນເອງສາມາດງ່າຍແລະຈື່ງ່າຍກວ່າ. ຂໍ້ເສຍຂອງຄວາມຍາວ PIN ຫຼືຄວາມສຸ່ມແມ່ນຊົດເຊີຍໂດຍຄວາມຕ້ອງການການຄອບຄອງທາງດ້ານຮ່າງກາຍແລະຂໍ້ຈໍາກັດກ່ຽວກັບຜົນບັງຄັບໃຊ້ PIN.

ນອກຈາກນັ້ນ, ມັນເກີດຂື້ນໃນອົງການຂອງລັດຖະບານທີ່ພວກເຂົາຕ້ອງການໃຫ້ທຸກສິ່ງທຸກຢ່າງເຮັດວຽກຕາມ GOST. ທາງເລືອກ 2FA ນີ້ສໍາລັບການເຂົ້າສູ່ລະບົບ Linux ຈະຖືກປຶກສາຫາລື. ຂ້ອຍຈະເລີ່ມຕົ້ນຈາກໄກ.

ໂມດູນ PAM

Pluggable Authentication Modules (PAM) ແມ່ນໂມດູນທີ່ມີ API ມາດຕະຖານ ແລະການປະຕິບັດກົນໄກການພິສູດຢືນຢັນຕ່າງໆໃນແອັບພລິເຄຊັນ.
ອຸປະຖຳ ແລະ ແອັບພລິເຄຊັ່ນທັງໝົດທີ່ສາມາດເຮັດວຽກກັບ PAM ເອົາພວກມັນຂຶ້ນ ແລະສາມາດໃຊ້ພວກມັນເພື່ອກວດສອບຜູ້ໃຊ້.
ໃນການປະຕິບັດ, ມັນເຮັດວຽກເຊັ່ນນີ້: ຄໍາສັ່ງເຂົ້າສູ່ລະບົບເອີ້ນວ່າ PAM, ເຊິ່ງດໍາເນີນການກວດສອບທີ່ຈໍາເປັນທັງຫມົດໂດຍໃຊ້ໂມດູນທີ່ລະບຸໄວ້ໃນໄຟລ໌ການຕັ້ງຄ່າແລະສົ່ງຜົນໄດ້ຮັບກັບຄືນໄປຫາຄໍາສັ່ງເຂົ້າສູ່ລະບົບ.

librtpam

ໂມດູນທີ່ພັດທະນາໂດຍບໍລິສັດ Aktiv ເພີ່ມການກວດສອບສອງປັດໃຈຂອງຜູ້ໃຊ້ໂດຍໃຊ້ບັດອັດສະລິຍະຫຼື USB tokens ໂດຍໃຊ້ກະແຈ asymmetric ຕາມມາດຕະຖານຫລ້າສຸດຂອງການເຂົ້າລະຫັດພາຍໃນປະເທດ.

ໃຫ້ເບິ່ງຫຼັກການຂອງການດໍາເນີນງານຂອງມັນ:

• token ເກັບຮັກສາໃບຢັ້ງຢືນຂອງຜູ້ໃຊ້ແລະກະແຈສ່ວນຕົວຂອງມັນ;
• ໃບຮັບຮອງຖືກບັນທຶກໄວ້ໃນໄດເຣັກທໍຣີຫຼັກຂອງຜູ້ໃຊ້ເປັນທີ່ເຊື່ອຖືໄດ້.

ຂະ​ບວນ​ການ​ກວດ​ສອບ​ໄດ້​ເກີດ​ຂຶ້ນ​ດັ່ງ​ຕໍ່​ໄປ​ນີ້​:

1. Rutoken ຄົ້ນຫາໃບຢັ້ງຢືນສ່ວນຕົວຂອງຜູ້ໃຊ້.
2. ຮ້ອງຂໍ PIN token.
3. ຂໍ້ມູນແບບສຸ່ມຖືກເຊັນໃສ່ລະຫັດສ່ວນຕົວໂດຍກົງໃນຊິບ Rutoken.
4. ລາຍເຊັນທີ່ໄດ້ຮັບແມ່ນໄດ້ຮັບການຢັ້ງຢືນໂດຍໃຊ້ລະຫັດສາທາລະນະຈາກໃບຢັ້ງຢືນຂອງຜູ້ໃຊ້.
5. ໂມດູນສົ່ງຜົນການຢັ້ງຢືນລາຍເຊັນໃຫ້ກັບແອັບພລິເຄຊັນການໂທ.

