साधारण पासवर्डहरू सुरक्षित छैनन्, र जटिलहरू सम्झन असम्भव छन्। यसैले तिनीहरू प्राय: किबोर्ड वा मनिटरमा टाँसिएको नोटमा समाप्त हुन्छन्। पासवर्डहरू "बिर्सने" प्रयोगकर्ताहरूको दिमागमा रहिरहने र सुरक्षाको विश्वसनीयता हराएको छैन भनेर सुनिश्चित गर्न, त्यहाँ दुई-कारक प्रमाणीकरण (2FA) छ।

यन्त्रको स्वामित्व र यसको PIN थाहा पाउनुको संयोजनको कारणले गर्दा, PIN आफैंलाई सम्झन सजिलो र सजिलो हुन सक्छ। PIN लम्बाइ वा अनियमिततामा हुने बेफाइदाहरू भौतिक अधिकार आवश्यकता र PIN ब्रुट फोर्समा प्रतिबन्धहरूद्वारा अफसेट हुन्छन्।

थप रूपमा, यो सरकारी एजेन्सीहरूमा हुन्छ कि तिनीहरू सबै GOST अनुसार काम गर्न चाहन्छन्। लिनक्समा लग इन गर्नको लागि यो 2FA विकल्प छलफल गरिनेछ। म टाढाबाट सुरु गर्छु।

PAM मोड्युलहरू

Pluggable Authentication Modules (PAM) एक मानक API र अनुप्रयोगहरूमा विभिन्न प्रमाणीकरण संयन्त्रहरूको कार्यान्वयन भएको मोड्युलहरू हुन्।
PAM सँग काम गर्न सक्ने सबै उपयोगिताहरू र अनुप्रयोगहरूले तिनीहरूलाई उठाउँछन् र तिनीहरूलाई प्रयोगकर्ता प्रमाणीकरणको लागि प्रयोग गर्न सक्छन्।
अभ्यासमा, यसले यस्तो काम गर्छ: लगइन आदेशले PAM लाई कल गर्छ, जसले कन्फिगरेसन फाइलमा निर्दिष्ट मोड्युलहरू प्रयोग गरेर सबै आवश्यक जाँचहरू गर्छ र नतिजालाई लगइन आदेशमा फर्काउँछ।

librtpam

Aktiv कम्पनी द्वारा विकास गरिएको मोड्युलले घरेलु क्रिप्टोग्राफीको नवीनतम मापदण्ड अनुसार एसिमेट्रिक कुञ्जीहरू प्रयोग गरेर स्मार्ट कार्डहरू वा USB टोकनहरू प्रयोग गर्ने प्रयोगकर्ताहरूको दुई-कारक प्रमाणीकरण थप्छ।

यसको सञ्चालनको सिद्धान्त हेरौं:

• टोकनले प्रयोगकर्ताको प्रमाणपत्र र यसको निजी कुञ्जी भण्डार गर्दछ;
• प्रमाणपत्र प्रयोगकर्ताको गृह डाइरेक्टरीमा विश्वसनीय रूपमा सुरक्षित गरिएको छ।

प्रमाणीकरण प्रक्रिया निम्नानुसार हुन्छ:

1. Rutoken प्रयोगकर्ताको व्यक्तिगत प्रमाणपत्रको लागि खोजी गर्दछ।
2. टोकन पिन अनुरोध गरिएको छ।
3. अनियमित डेटा निजी कुञ्जीमा सीधा रुटोकन चिपमा साइन इन गरिएको छ।
4. परिणामस्वरूप हस्ताक्षर प्रयोगकर्ताको प्रमाणपत्रबाट सार्वजनिक कुञ्जी प्रयोग गरेर प्रमाणित हुन्छ।
5. मोड्युलले कलिङ एपमा हस्ताक्षर प्रमाणीकरण परिणाम फर्काउँछ।

तपाईंले GOST R 34.10-2012 कुञ्जीहरू (लम्बाइ 256 ​​वा 512 बिट) वा पुरानो GOST R 34.10-2001 प्रयोग गरेर प्रमाणीकरण गर्न सक्नुहुन्छ।

