Hei kaikki, jatkamme tietokoneturvallisuuden opiskelua. Aiemmin kerroin sinulle kuinka murtaa sa-salasana sql:ssä, tänään päinvastoin, kerron sinulle kuinka suojautua hieman. Tänään opimme luomaan usb-suojausavain Windows-työkaluja käyttämällä niitä tarvitaan tietokoneen käyttämiseen, ja jos sitä ei ole asetettu, se ei päästä sinua sisään. Markkinoilla on paljon ohjelmistoja, ei ollenkaan ilmaisia, jotka suorittavat tämän tehtävän, mutta miksi maksaa jostain, kun kaikki on jo sisäänrakennettu Windowsiin 🙂, varsinkin kun se ei vie paljon aikaa.
usb-avain windowsille
Selvitetään mitä teemme ja miksi. Kaikkien suoritettujen vaiheiden jälkeen luomme usb-avaimen Windowsille tavallisesta flash-asemasta. Se toimii kirjautumisavaimena vieläkin yksinkertaisemmin sanottuna. Kun se on asetettu tietokoneeseen, voit kirjautua sisään, jos ei, et voi kirjautua sisään, kirjautumissalasanaa ei tarvita.
Valitse pienempi muistitikku, koska siinä on pieni avaintiedosto, miksi käyttää flash-asemaa niin irrationaalisesti, koska et todellakaan käytä sitä myöhemmin ja viruksia voi päästä sisään, ellet tietysti ole suojannut flash-asemaa viruksilta . Ehkä sinulla on 2 Gt:n muistitikku roskakorissasi, vaikka tämä onkin nykyään melkein harvinaista.
Paina Win+R ja Suorita-ikkuna avautuu. Syötä sisään
Levynhallintalaajennus avautuu.
Kuten näette, minulla on 30 Gt:n muistitikku, omasi voi tietysti olla erilainen :)
Napsauta sitä hiiren kakkospainikkeella ja valitse Vaihda asemakirjain tai anna asemaan.
Täällä meidän on vaihdettava A-kirjain flash-asemalle tai pikemminkin tulevalle USB-suojalle.
Jos kirjain A on varattu, aseta laite käyttämään toista kirjainta
Sain sen näin.
Paina nyt Win + R ja kirjoita syskey
Windows-tilin tietokannan suojaus -ikkuna avautuu, tässä sinun on napsautettava päivitys, jotta voit luoda usb-avaimen Windowsille. 
Napsauta päivityspainiketta. Tämän seurauksena Launch Key -ikkuna avautuu, aseta kytkin kohtaan Tallenna käynnistysavain levykkeelle. Sinun on asetettava levyke, kun järjestelmä käynnistyy. Näin teemme flash-asemastamme tunnuksen Windowsille.
Sinua pyydetään vahvistamaan, että hyväksyt avaimen kopioimisen siihen.
Kuten näet, kaikki on valmista
Katsotaanpa sen sisältöä.
Tämän seurauksena sinulla on pieni 8 kt:n tiedosto nimeltä StartKey
Nyt käynnistämme uudelleen ja näemme tämän viestin kirjautumis- ja salasanansyöttöikkunan edessä.
Tämä kokoonpano vaatii avainlevykkeen Windowsin käynnistämiseksi Aseta tämä levyke asemaan ja napsauta OK.
Paina esimerkiksi ok-painiketta ilman flash-asemaa ja katso seuraavaa.
Käynnistysavaintiedostoa ei löytynyt asemaan A asetetulta levykkeeltä.
Aseta Windowsin usb-avain ja kirjaudu sisään. Kuten näet, kaksivaiheinen todennus toimii hyvin.
Voit poistaa kaiken tämän samoilla vaiheilla, ainoa näppäin ikkunassa on valita kohde
Tallenna käynnistysavain paikalliselle levylle.
Tarvitset USB-suojausavaimen asettamiseen.
Kaikki avaimet on nyt tallennettu paikallisesti.
