🥇Двофакторна автентикација на страницата со помош на USB токен. Сега и за Linux

В една од нашите претходни написи зборувавме за важноста на двофакторна автентикација на корпоративните портали на компаниите. Последен пат демонстриравме како да поставите сигурна автентикација во веб-серверот IIS.

Во коментарите, од нас беше побарано да напишеме инструкции за најчестите веб-сервери за Linux - nginx и Apache.

Вие прашавте - напишавме.

Што ви е потребно за да започнете?

Секоја модерна дистрибуција на Линукс. Направив тест поставување на MX Linux 18.2_x64. Се разбира, ова не е дистрибуција на серверот, но веројатно нема да има никакви разлики за Debian. За други дистрибуции, патеките до библиотеките за конфигурации може малку да се разликуваат.
Токен. Продолжуваме да го користиме моделот Рутокен ЕДС ПКИ, што е идеално во однос на брзинските карактеристики за корпоративна употреба.
За да работите со токен во Linux, треба да ги инсталирате следните пакети:
libccid libpcsclite1 pcscd pcsc-tools opensc

Издавање сертификати

Во претходните написи, се потпиравме на фактот дека сертификатите за серверот и клиентот ќе се издаваат со помош на Microsoft CA. Но, бидејќи поставуваме сè во Linux, ќе ви кажеме и за алтернативен начин за издавање на овие сертификати - без да го напуштите Linux.
Ќе користиме XCA како CA (https://hohnstaedt.de/xca/), кој е достапен на која било модерна дистрибуција на Linux. Сите дејства што ќе ги извршиме во XCA може да се направат во режим на командна линија користејќи ја алатката OpenSSL и pkcs11, но за поголема едноставност и јасност, нема да ги претставиме во оваа статија.

Getting Started

Инсталирај:
```
$ apt-get install xca
```
И трчаме:
```
$ xca
```
Ја креираме нашата база на податоци за CA - /root/CA.xdb
Препорачуваме да ја зачувате базата на податоци на авторитетот за сертификати во папка каде пристап има само администраторот. Ова е важно за да се заштитат приватните клучеви на коренските сертификати, кои се користат за потпишување на сите други сертификати.

Креирајте клучеви и root CA сертификат

Инфраструктурата со јавен клуч (PKI) се заснова на хиерархиски систем. Главната работа во овој систем е органот за сертификација на root или root CA. Прво мора да се креира неговиот сертификат.

Ние создаваме приватен клуч RSA-2048 за CA. За да го направите ова, на јазичето Приватни клучеви туркање Нов клуч и изберете го соодветниот тип.
Поставете име за новиот пар клучеви. Јас го нареков CA Key.
Самиот сертификат CA го издаваме, користејќи го креираниот пар клучеви. За да го направите ова, одете на јазичето сертификати и кликнете Нов сертификат.
Бидете сигурни да изберете SHA-256, бидејќи користењето SHA-1 повеќе не може да се смета за безбедно.
Бидете сигурни да изберете како шаблон [стандардно] CA. Не заборавајте да кликнете на Примени ги сите, во спротивно шаблонот не се применува.
Во јазичето предмет изберете го нашиот пар клучеви. Таму можете да ги пополните сите главни полиња на сертификатот.

Креирајте клучеви и сертификат за сервер https

На сличен начин, создаваме приватен клуч RSA-2048 за серверот, јас го нареков Серверски клуч.
Кога креираме сертификат, избираме дека сертификатот на серверот мора да биде потпишан со сертификат CA.
Не заборавајте да изберете SHA-256.
Избираме како шаблон [стандардно] HTTPS_сервер. Кликнете на Примени ги сите.
Потоа на јазичето предмет изберете го нашиот клуч и пополнете ги бараните полиња.

Креирајте клучеви и сертификат за корисникот

Приватниот клуч на корисникот ќе биде зачуван на нашиот токен. За да работите со него, треба да ја инсталирате библиотеката PKCS#11 од нашата веб-локација. За популарни дистрибуции, ние дистрибуираме готови пакети, кои се наоѓаат овде - https://www.rutoken.ru/support/download/pkcs/. Имаме и склопови за arm64, armv7el, armv7hf, e2k, mipso32el, кои може да се преземат од нашиот SDK - https://www.rutoken.ru/developers/sdk/. Покрај склоповите за Linux, има и склопови за macOS, freebsd и android.
Додавање нов провајдер PKCS#11 во XCA. За да го направите ова, одете во менито Опции до јазичето Провајдер PKCS#11.
Притискаме Додај и изберете ја патеката до библиотеката PKCS#11. Во мојот случај тоа е usrliblibrtpkcs11ecp.so.
Ќе ни треба форматиран Rutoken EDS PKI токен. Преземете ја алатката rtAdmin - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615

Ние извршуваме

$ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>

Како тип на клуч го избираме клучот RSA-2048 за Rutoken EDS PKI. Го нареков овој клуч Client Key.
Внесете го PIN-кодот. И чекаме да заврши генерирањето на хардверот на парот клучеви
Ние создаваме сертификат за корисникот по аналогија со сертификатот на серверот. Овој пат избираме шаблон [стандардно] HTTPS_client и не заборавајте да кликнете Примени ги сите.
Во јазичето предмет внесете информации за корисникот. Ние одговараме потврдно на барањето за зачувување на сертификатот за токенот.