तपाईंले कुञ्जीहरूको सुरक्षाको बारेमा चिन्ता लिनु पर्दैन - तिनीहरू सिधै रुटोकेनमा उत्पन्न हुन्छन् र क्रिप्टोग्राफिक अपरेसनहरूमा यसको मेमोरी कहिल्यै छोड्दैनन्।

Rutoken EDS 2.0 NDV 4 अनुसार FSB र FSTEC द्वारा प्रमाणित छ, त्यसैले यो गोप्य जानकारी प्रक्रिया गर्ने सूचना प्रणालीहरूमा प्रयोग गर्न सकिन्छ।

व्यावहारिक प्रयोग

लगभग कुनै पनि आधुनिक लिनक्सले गर्नेछ, उदाहरणका लागि हामी xUbuntu 18.10 प्रयोग गर्नेछौं।

१) आवश्यक प्याकेजहरू स्थापना गर्नुहोस्

sudo apt-get install libccid pcscd opensc
यदि तपाइँ स्क्रिनसेभरको साथ डेस्कटप लक थप्न चाहनुहुन्छ भने, प्याकेज थप रूपमा स्थापना गर्नुहोस् libpam-pkcs11.

2) GOST समर्थनको साथ PAM मोड्युल थप्नुहोस्

बाट पुस्तकालय लोड गर्दै https://download.rutoken.ru/Rutoken/PAM/
PAM फोल्डर librtpam.so.1.0.0 को सामग्री प्रणाली फोल्डरमा प्रतिलिपि गर्नुहोस्
/usr/lib/ वा /usr/lib/x86_64-linux-gnu/वा /usr/lib64

3) librtpkcs11ecp.so को साथ प्याकेज स्थापना गर्नुहोस्

लिङ्कबाट DEB वा RPM प्याकेज डाउनलोड र स्थापना गर्नुहोस्: https://www.rutoken.ru/support/download/pkcs/

4) जाँच गर्नुहोस् कि Rutoken EDS 2.0 प्रणालीमा काम गर्दछ

टर्मिनलमा हामी कार्यान्वयन गर्छौं
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
यदि तपाइँ लाइन देख्नुहुन्छ Rutoken ECP <no label> - यसको मतलब सबै ठीक छ।

5) प्रमाणपत्र पढ्नुहोस्

उपकरणसँग प्रमाणपत्र छ भनी जाँच गर्दै
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
यदि लाइन पछि:
Using slot 0 with a present token (0x0)

• जानकारी प्रदर्शित छ कुञ्जीहरू र प्रमाणपत्रहरूको बारेमा, तपाईंले प्रमाणपत्र पढ्न र डिस्कमा बचत गर्न आवश्यक छ। यो गर्नको लागि, निम्न आदेश चलाउनुहोस्, जहाँ {id} को सट्टा तपाईंले अघिल्लो आदेशको आउटपुटमा देख्नुभएको प्रमाणपत्र ID प्रतिस्थापन गर्न आवश्यक छ:
  $ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
  यदि cert.crt फाइल सिर्जना गरिएको छ भने, चरण 6 मा जानुहोस्)।
• त्यहाँ केही छैन, त्यसपछि उपकरण खाली छ। आफ्नो प्रशासकलाई सम्पर्क गर्नुहोस् वा अर्को चरण पछ्याएर कुञ्जीहरू र प्रमाणपत्र आफैं सिर्जना गर्नुहोस्।