”3A”-järjestelmien markkinasektoreiden (todennus, valtuutus, suojattu hallinta) ja vahvojen autentikointityökalujen nopea kasvu on johtanut monien erityyppisten laitteisto- ja ohjelmistotunnisteiden sekä niiden hybridimuunnelmien syntymiseen. Asiakas, joka haluaa ottaa käyttöön monivaiheisen tunnistusjärjestelmän tänään, on vaikean valinnan edessä. Trendit fyysisen ja loogisen todennuksen yhdistämisessä, kertakirjautumisratkaisujen ja identiteetinhallintajärjestelmien integroinnissa vain lisäävät valinnan haastetta. Tässä artikkelissa yritämme auttaa asiakasta ymmärtämään markkinoilla olevia ratkaisuja ja tekemään oikean valinnan.
Yksi IT-turvallisuuden vaarallisimmista uhista nykyään on luvaton pääsy luottamuksellisiin tietoihin. US Computer Security Instituten ja FBI:n tutkimuksen mukaan (katso "CSI/FBI Computer Crime and Security Survey 2005"), viime vuonna 55 % yrityksistä ilmoitti tapauksista, joihin liittyi luvaton pääsy tietoihin. Lisäksi jokainen yritys menetti keskimäärin 303 tuhatta dollaria vuonna 2005 luvattoman käytön vuoksi, ja tappiot kasvoivat 6-kertaisesti vuoteen 2004 verrattuna.
Yritykset reagoivat välittömästi lisääntyneeseen uhkien vaaraan. IDC:n mukaan (katso "Russia Security Software 2005-2009 -ennuste ja 2004 Vendor Shares") venäläiset yritykset eivät vain lisänneet investointejaan IT-tietoturvaan 32,7 %, vaan myös keskittyivät suurelta osin ponnistelunsa toteuttamiseen "3A" -järjestelmissä "(todennus, valtuutus, turvallinen hallinto).
3A-järjestelmien markkinasegmentti kasvoi 83 % vuoden aikana. Tämä dynamiikka on täysin ymmärrettävää: vahvan autentikoinnin keinot, jotka ovat koko "3A"-konseptin taustalla, mahdollistavat yrityksen suojaamisen useilta IT-tietoturvauhkilta - mukaan lukien luvaton pääsy tietoihin, luvaton pääsy yritysverkkoon. työntekijöiden, petosten ja tietovuodot, jotka johtuvat mobiililaitteiden varkauksista tai henkilöstön toimista jne., ja tiedetään, että jokainen näistä uhista aiheuttaa valtavia vahinkoja joka vuosi (kuva 1).
Riisi. 1. Tappiot erityyppisistä hyökkäyksistä, dollareita.
Vahva todennus perustuu kaksi- tai kolmivaiheiseen varmennusprosessiin, joka voi antaa käyttäjälle pääsyn pyydettyihin resursseihin. Ensimmäisessä tapauksessa työntekijän on todistettava, että hän tietää salasanan tai PIN-koodin ja että hänellä on tietty henkilökohtainen tunniste (sähköinen avain tai sirukortti), ja toisessa tapauksessa käyttäjä antaa muun tyyppiset tunnistetiedot, kuten biometriset tiedot.
Monitekijätodennuksen käyttö vähentää huomattavasti salasanojen roolia, mikä on toinen vahvan laitteistotodennuksen etu, sillä käyttäjien on arvioitu muistavan nykyään noin 15 erilaista salasanaa päästäkseen tililleen. Tietojen ylikuormituksen vuoksi työntekijät kirjoittavat ne paperille, jotta salasanat eivät unohdu, mikä heikentää salasanan vaarantumisen aiheuttamaa turvallisuustasoa. Salasanojen unohtaminen aiheuttaa yrityksille vakavia taloudellisia vahinkoja. Näin ollen Burton Groupin tutkimus (katso "Enterprise Single Sign-On: Access Gateway to Applications") osoitti, että jokainen puhelu tietokoneapupuhelimeen maksaa yritykselle 25-50 dollaria, ja 35-50 % kaikista puheluista tulee muistamatta. työntekijöitä. Näin ollen tehostetun tai kaksivaiheisen todennuksen käyttö mahdollistaa IT-turvariskien vähentämisen lisäksi myös yrityksen sisäisten prosessien optimoinnin välittömien taloudellisten tappioiden pienentämisen ansiosta.
