साधे पासवर्ड सुरक्षित नसतात आणि जटिल लक्षात ठेवणे अशक्य असते. म्हणूनच ते बर्‍याचदा कीबोर्ड किंवा मॉनिटरवर चिकट नोटवर संपतात. पासवर्ड "विसरलेल्या" वापरकर्त्यांच्या मनात राहतील आणि संरक्षणाची विश्वासार्हता नष्ट होणार नाही याची खात्री करण्यासाठी, दोन-घटक प्रमाणीकरण (2FA) आहे.

डिव्हाइसचे मालक असणे आणि त्याचा पिन जाणून घेणे या दोन्हीच्या संयोजनामुळे, पिन स्वतःच लक्षात ठेवणे सोपे आणि सोपे असू शकते. पिन लांबी किंवा यादृच्छिकतेमधील तोटे भौतिक ताबा आवश्यकता आणि पिन ब्रूट फोर्सवरील निर्बंधांद्वारे ऑफसेट केले जातात.

याव्यतिरिक्त, सरकारी संस्थांमध्ये असे घडते की त्यांना सर्व काही GOST नुसार कार्य करायचे आहे. लिनक्समध्ये लॉग इन करण्यासाठी या 2FA पर्यायावर चर्चा केली जाईल. मी दुरूनच सुरुवात करेन.

PAM मॉड्यूल्स

प्लगेबल ऑथेंटिकेशन मॉड्युल्स (PAM) हे मानक API असलेले मॉड्यूल आहेत आणि अॅप्लिकेशन्समधील विविध प्रमाणीकरण यंत्रणेची अंमलबजावणी करतात.
PAM सह कार्य करू शकणार्‍या सर्व उपयुक्तता आणि ऍप्लिकेशन्स त्यांना उचलतात आणि वापरकर्ता प्रमाणीकरणासाठी वापरू शकतात.
व्यवहारात, हे असे काहीतरी कार्य करते: लॉगिन कमांड PAM ला कॉल करते, जी कॉन्फिगरेशन फाइलमध्ये निर्दिष्ट केलेल्या मॉड्यूल्सचा वापर करून सर्व आवश्यक तपासण्या करते आणि परिणाम परत लॉगिन कमांडवर परत करते.

librtpam

Aktiv कंपनीने विकसित केलेले मॉड्यूल घरगुती क्रिप्टोग्राफीच्या नवीनतम मानकांनुसार असममित की वापरून स्मार्ट कार्ड किंवा USB टोकन वापरणाऱ्या वापरकर्त्यांचे द्वि-घटक प्रमाणीकरण जोडते.

चला त्याच्या ऑपरेशनचे सिद्धांत पाहू:

• टोकन वापरकर्त्याचे प्रमाणपत्र आणि त्याची खाजगी की संग्रहित करते;
• प्रमाणपत्र विश्वसनीय म्हणून वापरकर्त्याच्या होम डिरेक्टरीमध्ये जतन केले जाते.

प्रमाणीकरण प्रक्रिया खालीलप्रमाणे होते:

1. रुटोकेन वापरकर्त्याचे वैयक्तिक प्रमाणपत्र शोधते.
2. टोकन पिनची विनंती केली आहे.
3. यादृच्छिक डेटा थेट रुटोकेन चिपमध्ये खाजगी कीवर स्वाक्षरी केलेला आहे.
4. परिणामी स्वाक्षरी वापरकर्त्याच्या प्रमाणपत्रातील सार्वजनिक की वापरून सत्यापित केली जाते.
5. मॉड्यूल कॉलिंग ऍप्लिकेशनला स्वाक्षरी पडताळणी परिणाम परत करते.

तुम्ही GOST R 34.10-2012 की (लांबी 256 किंवा 512 बिट्स) किंवा कालबाह्य GOST R 34.10-2001 वापरून प्रमाणीकृत करू शकता.

तुम्हाला कीच्या सुरक्षिततेबद्दल काळजी करण्याची गरज नाही - ते थेट रुटोकेनमध्ये तयार केले जातात आणि क्रिप्टोग्राफिक ऑपरेशन्स दरम्यान त्यांची मेमरी कधीही सोडत नाहीत.

Rutoken EDS 2.0 NDV 4 नुसार FSB आणि FSTEC द्वारे प्रमाणित केले आहे, म्हणून ते गोपनीय माहितीवर प्रक्रिया करणार्‍या माहिती प्रणालींमध्ये वापरले जाऊ शकते.