5.1) एक परीक्षण प्रमाणपत्र सिर्जना गर्नुहोस्

ध्यान! कुञ्जीहरू र प्रमाणपत्रहरू सिर्जना गर्नका लागि वर्णन गरिएका विधिहरू परीक्षणको लागि उपयुक्त छन् र लडाई मोडमा प्रयोगको लागि होइन। यो गर्नको लागि, तपाईंले आफ्नो संगठनको विश्वसनीय प्रमाणीकरण प्राधिकरण वा एक मान्यता प्राप्त प्रमाणीकरण प्राधिकरण द्वारा जारी कुञ्जी र प्रमाणपत्रहरू प्रयोग गर्न आवश्यक छ।
PAM मोड्युल स्थानीय कम्प्युटरहरू सुरक्षित गर्न डिजाइन गरिएको हो र साना संगठनहरूमा काम गर्न डिजाइन गरिएको हो। त्यहाँ थोरै प्रयोगकर्ताहरू भएकोले, प्रशासकले प्रमाणपत्रहरू रद्द गर्ने र म्यानुअल रूपमा खाताहरू ब्लक गर्न, साथै प्रमाणपत्रहरूको वैधता अवधिको निगरानी गर्न सक्छ। PAM मोड्युललाई अझै थाहा छैन कि कसरी CRL हरू प्रयोग गरेर प्रमाणपत्रहरू प्रमाणित गर्ने र विश्वासको चेनहरू निर्माण गर्ने।

सजिलो तरिका (ब्राउजर मार्फत)

परीक्षण प्रमाणपत्र प्राप्त गर्न, प्रयोग गर्नुहोस् वेब सेवा "Rutoken दर्ता केन्द्र"। प्रक्रिया 5 मिनेट भन्दा बढी लाग्दैन।

गीकको बाटो (कन्सोल र सम्भवतः कम्पाइलर मार्फत)

OpenSC संस्करण जाँच गर्नुहोस्
$ opensc-tool --version
यदि संस्करण 0.20 भन्दा कम छ भने, त्यसपछि अपडेट वा निर्माण गर्नुहोस् GOST-11 समर्थनको साथ pkcs2012-उपकरण शाखा हाम्रो GitHub बाट (यस लेखको प्रकाशनको समयमा, रिलीज 0.20 अझै जारी गरिएको छैन) वा मुख्य OpenSC परियोजनाको मास्टर शाखाबाट पछि। प्रतिबद्ध 8cf1e6f

निम्न प्यारामिटरहरूसँग कुञ्जी जोडी उत्पन्न गर्नुहोस्:
--key-type: GOSTR3410-2012-512:А (ГОСТ-2012 512 бит c парамсетом А), GOSTR3410-2012-256:A (ГОСТ-2012 256 бит с парамсетом A)

--id: वस्तु पहिचानकर्ता (CKA_ID) ASCII तालिकाबाट दुई-अङ्कको हेक्स क्यारेक्टर नम्बरहरूको रूपमा। प्रिन्टयोग्य क्यारेक्टरहरूका लागि ASCII कोडहरू मात्र प्रयोग गर्नुहोस्, किनभने... id लाई स्ट्रिङको रूपमा OpenSSL मा पास गर्न आवश्यक छ। उदाहरण को लागी, ASCII कोड "3132" स्ट्रिङ "12" संग मेल खान्छ। सुविधाको लागि, तपाईं प्रयोग गर्न सक्नुहुन्छ ASCII कोडहरूमा स्ट्रिङहरू रूपान्तरण गर्नको लागि अनलाइन सेवा.

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

अर्को हामी प्रमाणपत्र सिर्जना गर्नेछौं। दुई तरिकाहरू तल वर्णन गरिनेछ: पहिलो CA मार्फत (हामी परीक्षण CAs प्रयोग गर्नेछौं), दोस्रो स्व-हस्ताक्षरित छ। यो गर्नको लागि, तपाईंले पहिले स्थापना र कन्फिगर गर्न आवश्यक छ OpenSSL संस्करण 1.1 वा पछिको Rutoken सँग काम गर्न विशेष rtengine मोड्युल मार्फत म्यानुअल प्रयोग गरेर। OpenSSL स्थापना र कन्फिगर गर्दै.
उदाहरणका लागि: '-का लागि-id 3132' OpenSSL मा तपाईंले निर्दिष्ट गर्न आवश्यक छ "pkcs11:id=12"।