Kuten jo mainittiin, monitekijätodennustyökalujen korkea tehokkuus on johtanut "3A"-järjestelmien markkinoiden nopeaan kasvuun. Esitettyjen ratkaisujen runsaus vaatii asiakkailta asianmukaista osaamista, koska jokaiselle ehdotetulle henkilötunnistetyypille on omat hyvät ja huonot puolensa ja sitä kautta käyttöskenaariot. Lisäksi tämän markkinasegmentin nopea kehitys tulevina vuosina johtaa siihen, että osa tänään mainostetuista laitteistotunnisteista jää jälkeen. Täten asiakkaan tulee ottaa jo nyt jollekin ratkaisulle etusijalle organisaation tämänhetkisten tarpeiden lisäksi myös tulevaisuuden tarpeet.
Henkilökohtaisten todennustyökalujen tyypit
Tällä hetkellä markkinoilla on monia henkilökohtaisia tunnisteita, jotka eroavat toisistaan sekä teknisiltä ominaisuuksiltaan ja toiminnallisuudeltaan että muodoltaan. Katsotaanpa niitä tarkemmin.
USB-tunnukset
Kaksivaiheinen todennusprosessi USB-tunnisteilla tapahtuu kahdessa vaiheessa: käyttäjä kytkee tämän pienen laitteen tietokoneen USB-porttiin ja syöttää PIN-koodin. Tämän tyyppisten todennuskeinojen etuna on suuri liikkuvuus, koska USB-portit ovat saatavilla jokaisessa työasemassa ja missä tahansa kannettavassa tietokoneessa.
Samaan aikaan erillisen fyysisen laitteen käyttö, joka pystyy tarjoamaan erittäin arkaluontoisten tietojen (salausavaimet, digitaaliset sertifikaatit jne.) turvallisen tallennuksen, mahdollistaa turvallisen paikallisen tai etäkirjautumisen tietokoneverkkoon, tiedostojen salauksen kannettavissa tietokoneissa, työasemissa ja palvelimia, hallita käyttäjäoikeuksia ja suorittaa suojattuja tapahtumia.
Älykortit
Nämä laitteet, jotka muistuttavat ulkonäöltään luottokorttia, sisältävät suojatun mikroprosessorin, joka mahdollistaa salaustoiminnot. Onnistunut todennus edellyttää älykortin asettamista lukijaan ja salasanan syöttämistä. Toisin kuin USB-tokenit, älykortit tarjoavat huomattavasti paremman suojan avainten ja käyttäjäprofiilien tallentamiseen. Älykortit ovat optimaalisia käytettäväksi julkisen avaimen infrastruktuurissa (PKI), koska ne tallentavat avainmateriaalia ja käyttäjävarmenteita itse laitteeseen, eikä käyttäjän yksityinen avain joudu vihamieliseen ulkoiseen ympäristöön. Älykorteilla on kuitenkin vakava haittapuoli - alhainen liikkuvuus, koska ne vaativat lukijan toimiakseen niiden kanssa.
USB-tunnukset sisäänrakennetulla sirulla
Tämäntyyppinen henkilökohtainen tunniste eroaa älykorteista vain muodoltaan. Sisäänrakennetulla sirulla varustetuissa USB-tunnuksissa on kaikki älykorttien edut, jotka liittyvät luottamuksellisten tietojen turvalliseen säilyttämiseen ja salaustoimintojen toteuttamiseen suoraan tunnuksen sisällä, mutta niillä ei ole pääasiallista haittaa, eli ne eivät vaadi erityinen lukulaite. Tokenien monitoiminnallisuus tarjoaa laajat mahdollisuudet niiden käyttöön - tiukasta autentikaatiosta ja turvallisen paikallisen tai etäkirjautumisen järjestämisestä tietokoneverkkoon, juridisesti tärkeiden tokeneihin perustuvien sähköisten dokumentinhallintajärjestelmien rakentamiseen, turvallisten tiedonsiirtokanavien järjestämiseen, käyttöoikeuksien hallinta, suojattujen tapahtumien toteuttaminen jne.