ທ່ານສາມາດກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ກະແຈ GOST R 34.10-2012 (ຄວາມຍາວ 256 ຫຼື 512 ບິດ) ຫຼື GOST R 34.10-2001 ທີ່ລ້າສະໄຫມ.

ທ່ານບໍ່ຈໍາເປັນຕ້ອງກັງວົນກ່ຽວກັບຄວາມປອດໄພຂອງກະແຈ - ພວກມັນຖືກຜະລິດໂດຍກົງໃນ Rutoken ແລະບໍ່ເຄີຍປ່ອຍໃຫ້ຄວາມຊົງຈໍາຂອງມັນໃນລະຫວ່າງການປະຕິບັດການເຂົ້າລະຫັດລັບ.

Rutoken EDS 2.0 ໄດ້ຮັບການຢັ້ງຢືນໂດຍ FSB ແລະ FSTEC ອີງຕາມ NDV 4, ດັ່ງນັ້ນຈຶ່ງສາມາດຖືກນໍາໃຊ້ໃນລະບົບຂໍ້ມູນຂ່າວສານທີ່ດໍາເນີນການຂໍ້ມູນລັບ.

ການນໍາໃຊ້ພາກປະຕິບັດ

ເກືອບທຸກ Linux ທີ່ທັນສະໄຫມຈະເຮັດ, ຕົວຢ່າງພວກເຮົາຈະໃຊ້ xUbuntu 18.10.

1) ຕິດຕັ້ງຊຸດທີ່ຈໍາເປັນ

sudo apt-get install libccid pcscd opensc
ຖ້າທ່ານຕ້ອງການເພີ່ມການລັອກເດັສທັອບດ້ວຍຕົວຮັກສາໜ້າຈໍ, ໃຫ້ຕິດຕັ້ງຊຸດດັ່ງກ່າວຕື່ມ libpam-pkcs11.

2) ເພີ່ມໂມດູນ PAM ທີ່ມີການສະຫນັບສະຫນູນ GOST

ກຳລັງໂຫຼດຫ້ອງສະໝຸດຈາກ https://download.rutoken.ru/Rutoken/PAM/
ສຳເນົາເນື້ອໃນຂອງໂຟນເດີ PAM librtpam.so.1.0.0 ໄປໃສ່ໂຟນເດີລະບົບ
/usr/lib/ ຫຼື /usr/lib/x86_64-linux-gnu/ຫຼື /usr/lib64

3) ຕິດຕັ້ງແພັກເກັດດ້ວຍ librtpkcs11ecp.so

ດາວໂຫຼດ ແລະຕິດຕັ້ງແພັກເກັດ DEB ຫຼື RPM ຈາກລິ້ງ: https://www.rutoken.ru/support/download/pkcs/

4) ກວດເບິ່ງວ່າ Rutoken EDS 2.0 ເຮັດວຽກຢູ່ໃນລະບົບ

ໃນ terminal ພວກເຮົາດໍາເນີນການ
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
ຖ້າເຈົ້າເຫັນເສັ້ນ Rutoken ECP <no label> - ມັນຫມາຍຄວາມວ່າທຸກສິ່ງທຸກຢ່າງແມ່ນ OK.

5) ອ່ານໃບຢັ້ງຢືນ

ການກວດສອບວ່າອຸປະກອນມີໃບຢັ້ງຢືນ
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
ຖ້າຫຼັງຈາກເສັ້ນ:
Using slot 0 with a present token (0x0)