व्यावहारिक वापर

जवळजवळ कोणतीही आधुनिक लिनक्स करेल, उदाहरणार्थ आम्ही xUbuntu 18.10 वापरू.

1) आवश्यक पॅकेजेस स्थापित करा

sudo apt-get install libccid pcscd opensc
आपण स्क्रीनसेव्हरसह डेस्कटॉप लॉक जोडू इच्छित असल्यास, अतिरिक्त पॅकेज स्थापित करा libpam-pkcs11.

2) GOST समर्थनासह PAM मॉड्यूल जोडा

वरून लायब्ररी लोड करत आहे https://download.rutoken.ru/Rutoken/PAM/
PAM फोल्डरची सामग्री librtpam.so.1.0.0 सिस्टम फोल्डरमध्ये कॉपी करा
/usr/lib/ किंवा /usr/lib/x86_64-linux-gnu/किंवा /usr/lib64

3) librtpkcs11ecp.so सह पॅकेज स्थापित करा

लिंकवरून DEB किंवा RPM पॅकेज डाउनलोड आणि स्थापित करा: https://www.rutoken.ru/support/download/pkcs/

4) Rutoken EDS 2.0 सिस्टीममध्ये कार्य करत असल्याचे तपासा

टर्मिनलमध्ये आम्ही कार्यान्वित करतो
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
ओळ दिसली तर Rutoken ECP <no label> - याचा अर्थ सर्व काही ठीक आहे.

5) प्रमाणपत्र वाचा

डिव्हाइसमध्ये प्रमाणपत्र असल्याचे तपासत आहे
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
जर ओळीनंतर:
Using slot 0 with a present token (0x0)

• माहिती प्रदर्शित केली जाते की आणि प्रमाणपत्रांबद्दल, तुम्हाला प्रमाणपत्र वाचावे लागेल आणि ते डिस्कवर सेव्ह करावे लागेल. हे करण्यासाठी, खालील कमांड चालवा, जिथे तुम्हाला {id} ऐवजी तुम्ही मागील कमांडच्या आउटपुटमध्ये पाहिलेला प्रमाणपत्र ID बदलणे आवश्यक आहे:
  $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
  cert.crt फाइल तयार केली असल्यास, चरण 6 वर जा).
• काहीही नाही, नंतर डिव्हाइस रिक्त आहे. तुमच्या प्रशासकाशी संपर्क साधा किंवा पुढील पायरी फॉलो करून स्वतः की आणि प्रमाणपत्र तयार करा.

5.1) चाचणी प्रमाणपत्र तयार करा

लक्ष द्या! की आणि प्रमाणपत्रे तयार करण्यासाठी वर्णन केलेल्या पद्धती चाचणीसाठी योग्य आहेत आणि लढाऊ मोडमध्ये वापरण्यासाठी हेतू नाहीत. हे करण्यासाठी, तुम्हाला तुमच्या संस्थेच्या विश्वसनीय प्रमाणन प्राधिकरणाने किंवा मान्यताप्राप्त प्रमाणन प्राधिकरणाने जारी केलेल्या की आणि प्रमाणपत्रे वापरण्याची आवश्यकता आहे.
PAM मॉड्यूल स्थानिक संगणकांचे संरक्षण करण्यासाठी डिझाइन केलेले आहे आणि लहान संस्थांमध्ये कार्य करण्यासाठी डिझाइन केलेले आहे. काही वापरकर्ते असल्याने, प्रशासक प्रमाणपत्रे रद्द करण्यावर लक्ष ठेवू शकतो आणि खाती मॅन्युअली ब्लॉक करू शकतो, तसेच प्रमाणपत्रांच्या वैधतेचा कालावधी. CRL वापरून प्रमाणपत्रांची पडताळणी कशी करायची आणि विश्वासाची साखळी कशी तयार करायची हे PAM मॉड्यूलला अद्याप माहित नाही.

सोपा मार्ग (ब्राउझरद्वारे)

चाचणी प्रमाणपत्र मिळविण्यासाठी, वापरा वेब सेवा "रुटोकेन नोंदणी केंद्र". प्रक्रियेस 5 मिनिटांपेक्षा जास्त वेळ लागणार नाही.