OTP-tunnukset
OTP (One-Time Password) -tekniikka sisältää kertaluonteisten salasanojen käytön, jotka luodaan tunnuksella. Tätä tarkoitusta varten käytetään käyttäjän salaista avainta, joka sijaitsee sekä OTP-tunnuksen sisällä että todennuspalvelimella. Päästäkseen tarvittaviin resursseihin työntekijän on syötettävä OTP-tunnuksella luotu salasana. Tätä salasanaa verrataan todennuspalvelimen luomaan arvoon, jonka jälkeen päätetään pääsyn myöntämisestä. Tämän lähestymistavan etuna on, että käyttäjän ei tarvitse yhdistää merkkiä tietokoneeseen (toisin kuin yllä mainitut tunnisteet). OTP-tokenien käyttöä tukevien IT-tietoturvasovellusten määrä on kuitenkin nyt paljon pienempi kuin USB-tokeneiden (sekä siruttomien että siruttomien) ja älykorttien määrä. OTP-merkkien haittana on näiden laitteiden rajallinen käyttöikä (kolmesta neljään vuotta), koska autonomia vaatii akun käyttöä.
Hybridimerkit
Nämä laitteet, joissa yhdistyvät kahden tyyppisen laitteen toiminnallisuus - sisäänrakennetulla sirulla varustetut USB-tokenit ja OTP-tunnukset - ovat tulleet markkinoille suhteellisen hiljattain. Heidän avullaan voit järjestää sekä kaksivaiheisen todennuksen USB-liitännällä että kontaktittoman todennuksen tapauksissa, joissa USB-portti ei ole käytettävissä (esimerkiksi Internet-kahvilassa). Huomaa, että hybridikortit, joissa on USB- ja OTP-tokenien toiminnallisuus ja joissa on myös sisäänrakennettu siru, vastaavat korkeinta joustavuuden ja turvallisuuden tasoa.
Ohjelmistotunnukset
Tässä tapauksessa tunnuksen roolia hoitaa ohjelmisto, joka luo kertaluonteisia salasanoja, joita käytetään yhdessä tavallisten salasanojen kanssa monivaiheiseen todennukseen. Token-ohjelma luo salaisen avaimen perusteella kertaluonteisen salasanan, joka näkyy tietokoneen tai mobiililaitteen näytöllä ja jota tulee käyttää todentamiseen. Mutta koska token on työasemaan, mobiilitietokoneeseen tai matkapuhelimeen tallennettu ohjelma, keskeisten tietojen turvallisesta tallentamisesta ei ole kysymys. Näin ollen tämä menetelmä on turvallisempi kuin tavalliset salasanat, mutta paljon heikompi kuin laitteistotunnisteiden käyttäminen.
Erilaisten henkilökohtaisten tunnisteiden ominaisuudet
Venäjän monitekijätodennusmarkkinat
Venäjän vahvalle todennusmarkkinoille on ominaista erittäin alhainen OTP-tunnusten esiintyvyys, sillä ne kattavat yli puolet maailmanlaajuisesta henkilötunnusten segmentistä. Tänä päivänä näiden laitteiden toimitukset suuntautuvat pääasiassa länsimaisten suurten yritysten Venäjän edustustoille, joiden pääkonttori ja koko IT-infrastruktuuri rakennettiin alun perin OTP-tokeneille.
Pääasiallinen Venäjän OTP-token-markkinoiden kehitystä estävä tekijä on korkeat omistuskustannukset (Total Cost of Ownership, TCO) ja lyhyt elinkaari. Sisäänrakennettu akku kestää yleensä kolmesta neljään vuotta, minkä jälkeen asiakas joutuu vaihtamaan laitteen uuteen maksamalla noin 70 % sen alkuperäisestä hinnasta. Otetaan esimerkkinä lännessä suosittu OTP-tunnus RSA SecurID. Ratkaisun hinta 500 käyttäjälle, joka sisältää pääpalvelimen ja replikaattoripalvelimen, ohjelmistot ja henkilökohtaiset tunnisteet, on 76 tuhatta dollaria (yksi SecurID-tunnus maksaa 79 dollaria). Lisäksi, jälleenmyyjien mukaan, joudut käyttämään vuosittain vielä 6,6 tuhatta dollaria, joten ratkaisu maksaa yleensä 82,6 tuhatta dollaria, ja yhden OTP-tunnuksella varustetun työaseman hinta on vähintään 165. Nukke.