• ຂໍ້ມູນຖືກສະແດງ ກ່ຽວກັບກະແຈແລະໃບຢັ້ງຢືນ, ທ່ານຈໍາເປັນຕ້ອງອ່ານໃບຢັ້ງຢືນແລະບັນທຶກມັນໃສ່ແຜ່ນ. ເພື່ອເຮັດສິ່ງນີ້, ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້, ບ່ອນທີ່ແທນທີ່ຈະເປັນ {id}, ທ່ານຈໍາເປັນຕ້ອງໄດ້ທົດແທນໃບຢັ້ງຢືນໃບຢັ້ງຢືນທີ່ທ່ານເຫັນຢູ່ໃນຜົນຜະລິດຂອງຄໍາສັ່ງທີ່ຜ່ານມາ:
  $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
  ຖ້າໄຟລ໌ cert.crt ໄດ້ຖືກສ້າງຂື້ນ, ດໍາເນີນການຂັ້ນຕອນ 6).
• ບໍ່​ມີ​ຫຍັງ, ຫຼັງຈາກນັ້ນອຸປະກອນແມ່ນຫວ່າງເປົ່າ. ຕິດຕໍ່ຜູ້ເບິ່ງແຍງລະບົບຂອງທ່ານ ຫຼືສ້າງລະຫັດ ແລະໃບຢັ້ງຢືນຕົວທ່ານເອງໂດຍປະຕິບັດຕາມຂັ້ນຕອນຕໍ່ໄປ.

5.1) ສ້າງໃບຢັ້ງຢືນການສອບເສັງ

ເອົາໃຈໃສ່! ວິທີການທີ່ອະທິບາຍໄວ້ສໍາລັບການສ້າງລະຫັດແລະໃບຢັ້ງຢືນແມ່ນເຫມາະສົມສໍາລັບການທົດສອບແລະບໍ່ໄດ້ມີຈຸດປະສົງສໍາລັບການນໍາໃຊ້ໃນຮູບແບບການຕໍ່ສູ້. ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຈໍາເປັນຕ້ອງໃຊ້ກະແຈແລະໃບຢັ້ງຢືນທີ່ອອກໃຫ້ໂດຍອົງການຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້ຂອງອົງການຂອງເຈົ້າຫຼືອົງການຢັ້ງຢືນທີ່ໄດ້ຮັບການຮັບຮອງ.
ໂມດູນ PAM ຖືກອອກແບບມາເພື່ອປົກປ້ອງຄອມພິວເຕີທ້ອງຖິ່ນແລະຖືກອອກແບບມາເພື່ອເຮັດວຽກຢູ່ໃນອົງການຈັດຕັ້ງຂະຫນາດນ້ອຍ. ເນື່ອງຈາກມີຜູ້ໃຊ້ຈໍານວນຫນ້ອຍ, Administrator ສາມາດກວດສອບການຖອນໃບຢັ້ງຢືນແລະບັນຊີ block ດ້ວຍຕົນເອງ, ເຊັ່ນດຽວກັນກັບໄລຍະເວລາທີ່ຖືກຕ້ອງຂອງໃບຢັ້ງຢືນ. ໂມດູນ PAM ຍັງບໍ່ທັນຮູ້ວິທີການກວດສອບໃບຢັ້ງຢືນໂດຍໃຊ້ CRLs ແລະສ້າງຕ່ອງໂສ້ຄວາມໄວ້ວາງໃຈ.

ວິທີທີ່ງ່າຍ (ຜ່ານ browser)

ເພື່ອໃຫ້ໄດ້ຮັບໃບຢັ້ງຢືນການທົດສອບ, ໃຊ້ ການບໍລິການເວັບໄຊຕ໌ "ສູນລົງທະບຽນ Rutoken". ຂະບວນການຈະໃຊ້ເວລາບໍ່ເກີນ 5 ນາທີ.

ວິທີການຂອງ geek (ຜ່ານ console ແລະອາດຈະເປັນ compiler)

ກວດເບິ່ງເວີຊັນ OpenSC
$ opensc-tool --version
ຖ້າຮຸ່ນຫນ້ອຍກວ່າ 0.20, ຫຼັງຈາກນັ້ນປັບປຸງຫຼືສ້າງ pkcs11-tool ສາຂາທີ່ມີການຮອງຮັບ GOST-2012 ຈາກ GitHub ຂອງພວກເຮົາ (ໃນເວລາທີ່ເຜີຍແຜ່ບົດຄວາມນີ້, ການປ່ອຍ 0.20 ຍັງບໍ່ທັນໄດ້ປ່ອຍອອກມາ) ຫຼືຈາກສາຂາຕົ້ນສະບັບຂອງໂຄງການ OpenSC ຕົ້ນຕໍບໍ່ຕໍ່ມາ. ຄໍາຫມັ້ນສັນຍາ 8cf1e6f