तपाईले परीक्षण CA को सेवाहरू प्रयोग गर्न सक्नुहुन्छ, जसमध्ये धेरै छन्, उदाहरणका लागि, हेर, हेर и हेर, यसका लागि हामी प्रमाणपत्रको लागि अनुरोध सिर्जना गर्नेछौं

अर्को विकल्प भनेको आलस्यमा दिनु र स्व-हस्ताक्षरित सिर्जना गर्नु हो
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

यन्त्रमा प्रमाणपत्र अपलोड गर्दै
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) प्रणालीमा प्रमाणपत्र दर्ता गर्नुहोस्

निश्चित गर्नुहोस् कि तपाईंको प्रमाणपत्र आधार 64 फाइल जस्तो देखिन्छ:

यदि तपाईंको प्रमाणपत्र यस्तो देखिन्छ भने:

त्यसपछि तपाईंले प्रमाणपत्रलाई DER ढाँचाबाट PEM ढाँचामा रूपान्तरण गर्न आवश्यक छ (base64)

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
हामी फेरि जाँच गर्छौं कि सबै अहिले क्रमबद्ध छ।

विश्वसनीय प्रमाणपत्रहरूको सूचीमा प्रमाणपत्र थप्नुहोस्
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates
अन्तिम पङ्क्तिले विश्वसनीय प्रमाणपत्रहरूको सूचीलाई अन्य प्रयोगकर्ताहरूद्वारा संयोगवश वा जानाजानी परिवर्तन हुनबाट जोगाउँछ। यसले कसैलाई यहाँ आफ्नो प्रमाणपत्र थप्न र तपाईंको तर्फबाट लग इन गर्न सक्षम हुनबाट रोक्छ।

7) प्रमाणीकरण सेट अप गर्नुहोस्

हाम्रो PAM मोड्युल सेटअप पूर्णतया मानक हो र अन्य मोड्युलहरू सेटअप गरे जस्तै गरीन्छ। फाइलमा सिर्जना गर्नुहोस् /usr/share/pam-configs/rutoken-gost-pam मोड्युलको पूरा नाम समावेश गर्दछ, चाहे यो पूर्वनिर्धारित रूपमा सक्षम गरिएको छ, मोड्युलको प्राथमिकता, र प्रमाणीकरण प्यारामिटरहरू।
प्रमाणीकरण प्यारामिटरहरूले सञ्चालनको सफलताको लागि आवश्यकताहरू समावेश गर्दछ:

• आवश्यक: त्यस्ता मोड्युलहरूले सकारात्मक प्रतिक्रिया फर्काउनु पर्छ। यदि मोड्युल कलको नतिजामा नकारात्मक प्रतिक्रिया छ भने, यसले प्रमाणीकरण त्रुटिको परिणाम दिन्छ। अनुरोध छोडिनेछ, तर बाँकी मोड्युलहरू बोलाइनेछ।
• आवश्यक: आवश्यक जस्तै, तर तुरुन्त प्रमाणीकरण असफल हुन्छ र अन्य मोड्युलहरूलाई बेवास्ता गर्दछ।
• पर्याप्त: यदि यस्तो मोड्युल अघि कुनै पनि आवश्यक वा पर्याप्त मोड्युलले नकारात्मक नतिजा फर्काएन भने, मोड्युलले सकारात्मक प्रतिक्रिया फर्काउनेछ। बाँकी मोड्युलहरूलाई बेवास्ता गरिनेछ।
• ऐच्छिक: यदि स्ट्याकमा कुनै आवश्यक मोड्युलहरू छैनन् र पर्याप्त मोड्युलहरू मध्ये कुनै पनि सकारात्मक नतिजा फर्काउँदैनन् भने, कम्तिमा एक वैकल्पिक मोड्युलले सकारात्मक नतिजा फर्काउनु पर्छ।

पूर्ण फाइल सामग्री /usr/share/pam-configs/rutoken-gost-pam:
Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

फाइल बचत गर्नुहोस्, त्यसपछि कार्यान्वयन गर्नुहोस्
$ sudo pam-auth-update
देखा पर्ने विन्डोमा, यसको छेउमा तारा चिन्ह राख्नुहोस् Rutoken PAM GOST र क्लिक गर्नुहोस् OK