Otetaan vertailuksi toinen elektroninen avain kertaluonteisella salasanageneraattorilla - Aladdinin eToken NG-OTP. Tässä tapauksessa yhden työpaikan laskentakaavio on hieman erilainen: todennuspalvelimia ei tarvitse ostaa, riittää, että sinulla on Windows-palvelinversio, joka on nyt varustettu suurimmassa osassa paikallisia yritysverkkoja. Universaalin järjestelmän kaikkien todennusvälineiden (mukaan lukien eri tyypit) hallintaan yritystasolla (eToken TMS) hinta tulee olemaan noin 4 tuhatta dollaria (palvelinlisenssi), ja 500 tunnuksen kokonaishinta (yhden laitteen hinta on 67 dollaria) on 33,5 tuhatta dollaria. Lisätään tähän jokaisen tunnuksen käyttäjälisenssi: 24 dollaria - enintään 500 käyttäjää ja 19 dollaria - yli 500. Näin ollen yhden työaseman hinta, jossa on integroitu tiukka todennusjärjestelmä yhtä käyttöoikeutta käyttämällä. -aikasalasanat ovat 99 dollaria. ja 501 käyttäjän perusteella - 94 dollaria.
Tästäkin erosta huolimatta yhden työpaikan suojaamisen kustannukset "standardilla" eli ilman OTP:tä ovat huomattavasti alhaisemmat. Esimerkiksi samalle eToken PRO:lle, Aladdin-linjan suosituimmalle USB-tunnisteelle, jossa on sisäänrakennettu siru, yhden työaseman hinta samalla kaavalla laskettuna on vain 47 dollaria.
Siten Venäjän henkilökohtaisten tunnisteiden markkinat eroavat merkittävästi globaaleista ja koostuvat pääasiassa sisäänrakennetulla sirulla varustetuista USB-tunnisteista - niiden osuus markkinoista on noin 80-85%. Kuitenkin sisäänrakennetulla sirulla varustetut USB-tunnukset ovat nykyään tehokkain keino vahvaan todentamiseen. Näin ollen johtavien konsulttiyritysten, kuten IDC:n ja Gartnerin, analyytikot uskovat, että vuoteen 2008 mennessä suurin osa koko henkilötunnusmarkkinoista muodostuu USB-tunnisteista, joissa on sisäänrakennettu siru. Lisäksi Gartner nimesi sirupohjaiset USB-tokenit parhaaksi sijoitukseksi suojattuun tiedonkäyttöön vuonna 2005.
Aladdin-Russian sisäisten tietojen mukaan sisäänrakennetulla sirulla varustettujen USB-tokenien kotimarkkinoiden johtaja on venäläinen yritys Aladdin (70 %), jota seuraavat Rainbow Technologies (25 %) ja Aktiv (5 %). vakava viive (kuva 2).
Riisi. 2. Sisäänrakennetulla sirulla varustettujen USB-tunnisteiden Venäjän markkinoiden rakenne (
Kerron sinulle toisesta verkkoresurssien todennusmekanismista. Mekanismi on yksinkertainen, se perustuu sähköisen digitaalisen allekirjoituksen käyttöön, ja avainten tallentamiseen käytetään USB-tunnusta.
Aiemmissa artikkeleissa kuvattujen algoritmien päätehtävänä oli suojata salasana sieppaukselta ja tallentaa salaisuus (esimerkiksi salasanahaja) turvallisesti palvelintietokantaan. On kuitenkin olemassa toinen vakava uhka. Se on turvaton ympäristö, jossa käytämme salasanoja. Ohjelmisto- ja laitteistonäppäinloggerit, vakoiluohjelmat, jotka hallitsevat selaimen syöttölomakkeita, MitM-hyökkäys, joka hallitsee todennusprotokollan lisäksi myös sen html-sivun rakennetta, jolle salasana syötetään, ja jopa vain sinua vakoileva naapuri jota mikään salasanatodennusjärjestelmä ei voi vastustaa. Tämä ongelma ratkaistiin aikoinaan keksimällä monitekijätodennus. Sen ydin on, että onnistuneen todennuksen saavuttamiseksi sinun on tiedettävä salaisuus ja omistettava jokin esine (tapauksessamme USB-tunnus ja sen PIN-koodi).