ສ້າງຄູ່ຄີທີ່ມີພາລາມິເຕີຕໍ່ໄປນີ້:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: ຕົວລະບຸວັດຖຸ (CKA_ID) ເປັນຕົວເລກ hex ສອງຕົວເລກຈາກຕາຕະລາງ ASCII. ໃຊ້ພຽງແຕ່ລະຫັດ ASCII ສໍາລັບຕົວອັກສອນທີ່ສາມາດພິມໄດ້, ເພາະວ່າ ... id ຈະຕ້ອງຖືກສົ່ງໄປຫາ OpenSSL ເປັນສະຕຣິງ. ຕົວຢ່າງ, ລະຫັດ ASCII “3132” ກົງກັບສາຍ “12”. ເພື່ອຄວາມສະດວກ, ທ່ານສາມາດນໍາໃຊ້ ການບໍລິການອອນໄລນ໌ສໍາລັບການປ່ຽນສະຕຣິງເປັນລະຫັດ ASCII.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

ຕໍ່ໄປພວກເຮົາຈະສ້າງໃບຢັ້ງຢືນ. ສອງວິທີຈະຖືກອະທິບາຍຂ້າງລຸ່ມນີ້: ທໍາອິດແມ່ນຜ່ານ CA (ພວກເຮົາຈະໃຊ້ CAs ທົດສອບ), ທີສອງແມ່ນເຊັນດ້ວຍຕົນເອງ. ເພື່ອເຮັດສິ່ງນີ້, ກ່ອນອື່ນ ໝົດ ທ່ານຕ້ອງຕິດຕັ້ງແລະຕັ້ງຄ່າ OpenSSL ລຸ້ນ 1.1 ຫຼືຫຼັງຈາກນັ້ນເພື່ອເຮັດວຽກກັບ Rutoken ຜ່ານໂມດູນ rtengine ພິເສດໂດຍໃຊ້ຄູ່ມື. ການຕິດຕັ້ງ ແລະກຳນົດຄ່າ OpenSSL.
ຕົວຢ່າງ: ສໍາລັບ '--id 3132'ໃນ OpenSSL ທ່ານຈໍາເປັນຕ້ອງລະບຸ "pkcs11:id=12"

ທ່ານ​ສາ​ມາດ​ນໍາ​ໃຊ້​ການ​ບໍ​ລິ​ການ​ຂອງ​ການ​ທົດ​ສອບ CA​, ຊຶ່ງ​ໃນ​ນັ້ນ​ມີ​ຈໍາ​ນວນ​ຫຼາຍ​, ສໍາ​ລັບ​ການ​ຍົກ​ຕົວ​ຢ່າງ​, ຈົ່ງເບິ່ງ,, ຈົ່ງເບິ່ງ, и ຈົ່ງເບິ່ງ,, ສໍາລັບນີ້ພວກເຮົາຈະສ້າງການຮ້ອງຂໍສໍາລັບໃບຢັ້ງຢືນ

ທາງ​ເລືອກ​ອື່ນ​ແມ່ນ​ໃຫ້​ໃນ​ຄວາມ​ຂີ້​ຄ້ານ​ແລະ​ສ້າງ​ການ​ລົງ​ນາມ​ໃນ​ຕົນ​ເອງ
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

ກຳລັງອັບໂຫລດໃບຮັບຮອງໃສ່ອຸປະກອນ
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) ລົງທະບຽນໃບຢັ້ງຢືນໃນລະບົບ

ໃຫ້ແນ່ໃຈວ່າໃບຢັ້ງຢືນຂອງທ່ານຄ້າຍຄືໄຟລ໌ base64:

ຖ້າໃບຮັບຮອງຂອງເຈົ້າມີລັກສະນະນີ້:

ຫຼັງ​ຈາກ​ນັ້ນ​ທ່ານ​ຈໍາ​ເປັນ​ຕ້ອງ​ໄດ້​ປ່ຽນ​ໃບ​ຢັ້ງ​ຢືນ​ຈາກ​ຮູບ​ແບບ DER ກັບ​ຮູບ​ແບບ PEM (base64​)

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
ພວກເຮົາກວດເບິ່ງອີກເທື່ອຫນຶ່ງວ່າທຸກສິ່ງທຸກຢ່າງແມ່ນຢູ່ໃນຄໍາສັ່ງໃນປັດຈຸບັນ.

