Аппаратная идентификация для входа в ОС GNU/Linux

Д. А. Скоринко, Россия, Москва, ОКБ САПР

ОС GNU/Linux в последнее время все больше привлекает внимание как база для построения защищенных систем. Принцип открытости исходных кодов операционной системы позволяет понимать сколь угодно детально механизмы работы всех подсистем, в том числе подсистем информационной безопасности, СЗИ от НСД, самостоятельно или с помощью Linux-сообщества исправлять критически ошибки и уязвимости, вырабатывать наиболее защищенные пути программных и аппаратных решений.

Программно - аппаратные решения входа в ОС GNU/Linux существуют давно. Например, проект OpenSC.org предоставляет интерфейс для работы со смарт - картами и USB - токенами. Используя стандартный механизм Подгружаемых Модулей Аутентификации (ПАМ) возможно использовать аппаратные решения для аутентификации пользователя при входе в систему, для идентификации же в этом случае используется имя пользователя.

До сих пор не выработано стандарта аппаратной идентификации пользователя при входе в ОС GNU/Linux. Во многом это связано с тесной интеграцией имени пользователя, как уникального идентификатора, с самой операционной системой.

В рамках проекта программно - аппаратного комплекса "АккордХ", разрабатываемого для UNIX - подобных ОС, в ОКБ САПР реализована система входа в ОС GNU/Linux, основанная на уникальных идентификаторах Dallas Touch Memory DS-199x, проверяемых средствами контроллеров Аккорд 4.5, Аккорд 5 и Аккорд 5mx и аутентификации по паролю. Система не привязана к какому-либо конкретному дистрибутиву GNU/Linux и не нарушает целостность ОС и ее системы безопасности при установке и удалении, являясь надстройкой над имеющейся системой защиты. Компоненты ОС не заменяются другими, вся настройка происходит на уровне системных конфигурационных файлов.

Разработанный комплекс состоит из нескольких частей:

1. Драйвер, собираемый на системе заказчика под конкретное ядро Linux c динамической библиотекой, обеспечивающий функционал контроллеров семейства Аккорд в ОС (в том числе функции аппаратного ДСЧ).
2. Программа входа в ОС, проверяющая Touch Memory идентификатор и пароль. Используется механизм системных паролей, MD5-хеш которых хранятся в файле /etc/shadow.
3. Демон журналирования, отмечающий такие события как начало и конец рабочей сессии пользователя, запуск и завершение работы ОС.
4. База данных соответствия Touch Memory идентификаторов пользователям в операционной системе.
5. Утилиты управления базой данных Touch Memory идентификаторов.

Разработанная система предназначена не только для использования Touch Memory идентификаторов и может быть применена также для идентификации с помощью разрабатываемого ОКБ САПР программно-аппаратного комплекса ШИПКА.

Так как это решение является только программным, его лучше использовать во взаимодействии с аппаратным комплексом Аккорд-АМДЗ, позволяющим контролировать целостность как программных частей комплекса, так и самой операционной системы.

Решение уже применяется заказчиками в различных проектах, ведущихся ОКБ САПР.

Автор: Скоринко Д. А.

Дата публикации: 01.01.2005

Библиографическая ссылка: Скоринко Д. А. Аппаратная идентификация для входа в ОС GNU/Linux // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005. С. 159.

---