8) सेटिङहरू जाँच गर्नुहोस्

सबै कुरा कन्फिगर गरिएको छ भनेर बुझ्न, तर एकै समयमा प्रणालीमा लग इन गर्ने क्षमता गुमाउनु हुँदैन, आदेश प्रविष्ट गर्नुहोस्।
$ sudo login
आफ्नो प्रयोगकर्ता नाम प्रविष्ट गर्नुहोस्। यदि प्रणालीलाई यन्त्र पिन कोड चाहिन्छ भने सबै कुरा ठीकसँग कन्फिगर गरिएको छ।

9) टोकन निकाल्दा ब्लक गर्न कम्प्युटर कन्फिगर गर्नुहोस्

प्याकेजमा समावेश छ libpam-pkcs11 उपयोगिता समावेश छ pkcs11_eventmgr, जसले तपाईंलाई PKCS#11 घटनाहरू हुँदा विभिन्न कार्यहरू गर्न अनुमति दिन्छ।
सेटिङहरूको लागि pkcs11_eventmgr कन्फिगरेसन फाइलको रूपमा कार्य गर्दछ: /etc/pam_pkcs11/pkcs11_eventmgr.conf
विभिन्न Linux वितरणहरूका लागि, स्मार्ट कार्ड वा टोकन हटाइँदा खाता लक हुने आदेश फरक हुनेछ। सेमी। event card_remove.
एउटा उदाहरण कन्फिगरेसन फाइल तल देखाइएको छ:

pkcs11_eventmgr
{
    # Запуск в бэкграунде
    daemon = true;
     
    # Настройка сообщений отладки
    debug = false;
 
    # Время опроса в секундах
    polling_time = 1;
 
    # Установка тайм-аута на удаление карты
    # По-умолчанию 0
    expire_time = 0;
 
    # Выбор pkcs11 библиотеки для работы с Рутокен
    pkcs11_module = usr/lib/librtpkcs11ecp.so;
 
    # Действия с картой
    # Карта вставлена:
    event card_insert {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore ;
 
        action = "/bin/false";
    }
 
    # Карта извлечена
    event card_remove {
        on_error = ignore;
         
        # Вызываем функцию блокировки экрана
        
        # Для GNOME 
        action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock";
        
        # Для XFCE
        # action = "xflock4";
        
        # Для Astra Linux (FLY)
        # action = "fly-wmfunc FLYWM_LOCK";
    }
 
    # Карта долгое время извлечена
    event expire_time {
        # Оставляем значения по умолчанию (ничего не происходит)
        on_error = ignore;
 
        action = "/bin/false";
    }
}

त्यस पछि अनुप्रयोग थप्नुहोस् pkcs11_eventmgr स्टार्टअप गर्न। यो गर्नको लागि, .bash_profile फाइल सम्पादन गर्नुहोस्:
$ nano /home/<имя_пользователя>/.bash_profile
फाइलको अन्त्यमा pkcs11_eventmgr लाई जोड्नुहोस् र रिबुट गर्नुहोस्।

अपरेटिङ सिस्टम सेटअप गर्नका लागि वर्णित चरणहरू घरेलु सहित कुनै पनि आधुनिक लिनक्स वितरणमा निर्देशनहरूको रूपमा प्रयोग गर्न सकिन्छ।

निष्कर्षमा

लिनक्स पीसीहरू रूसी सरकारी एजेन्सीहरूमा बढ्दो लोकप्रिय हुँदैछन्, र यस OS मा भरपर्दो दुई-कारक प्रमाणीकरण सेटअप सधैं सजिलो हुँदैन। हामी तपाईंलाई यस गाइडको साथ "पासवर्ड समस्या" समाधान गर्न र यसमा धेरै समय खर्च नगरी तपाईंको पीसीमा पहुँचलाई विश्वसनीय रूपमा सुरक्षित गर्न मद्दत गर्न पाउँदा खुसी हुनेछौं।

स्रोत: www.habr.com