ເພີ່ມໃບຮັບຮອງໃສ່ບັນຊີລາຍຊື່ຂອງໃບຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates
ເສັ້ນສຸດທ້າຍປົກປ້ອງບັນຊີລາຍຊື່ຂອງໃບຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້ຈາກການຖືກປ່ຽນແປງໂດຍບັງເອີນຫຼືໂດຍເຈດຕະນາໂດຍຜູ້ໃຊ້ອື່ນໆ. ອັນນີ້ປ້ອງກັນບໍ່ໃຫ້ບາງຄົນເພີ່ມໃບຢັ້ງຢືນຂອງເຂົາເຈົ້າຢູ່ທີ່ນີ້ ແລະສາມາດເຂົ້າສູ່ລະບົບໃນນາມຂອງເຈົ້າໄດ້.

7) ຕັ້ງຄ່າການພິສູດຢືນຢັນ

ການຕັ້ງຄ່າໂມດູນ PAM ຂອງພວກເຮົາແມ່ນມາດຕະຖານຢ່າງສົມບູນແລະຖືກເຮັດໃນແບບດຽວກັນກັບການຕັ້ງໂມດູນອື່ນໆ. ສ້າງເພື່ອຍື່ນ /usr/share/pam-configs/rutoken-gost-pam ປະກອບມີຊື່ເຕັມຂອງໂມດູນ, ບໍ່ວ່າຈະຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນ, ບູລິມະສິດຂອງໂມດູນ, ແລະຕົວກໍານົດການຢືນຢັນ.
ຕົວກໍານົດການຮັບຮອງມີຄວາມຕ້ອງການສໍາລັບຄວາມສໍາເລັດຂອງການດໍາເນີນງານ:

• ຕ້ອງການ: ໂມດູນດັ່ງກ່າວຕ້ອງສົ່ງຜົນຕອບແທນໃນທາງບວກ. ຖ້າຜົນຂອງການໂທໂມດູນມີການຕອບໂຕ້ທາງລົບ, ນີ້ຈະເຮັດໃຫ້ເກີດຄວາມຜິດພາດໃນການກວດສອບ. ການຮ້ອງຂໍຈະຖືກຫຼຸດລົງ, ແຕ່ໂມດູນທີ່ຍັງເຫຼືອຈະຖືກເອີ້ນ.
• requisite: ຄ້າຍຄືກັນກັບທີ່ຕ້ອງການ, ແຕ່ທັນທີທັນໃດການພິສູດຢືນຢັນລົ້ມເຫລວແລະບໍ່ສົນໃຈໂມດູນອື່ນໆ.
• ພຽງພໍ: ຖ້າບໍ່ມີໂມດູນທີ່ຕ້ອງການຫຼືພຽງພໍກ່ອນທີ່ໂມດູນດັ່ງກ່າວສົ່ງຜົນໄດ້ຮັບທາງລົບ, ຫຼັງຈາກນັ້ນໂມດູນຈະສົ່ງຄືນການຕອບສະຫນອງໃນທາງບວກ. ໂມດູນທີ່ຍັງເຫຼືອຈະຖືກລະເລີຍ.
• ທາງເລືອກ: ຖ້າບໍ່ມີໂມດູນທີ່ກໍານົດໄວ້ໃນ stack ແລະບໍ່ມີໂມດູນທີ່ພຽງພໍໃຫ້ຜົນໄດ້ຮັບໃນທາງບວກ, ຫຼັງຈາກນັ້ນຢ່າງຫນ້ອຍຫນຶ່ງຂອງໂມດູນທາງເລືອກຈະຕ້ອງສົ່ງຜົນໄດ້ຮັບໃນທາງບວກ.

