Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

Железный login: ломаем зубы грубой силе


Александр Похабов

В этой статье будут рассмотрены решения проблем аутентификации и хранения сертификатов и ключей с помощью hardware-ключей. В своей работе я использовал ОС GNU/Linux, рассматриваемый дистрибутив – Gentoo Linux. Тем, кто работает с другими дистрибутивами, использующих Pluggable Authentication Modules, не стоит расстраиваться, разница будет заметна лишь при установке необходимого ПО.

Предполагается, что мы имеем два хоста – рабочая станция и удаленный сервер под управлением ОС Linux. С сервером (назовем его «remote») работаем, используя sshd, на обоих хостах имеем привилегии суперпользователя.

Взглянем на проблемы, рассматриваемые в статье.

Проблема первая

Часто приходится сталкиваться с проблемой запоминания паролей, запрашиваемых /bin/login. Все знают, что пароли должны иметь минимальную длину в восемь символов и включать в себя символы верхнего и нижнего регистров, а также спецсимволы. Когда количество подконтрольных нам серверов и пользовательских учетных записей на них возрастает, удержать в памяти все пароли зачастую почти непосильная задача. Все принятые нормативные акты по использованию данных учетной записи запрещают записывать пароли на бумаге, сохранять их в файлах и так далее. Как же быть администратору, у которого десятки, а то и сотни серверов и на каждом время от времени приходится регистрироваться с разными учетными данными?

Проблема вторая

Например, мы используем GnuPG, публичный ключ доступен многим, secret key защищен паролем (pass phrase), но он является не более чем файлом на диске. Если этот файл похищен злоумышленником, он попытается подобрать верный pass phrase (brute force). Нет гарантии, что правильный пароль не будет найден в ближайшее время.

Электронные USB-ключи, такие как Aladdin eToken или Rainbow iKey, а также смарткарты решают эти проблемы. USB-ключ или смарткарту удобно держать при себе, нельзя просто получить доступ к хранящимся в них ключам и сертификатам, как в случае их хранения на жестком диске. Подбор PIN по словарю также обречен на провал, так как после трех (в моем примере) неудачных попыток PIN будет заблокирован.

Проект OpenSC основал Olaf Kirch. Он хотел написать библиотеку, предоставляющую структуру для написания драйверов устройств чтения смарткарт по принципу «все в одном», как для работы с устройствами, подключаемыми к последовательному порту, так и для USB-ключей.

К моменту написания данной статьи поддерживаются следующие устройства:

n  KOBIL KAAN Professional

n  Schlumberger e-gate

n  Aladdin eToken PRO

n  Eutron CryptoIdentity IT-SEC

n  Rainbow iKey 3000

Список поддерживаемого оборудования всегда можно посмотреть на веб-сайте проекта OpenSC – http://opensc.org.

Установка

Так как в моем примере рассматривается USB-token от Aladdin (Aladdin eToken PRO 32K), ядро должно быть собрано с поддержкой USB device filesystem.

# USE='usb pam' emerge opensc

Убедимся, что установлено все необходимое для последующей работы:

# qpkg -I -v | grep open

 

net-misc/openssh-3.8.1_p1-r1 *

dev-libs/openssl-0.9.7d-r1 *

dev-libs/opensc-0.8.1-r1 *

dev-libs/openct-0.5.0 *

 

# qpkg -I -v | grep hotplug

 

sys-apps/hotplug-base-20040401 *

sys-apps/hotplug-20040401 *

Копируем пример конфигурационного файла opensc.conf:

# cp /usr/share/opensc/opensc.conf.example /etc/opensc.conf

Сделаем openct и hotplug демонами, запускаемыми по умолчанию:

# rc-update add hotplug default

# rc-update add openct default

Запускаем их:

# rc

 

 * Starting input hotplugging...                  [ ok ]

 * Starting pci hotplugging...                        [ ok ]


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2023 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100