गीकचा मार्ग (कन्सोल आणि शक्यतो कंपाइलरद्वारे)

OpenSC आवृत्ती तपासा
$ opensc-tool --version
आवृत्ती 0.20 पेक्षा कमी असल्यास, नंतर अद्यतनित करा किंवा तयार करा GOST-11 समर्थनासह pkcs2012-टूल शाखा आमच्या GitHub वरून (या लेखाच्या प्रकाशनाच्या वेळी, रिलीझ 0.20 अद्याप प्रकाशित झाले नाही) किंवा नंतर मुख्य OpenSC प्रकल्पाच्या मुख्य शाखेतून वचनबद्ध 8cf1e6f

खालील पॅरामीटर्ससह एक की जोडी तयार करा:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: ऑब्जेक्ट आयडेंटिफायर (CKA_ID) ASCII टेबलमधील दोन-अंकी हेक्स वर्ण संख्या म्हणून. प्रिंट करण्यायोग्य अक्षरांसाठी फक्त ASCII कोड वापरा, कारण... आयडी ओपनएसएसएलला स्ट्रिंग म्हणून पास करणे आवश्यक आहे. उदाहरणार्थ, ASCII कोड “3132” स्ट्रिंग “12” शी संबंधित आहे. सोयीसाठी, आपण वापरू शकता स्ट्रिंग्स ASCII कोडमध्ये रूपांतरित करण्यासाठी ऑनलाइन सेवा.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

पुढे आपण एक प्रमाणपत्र तयार करू. खाली दोन मार्गांचे वर्णन केले जाईल: पहिला CA द्वारे (आम्ही चाचणी CAs वापरू), दुसरा स्व-स्वाक्षरी केलेला आहे. हे करण्यासाठी, तुम्हाला प्रथम ओपनएसएसएल आवृत्ती 1.1 किंवा नंतरची आवृत्ती स्थापित आणि कॉन्फिगर करणे आवश्यक आहे आणि मॅन्युअल वापरून रुटोकेनसह विशेष rtengine मॉड्यूलद्वारे कार्य करा. OpenSSL स्थापित करणे आणि कॉन्फिगर करणे.
उदाहरणार्थ: '- साठी-id 3132OpenSSL मध्ये तुम्हाला " निर्दिष्ट करणे आवश्यक आहेpkcs11:id=12".

तुम्ही चाचणी CA च्या सेवा वापरू शकता, त्यापैकी अनेक आहेत, उदाहरणार्थ, पाहा, पाहा, पाहा, पाहा и पाहा, पाहा, यासाठी आम्ही प्रमाणपत्रासाठी विनंती तयार करू

दुसरा पर्याय म्हणजे आळशीपणा स्वीकारणे आणि स्वत: ची स्वाक्षरी तयार करणे
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

डिव्हाइसवर प्रमाणपत्र अपलोड करत आहे
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) सिस्टीममध्ये प्रमाणपत्राची नोंदणी करा

तुमचे प्रमाणपत्र बेस64 फाइलसारखे दिसत असल्याची खात्री करा:

तुमचे प्रमाणपत्र असे दिसत असल्यास:

नंतर तुम्हाला प्रमाणपत्र डीईआर फॉरमॅटमधून पीईएम फॉरमॅटमध्ये रुपांतरित करावे लागेल (बेस64)

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
आम्ही पुन्हा तपासतो की आता सर्वकाही व्यवस्थित आहे.

विश्वसनीय प्रमाणपत्रांच्या सूचीमध्ये प्रमाणपत्र जोडा
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates
शेवटची ओळ इतर वापरकर्त्यांद्वारे चुकून किंवा हेतुपुरस्सर बदलण्यापासून विश्वासार्ह प्रमाणपत्रांच्या सूचीचे संरक्षण करते. हे एखाद्याला त्यांचे प्रमाणपत्र येथे जोडण्यापासून आणि तुमच्या वतीने लॉग इन करण्यास सक्षम होण्यापासून प्रतिबंधित करते.

7) प्रमाणीकरण सेट करा

आमचे PAM मॉड्युल सेट करणे हे पूर्णपणे मानक आहे आणि ते इतर मॉड्युल सेट करण्याप्रमाणेच केले जाते. फाइल करण्यासाठी तयार करा /usr/share/pam-configs/rutoken-gost-pam मॉड्युलचे पूर्ण नाव, ते डीफॉल्टनुसार सक्षम केले आहे का, मॉड्यूलचे प्राधान्य आणि प्रमाणीकरण पॅरामीटर्स समाविष्टीत आहे.
ऑथेंटिकेशन पॅरामीटर्समध्ये ऑपरेशनच्या यशस्वीतेसाठी आवश्यकता आहेत:

• आवश्यक: अशा मॉड्यूल्सने सकारात्मक प्रतिसाद दिला पाहिजे. मॉड्यूल कॉलच्या परिणामामध्ये नकारात्मक प्रतिसाद असल्यास, याचा परिणाम प्रमाणीकरण त्रुटीमध्ये होईल. विनंती सोडली जाईल, परंतु उर्वरित मॉड्यूल कॉल केले जातील.
• आवश्‍यक: आवश्‍यकतेप्रमाणे, परंतु लगेचच प्रमाणीकरण अयशस्वी होते आणि इतर मॉड्यूल्सकडे दुर्लक्ष करते.
• पुरेसे: जर अशा मॉड्यूलच्या आधी आवश्यक किंवा पुरेशा कोणत्याही मॉड्यूलने नकारात्मक परिणाम दिला नाही, तर मॉड्यूल सकारात्मक प्रतिसाद देईल. उर्वरित मॉड्यूल्सकडे दुर्लक्ष केले जाईल.
• पर्यायी: जर स्टॅकवर कोणतेही आवश्यक मॉड्यूल्स नसतील आणि पुरेसे मॉड्यूल्सपैकी कोणतेही सकारात्मक परिणाम देत नसतील, तर किमान एक पर्यायी मॉड्यूलने सकारात्मक परिणाम दिला पाहिजे.

पूर्ण फाइल सामग्री /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

फाइल सेव्ह करा, नंतर कार्यान्वित करा
$ sudo pam-auth-update
दिसत असलेल्या विंडोमध्ये, त्याच्या पुढे एक तारा ठेवा Rutoken PAM GOST आणि धक्का OK

8) सेटिंग्ज तपासा

सर्वकाही कॉन्फिगर केले आहे हे समजून घेण्यासाठी, परंतु त्याच वेळी सिस्टममध्ये लॉग इन करण्याची क्षमता गमावू नका, कमांड प्रविष्ट करा
$ sudo login
तुमचे वापरकर्तानाव एंटर करा. सिस्टमला डिव्हाइस पिन कोड आवश्यक असल्यास सर्वकाही योग्यरित्या कॉन्फिगर केले आहे.

9) टोकन काढल्यावर ब्लॉक करण्यासाठी संगणक कॉन्फिगर करा

पॅकेजमध्ये समाविष्ट आहे libpam-pkcs11 उपयुक्तता समाविष्ट आहे pkcs11_eventmgr, जे तुम्हाला PKCS#11 घटना घडल्यावर विविध क्रिया करण्यास अनुमती देते.
सेटिंग्जसाठी pkcs11_eventmgr कॉन्फिगरेशन फाइल म्हणून काम करते: /etc/pam_pkcs11/pkcs11_eventmgr.conf
वेगवेगळ्या Linux वितरणांसाठी, स्मार्ट कार्ड किंवा टोकन काढल्यावर खाते लॉक होण्यास कारणीभूत असणारी कमांड वेगळी असेल. सेमी. event card_remove.
कॉन्फिगरेशन फाइलचे उदाहरण खाली दर्शविले आहे:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

त्यानंतर अनुप्रयोग जोडा pkcs11_eventmgr स्टार्टअप करण्यासाठी. हे करण्यासाठी, .bash_profile फाइल संपादित करा:
$ nano /home/<имя_пользователя>/.bash_profile
फाईलच्या शेवटी pkcs11_eventmgr ओळ जोडा आणि रीबूट करा.

ऑपरेटिंग सिस्टीम सेट करण्यासाठी वर्णन केलेल्या पायऱ्या कोणत्याही आधुनिक लिनक्स वितरणामध्ये निर्देश म्हणून वापरल्या जाऊ शकतात, ज्यामध्ये घरगुती समावेश आहे.

निष्कर्ष

रशियन सरकारी एजन्सीमध्ये लिनक्स पीसी अधिक लोकप्रिय होत आहेत आणि या OS मध्ये विश्वसनीय द्वि-घटक प्रमाणीकरण सेट करणे नेहमीच सोपे नसते. या मार्गदर्शकासह "पासवर्ड समस्येचे" निराकरण करण्यात आणि तुमच्या PC वर जास्त वेळ न घालवता त्याच्या प्रवेशाचे विश्वसनीयरित्या संरक्षण करण्यात मदत करण्यात आम्हाला आनंद होईल.

स्त्रोत: www.habr.com