ເນື້ອໃນໄຟລ໌ເຕັມ /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

ບັນທຶກໄຟລ໌, ຫຼັງຈາກນັ້ນດໍາເນີນການ
$ sudo pam-auth-update
ຢູ່ໃນປ່ອງຢ້ຽມທີ່ປາກົດ, ໃຫ້ໃສ່ດາວຂ້າງມັນ Rutoken PAM GOST ແລະກົດ OK

8) ກວດເບິ່ງການຕັ້ງຄ່າ

ເພື່ອເຂົ້າໃຈວ່າທຸກສິ່ງທຸກຢ່າງຖືກຕັ້ງຄ່າ, ແຕ່ໃນເວລາດຽວກັນບໍ່ສູນເສຍຄວາມສາມາດໃນການເຂົ້າສູ່ລະບົບ, ໃສ່ຄໍາສັ່ງ.
$ sudo login
ໃສ່ຊື່ຜູ້ໃຊ້ຂອງທ່ານ. ທຸກຢ່າງຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງຖ້າລະບົບຕ້ອງການລະຫັດ PIN ຂອງອຸປະກອນ.

9) ຕັ້ງຄ່າຄອມພິວເຕີທີ່ຈະຖືກປິດກັ້ນເມື່ອ token ຖືກສະກັດອອກ

ລວມຢູ່ໃນຊຸດ libpam-pkcs11 ລວມຜົນປະໂຫຍດ pkcs11_eventmgr, ເຊິ່ງອະນຸຍາດໃຫ້ທ່ານປະຕິບັດການດໍາເນີນການຕ່າງໆໃນເວລາທີ່ເຫດການ PKCS#11 ເກີດຂຶ້ນ.
ສໍາລັບການຕັ້ງຄ່າ pkcs11_eventmgr ເຮັດໜ້າທີ່ເປັນໄຟລ໌ການຕັ້ງຄ່າ: /etc/pam_pkcs11/pkcs11_eventmgr.conf
ສໍາລັບການແຈກຢາຍ Linux ທີ່ແຕກຕ່າງກັນ, ຄໍາສັ່ງທີ່ເຮັດໃຫ້ບັນຊີຖືກລັອກເມື່ອບັດອັດສະລິຍະຫຼື token ຖືກລຶບອອກຈະແຕກຕ່າງກັນ. ຊັງ​ຕີ​ແມັດ. event card_remove.
ຕົວຢ່າງໄຟລ໌ການຕັ້ງຄ່າແມ່ນສະແດງໃຫ້ເຫັນຂ້າງລຸ່ມນີ້:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

ຫຼັງຈາກນັ້ນ, ເພີ່ມຄໍາຮ້ອງສະຫມັກ pkcs11_eventmgr ເພື່ອເລີ່ມຕົ້ນ. ເພື່ອເຮັດສິ່ງນີ້, ແກ້ໄຂໄຟລ໌ .bash_profile:
$ nano /home/<имя_пользователя>/.bash_profile
ເພີ່ມແຖວ pkcs11_eventmgr ໃສ່ທ້າຍຂອງໄຟລ໌ ແລະປິດເປີດໃໝ່.

ຂັ້ນຕອນທີ່ອະທິບາຍໄວ້ສໍາລັບການຕິດຕັ້ງລະບົບປະຕິບັດການສາມາດຖືກນໍາໃຊ້ເປັນຄໍາແນະນໍາໃນການແຈກຢາຍ Linux ທີ່ທັນສະໄຫມ, ລວມທັງພາຍໃນປະເທດ.

ສະຫລຸບ

Linux PCs ກໍາລັງເປັນທີ່ນິຍົມກັນຫຼາຍຂຶ້ນໃນອົງການຂອງລັດຖະບານລັດເຊຍ, ແລະການຕັ້ງຄ່າການກວດສອບສອງປັດໄຈທີ່ເຊື່ອຖືໄດ້ໃນ OS ນີ້ບໍ່ແມ່ນເລື່ອງງ່າຍສະເໝີໄປ. ພວກ​ເຮົາ​ຍິນ​ດີ​ທີ່​ຈະ​ຊ່ວຍ​ໃຫ້​ທ່ານ​ແກ້​ໄຂ "ບັນ​ຫາ​ລະ​ຫັດ​ຜ່ານ​" ກັບ​ຄູ່​ມື​ນີ້​ແລະ​ຄວາມ​ເຊື່ອ​ຖື​ໄດ້​ປົກ​ປັກ​ຮັກ​ສາ​ການ​ເຂົ້າ​ເຖິງ PC ຂອງ​ທ່ານ​ໂດຍ​ບໍ່​ມີ​ການ​ໃຊ້​ເວ​ລາ​ຫຼາຍ​ໃນ​ມັນ​.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com