Како резултат на тоа, на јазичето Сертификати во XCA треба да добиете вакво нешто.

Овој минимален сет на клучеви и сертификати е доволен за да започнете со поставување на самите сервери.

За да конфигурираме, треба да ги извеземе сертификатот CA, сертификатот за серверот и приватниот клуч на серверот.

За да го направите ова, изберете го саканиот запис на соодветното јазиче во XCA и кликнете Извоз.

Nginx

Нема да пишувам како да инсталирам и стартувам сервер nginx - има доволно написи на оваа тема на Интернет, а да не зборуваме за официјалната документација. Ајде директно да започнеме со поставување на HTTPS и двофакторна автентикација со помош на токен.

Додадете ги следните линии во делот за сервер во nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

Детален опис на сите параметри поврзани со конфигурирање на ssl во nginx може да се најде овде - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

Само накратко ќе ги опишам оние што си ги прашав:

ssl_verify_client - одредува дека синџирот на доверба за сертификатот треба да се потврди.
ssl_verify_depth - Ја дефинира длабочината на пребарување за доверливиот root сертификат во синџирот. Бидејќи нашиот сертификат за клиент е веднаш потпишан на коренскиот сертификат, длабочината е поставена на 1. Ако корисничкиот сертификат е потпишан на средно CA, тогаш 2 мора да биде наведен во овој параметар итн.
ssl_client_certificate - ја одредува патеката до доверливиот root сертификат, кој се користи при проверка на довербата во сертификатот на корисникот.
ssl_certificate/ssl_certificate_key - наведете ја патеката до сертификатот/приватниот клуч на серверот.

Не заборавајте да извршите nginx -t за да проверите дали нема печатни грешки во конфигурацијата и дали сите датотеки се на вистинското место итн.

И тоа е се! Како што можете да видите, поставувањето е многу едноставно.

Проверете дали работи во Firefox

Бидејќи правиме сè целосно во Linux, ќе претпоставиме дека нашите корисници работат и во Linux (ако имаат Windows, тогаш видете ги упатствата за поставување прелистувачи во претходната статија.

Ајде да го стартуваме Firefox.
Ајде прво да се обидеме да се најавиме без токен. Ја добиваме оваа слика:
Продолжуваме за: преференци # приватност, и одиме на Безбедносни уреди…
Притискаме Товарда додадете нов драјвер за уред PKCS#11 и да ја наведете патеката до нашиот librtpkcs11ecp.so.
За да проверите дали сертификатот е видлив, можете да отидете на Управувач со сертификати. Ќе ви биде побарано да го внесете вашиот PIN. По правилно внесување, можете да проверите што има на јазичето Вашите сертификати се појави нашиот сертификат од токенот.
Сега да одиме со токенот. Firefox ве поттикнува да изберете сертификат што ќе биде избран за серверот. Изберете го нашиот сертификат.
ПРОИЗВОД!

Поставувањето се врши еднаш, и како што можете да видите во прозорецот за барање сертификат, можеме да го зачуваме нашиот избор. По ова, секогаш кога ќе се најавиме на порталот, ќе треба само да вметнеме токен и да го внесеме корисничкиот ПИН-код што бил наведен за време на форматирањето. По таквата автентикација, серверот веќе знае кој корисник се најавил и повеќе не можете да креирате дополнителни прозорци за верификација, туку веднаш пуштајте го корисникот во неговата лична сметка.

Apache-то

Исто како и со nginx, никој не треба да има проблеми со инсталирањето на apache. Ако не знаете како да го инсталирате овој веб-сервер, само користете ја официјалната документација.

И започнуваме да го поставуваме нашиот HTTPS и двофакторна автентикација:

Прво треба да го активирате mod_ssl:
```
$ a2enmod ssl
```
И потоа овозможете ги стандардните поставки за HTTPS на страницата:
```
$ a2ensite default-ssl
```
Сега ја уредуваме конфигурациската датотека: /etc/apache2/sites-enabled/default-ssl.conf:
```
    SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10
```
Како што можете да видите, имињата на параметрите практично се совпаѓаат со имињата на параметрите во nginx, па затоа нема да ги објаснувам. Повторно, секој заинтересиран за детали е добредојден во документацијата.
Сега го рестартираме нашиот сервер:
```
$ service apache2 reload
$ service apache2 restart
```

Како што можете да видите, поставувањето двофакторна автентикација на кој било веб-сервер, без разлика дали е на Windows или Linux, трае најмногу еден час. И поставувањето на прелистувачи трае околу 5 минути. Многу луѓе мислат дека поставувањето и работата со двофакторна автентикација е тешко и нејасно. Се надевам дека нашата статија ќе го разоткрие овој мит, барем малку.

Само регистрирани корисници можат да учествуваат во анкетата. Најави се, вие сте добредојдени.

Дали ви требаат упатства за поставување на TLS со сертификати според ГОСТ 34.10-2012:

Да, TLS-GOST е многу неопходен
Не, подесувањето со ГОСТ алгоритмите не е интересно

Гласале 44 корисници. 9 корисници беа воздржани.

Извор: www.habr.com

Двофакторна автентикација на страницата со помош на USB токен. Сега и за Linux