Tätä tietoturvaohjelmistojen kehittäjät tarjoavat.
USB-tunnus- laitteisto, joka voi luoda avainparin ja suorittaa sähköisen digitaalisen allekirjoituksen, se vaatii PIN-koodin syöttämisen toimintojen suorittamiseksi. Digitaalisten allekirjoitusten luomisessa käytetään elliptisen käyrän salausta. Ei vaadi ajurin asennusta, tunnistetaan HID-laitteeksi.
Selainlaajennus- voi työskennellä USB-tokenin kanssa, siinä on ohjelmistoliitäntä salaustoimintojen käyttöön. Ei vaadi järjestelmänvalvojan oikeuksia asentamiseen.
Ehdotetut komponentit ovat eräänlainen konstruktori erilaisten salaustoimintojen upottamiseen web-sovelluksiin. Niiden avulla voit toteuttaa salaus-, todennus- ja digitaalisen allekirjoituksen toimintoja korkealla turvallisuustasolla.
Esimerkiksi todennusmalli voi näyttää tältä.
Rekisteröinti:
- Asiakas luo avainparin tunnukseen e,d;
- Julkinen avain e asiakas lähettää palvelimelle;
Todennus:
- Asiakas lähettää sisäänkirjautumisen palvelimelle;
- Palvelin luo RND ja lähettää sen asiakkaalle;
- Asiakas luo RND ja lähettää allekirjoitetun viestin palvelimelle ( RND-server||RND-client||Palvelimen nimi);
- Palvelin varmistaa digitaalisen allekirjoituksen aitouden käyttämällä asiakkaan julkista avainta;
Niille, jotka eivät luota "polkupyöriin" - google "ISO-julkisen avaimen kaksivaiheinen unilateral Authentication Protocol".
"Avaintodennus" on tapa todentaa palvelua käyttämällä avainparia. Tämä toiminto on vakiona joissakin palveluissa (esimerkiksi ssh:ssa), mutta se puuttuu suurimmasta osasta ohjelmia.
"Avaintodennus" on tapa todentaa palvelua käyttämällä avainparia. Tämä toiminto on vakiona joissakin palveluissa (esimerkiksi ssh:ssa), mutta se puuttuu suurimmasta osasta ohjelmia. Avaintodennusmenetelmä on kätevä, koska sinun ei tarvitse pitää mielessä monia (tai edes yhtä) pitkiä salasanoja, ja myös siksi, että etärekisteröinnin aikana ei siirry verkon yli tietoja, jotka voisivat vaarantaa tietyn palvelun.
Tässä artikkelissa käsitellään salasanatonta todennusmenetelmää käyttämällä USB-muistitikulla olevaa avainta. Itse avaimen todennusmekanismin tarjoaa PAM-moduuli pam_usb. Todennus pam_usb:n kautta voi toimia missä tahansa PAM-tuella käännetyssä palvelussa, esimerkiksi: login, xdm/kdm/gdm, su, sshd.
Voit ladata pam_usb:n uusimman version lähdekoodit sen kotisivulta pamusb.org (kirjoitushetkellä uusin versio oli 0.3.2). Tämän moduulin kääntäminen ja asentaminen on triviaalia:
$ tar -zxvf pam_usb-0.3.2.tar.gz $ cd pam_usb-0.3.2 $ make $ su - # make install
RPM-pohjaisissa jakeluissa on parasta löytää valmis RPM-paketti tällä moduulilla ja asentaa se vakiokierrosluvulla. Esimerkiksi SuSE 9.1 -jakelulle, johon pam_usb asennettiin ja määritettiin tätä artikkelia kirjoitettaessa, vastaava RPM-paketti voidaan ladata verkkosivustolta www.linux-administrator.com.
