(2019-05-30 17:47:47 отредактировано microcat)

Требуется совет новичку по выбору устройства

Краткое описание проблемы:
В продаже имеются различные устройства Рутокен (USB-токены, смарт-карты и карт-ридеры для них) по различным ценам. Прошу перечислить все устройства, которые подходят для описываемого случая, чтобы можно было выбрать по удобству, стоимости.

Описание системы:
Имеется дистрибутив Gentoo ~amd64, установленный на компьютер без X-сервера, т.е. headless. Вход пользователя в систему осуществляется посредством ввода в консоли логина и пароля.

Требования к функциям (в порядке снижения приоритета):
1 - защита локального входа. Комментарий: невозможно войти в уже загруженную систему посредством ввода логина и пароля локального пользователя (root или другого), если не подключено устройство Рутокен.

2- поддержка LUKS. Комментарий: при включении системы запрашивается пароль от раздела crypto_LUKS, на котором расположена система. Если устройство Рутокен не подключено, то открыть системный раздел не получится.

3 - поддержка SSH. Комментарий: подключение к серверу не произойдет при наличии ключа SSH и пароля для него, если к подключающейся машине не подключено устройство Рутокен.

Другие варианты использования не интересуют.

P.S.: Наиболее доступным для меня является Рутокен ЭЦП 2.0 128КБ, Рутокен ЭЦП 2.0 micro 64КБ.

Благодарю.

Re: Требуется совет новичку по выбору устройства

Доброе утро, microcat.

Короткий ответ - берите любую из этих 2-х моделей. Для Linux лучше всего подходят как раз токены семейства Рутокен ЭЦП. Я также советую Рутокен ЭЦП PKI - эта модель на Ваших сценариях будет работать быстрее. Как я понял ГОСТ алгоритмы Вы использовать не будете.

Подробный ответ:
1. Аутентификация в Linux работает по средством PAM (Pluggable Authentication Modules). Они никак не зависят от X сервера. Система при необходимости выполнить аутентификацию зовет pam модуль (или несколько модулей по очереди) и получает от него результат аутентификации. Есть несколько pam модулей, которые поддерживают Рутокен. Устройства Рутокен реализуют двухфакторную аутентификацию, поэтому обычно не дополняют обычную, а заменяют ее. В этом случае для входа требуется только наличие токена и ввод PIN кода (логин и пароль не требуются). Вы можете настроить и свой вариант - но придется почитать документацию, мы описываем лишь стандартный вариант.

2. Некоторые наши пользователи используют LUKS для хранения ключей шифрования разделов. Но готовой инструкции по настройке такого сценария у нас нет. Для настройки поможет https://github.com/swoopla/smartcard-luks и https://wiki.ubuntu.com/SmartCardLUKSDiskEncryption

3. В случае с SSH на токен кладется ключ, для доступа. Для установки соединения необходимо вставить токен и ввести от него PIN-код.