Jos asennusprosessi ei paljastanut virheitä, moduuli pam_usb.so ilmestyy hakemistoon /lib/security/, jonka nimi tulee jatkossa määrittää PAM-palvelumoduulien asetustiedostoissa.
Luettelo PAM:ia käyttävistä sovelluksista sijaitsee tiedostossa /etc/pam.d (vaikka joissakin jakeluissa PAM-moduulien konfiguraatio on tiedostossa /etc/pam.conf). Todennus pam_usb:n kautta voidaan määrittää kolmessa tilassa, jotka kuvataan alla esimerkkinä xdm-palvelulle (tämän palvelun PAM-moduulin määritystiedosto on /etc/pam.d/xdm):
1) jotta voit kirjautua sisään sekä liitetyn aseman kanssa että ilman, on ennen rivin todennusta vaadittava pam_unix2.so lisätä:
Riittävä valtuutus pam_usb.so check_device=-1 check_if_mounted=-1 force_device=/dev/sda fs=vfat
2) jotta voit kirjautua sisään vain liitetyllä asemalla, tarvitset rivitodennusta pam_unix2.so korvata vastaanottajalle:
3) jotta voit kirjautua sisään salasanalla ja samanaikaisesti liitetyn aseman kanssa, sinun on lisättävä auth-riville pam_unix2.so lisätä:
Todennus vaatii pam_usb.so check_device=-1 check_if_mounted=-1 force_device=/dev/sda fs=vfat
Huomautus: Joissakin jakeluissa, kuten Debianissa, on pam_unix.so moduulin pam_unix2.so sijaan. Huomautus 2: Parametrien "force_device" ja "fs" arvot on valittu esimerkkeinä, ja ne voivat siksi vaihdella tietyssä järjestelmässä. Jos et määritä niitä ollenkaan, todennus toimii, mutta /dev/sda* ja /dev/sdb* laitteita sekä ext2- ja vfat-tiedostojärjestelmiä kokeillaan vuorotellen, mikä luonnollisesti vie vähän pidempään.
Salasanattoman avaimen todennuksen mekanismi on melko yksinkertainen. Ensin luodaan pari DSA-avaimia: yksityinen ja julkinen. Yksityinen sijoitetaan USB-muistitikulle ja julkinen käyttäjän kotihakemistoon. Kun yrität rekisteröityä mihin tahansa palveluun käyttäjätilillä, tämän käyttäjän yksityinen avain mediasta ja julkinen avain kotihakemistosta luetaan. Julkista avainta käyttämällä luodaan satunnainen merkkijono, jonka salaus voidaan purkaa vain yksityisellä avaimella, joka on yhdistetty tähän julkiseen avaimeen. Vastaavasti, jos salauksen purkaminen onnistuu, yksityistä avainta pidetään voimassa ja todennusprosessi suoritetaan onnistuneesti. Muuten - "käänny pois portilta".
Pari DSA-todennusavaimia luodaan usbadm-apuohjelmalla, joka sisältyy pam_usb-pakettiin. Sen syntaksi on seuraava:
Usbadm
Jossa
Luodaksesi 2048 bitin pituisen DSA-avainparin fly4life-käyttäjälle, sinun on asennettava USB-muistitikku (tässä esimerkissä se on /dev/sda) ja käytettävä usbadm-apuohjelmaa keygen-avaimen kanssa:
# mount -t vfat /dev/sda /mnt # usbadm keygen /mnt fly4life 2048
Tällöin flash-asemaan luodaan hakemisto.auth/, johon luodaan yksityinen avain, ja julkinen avain luodaan samannimiseen alihakemistoon käyttäjän kotihakemistossa (~/.auth/). . Kun laite on irrotettu, USB-muistitikku on valmis käytettäväksi todennusprosesseissa.
Lopuksi totean, että levykkeitä ja CD-levyjä voidaan käyttää tallennusvälineinä yksityisten avainten tallentamiseen. PAM-moduulin asetuksiin tarvitsee lisätä vain vaihtoehdot !check_device, !check_if_mounted ja korvata force_device-parametrin arvo arvoilla /dev/fd0 ja /dev/cdrom. Esimerkiksi:
Riittävä valtuutus pam_usb.so !check_device !check_if_mounted force_device=/dev/fd0
