🦔 ⛹🏻 🆒 不法侵入なし 🐕 👩🏿‍⚕️ 🛐

システムに入るためにユーザー名とパスワードを使用するという考えはいくぶん時代遅れだという考えがありましたか？ USBフラッシュドライブを1つのポケットに、電話をもう1つのポケットに入れ、キーを使用して設定された認証でSSHをコンピューターにインストールするのに、これらの紛らわしいパスワードを入力し続けるのはなぜですか？

パスワードとアカウントは、大型のメインフレーム、ヒッピー、アフガニスタンでの戦争、大型のアナログテープレコーダーの時代に発明されました。その最も技術的な要素はトランジスタでした。当時、メインフレームに入るためにパスワードを使用することは本当にクールに見えました。 sexheroやiamsupermanのような組み合わせを考え出し、自分を本当に誇りに思うかもしれません。
今日、パスワードは古風なだけでなく、ひどく不便なものに見えます。古いポンツーンの組み合わせはもはや機能しません。代わりに、覚えるのが非現実的であるだけでなく、最初に入力するのが難しい激しい文字セットを考え出す必要があります。私たちはXXI世紀に住んでおり、はるかにシンプルで高品質の認証メカニズムを提供する膨大な数のガジェットと技術ツールにアクセスできますが、パスワードを入力し続け、システムへの入力に失敗するたびにアパート全体を誓います。それを修正する時が来ました。
この記事では、パスワードを完全に取り除き、コンピューターを真に技術的なデバイスに変えて、USBフラッシュドライブを挿入するだけ、Webカメラを見る、またはテーブルに携帯電話を置くだけで入力する方法について説明します。

ハイテクキー

キーは、何でも保護する最も簡単で効果的な方法です。私たちは毎日キーを使用します。車のエンジンをオンにし、アパートに入り、引き出しとキャビネットのロックを解除します。キーは、紛失することを恐れない最新のプログラム可能なロックのおかげで、便利で簡単に製造できます。多くの場合、人類は鍵の代替を考え出そうとしましたが、すべての試みは失敗しました（アクセスドアにコンビネーションロックを使用するというアイデアがもたらしたものをすべて覚えています）。実績のあるこのような優れたテクノロジーを使用してコンピューターを保護してみませんか？
キーの最新のアナログは、USBフラッシュドライブです。通常USBフラッシュドライブを使用する目的に関係なく、そこから本格的なハイテクキーをいつでも作成できます。これにより、アパートのドアのロックを解除するのと同じくらい簡単にシステムに入ることができます。
これを行うにはいくつかの方法がありますが、最も簡単で最も普遍的な方法は、 pam_usb PAMモジュールを使用することです。これは、コンピューターに挿入された各USBフラッシュドライブを指定された要件に準拠しているかどうかを確認し、結果に応じて、ユーザーアカウントをロック解除またはブロックします
フラッシュドライブに保存されているパーティションテーブルや情報を変更する必要はありません。「正しい」フラッシュドライブ、そのシリアル番号、モデル、メーカー、およびフラッシュドライブのバックアップ領域に書き込まれ、認証が成功するたびに変化するランダムデータのセットを識別するため（誰かがフラッシュドライブをコピーした場合、攻撃者の前にログインできる）、データが変更され、そのコピーは機能しなくなります）。紛失した場合、パスワードを使用してログインし、pam_usbを新しいUSBフラッシュドライブにトランスコードする機会が常にあります。また、キーとして、さまざまなメモリカード（SD、MMC）およびその他のリムーバブルドライブを使用できます。
pam_usbの使用は非常に簡単です。完全なシステム構成は、5つのステップで構成されています。

1. libpam_usb.soライブラリとモジュール管理ユーティリティを配置します。

$ sudo apt-get install libpam-usb pamusb-tools

2.キーとして使用するUSBフラッシュドライブをUSBポートに挿入し、次のコマンドを実行します。

$ sudo pamusb-conf --add-device

そのため、pam_usbはフラッシュドライブに関するすべての必要な情報を収集し、データベースに追加して、2 KBのランダムデータを書き込みます。 Udiskは、システム内のフラッシュドライブの検索に使用されます（「名前」引数は、フラッシュドライブに任意の名前を付けるために使用され、デバイスファイルを示すためではありません）。したがって、このコマンドの実行中は他の外部ドライブを無効にすることが重要です。

3.次に、このフラッシュドライブが必要なアカウントに関連付けられていることをpam_usbに認識させます（パスはvasyaになります）。

$ sudo pamusb-conf --add-user vasya

4.フラッシュドライブが正しく識別されなかった場合、収集されたデータの正確性のチェックを開始します。または、他のドライブを切断するのを忘れて、必要なドライブの代わりに使用されました。

$ sudo pamusb-check vasya

5.正常なユーザー認証に必要なモジュールのリストにpam_usbを追加します。 Ubuntuおよびその他のDebianベースのディストリビューションは、/ etc / pam.d / common-authファイルを変更することによりこれを行います。その中に次の形式の行を見つける必要があります（異なる場合があります）： auth required pam_unix.so 。そして、その直前に次の行を追加します： auth sufficient pam_usb.so 。
そのため、ユーザーのログイン前に、pam_usbモジュールに制御を与える必要があることをPAMに通知します。pam_usbモジュールは、目的のフラッシュドライブの存在を確認し、この操作がパスワードの要求に失敗した場合にのみ行います。したがって、フラッシュドライブのみでユーザーを許可し、失敗した場合にアカウントを完全にブロックする場合は、「十分」という単語を「必須」という単語に置き換えます。
原則として、これはシステムが単純に動作するのに十分なはずです（ログアウトしてからログインして、これを確認してください）が、pamusb-agentデーモンを使用すると、pam_usbの機能をわずかに拡張できます。
pamusb-agentのタスクは、フラッシュドライブを取り外してコンピューターに固定するときに、ユーザーアカウントのロックとロック解除の作業を自動化することです。エージェントが機能するには、構成ファイル/etc/pamusb.confに次の行を追加する必要があります。

<user id="_">
<device>_</device>
...
<agent event="lock">gnome-screensaver-command --lock</agent>
<agent event="unlock">gnome-screensaver-command --deactivate</agent>
...</user>

これはGnomeのレシピです。他の環境でpamusb-agentを使用するには、gnome-screensaver-command --lockおよびgnome-screensaver-command --deactivateコマンドを変更する必要があります。
これで、pamusb-agentを実行してその機能を確認できます。

$ pamusb-agent

すべてが正常に機能する場合は、自動実行に追加できます。

$ cd ~/.config/autostart
$ ln -s /usr/bin/pamusb-agent pamusb-agent

指を走らせますか？

pam_usbモジュールは、カードリーダーを搭載したラップトップの保護方法として便利に使用されます。小さいSDカードを財布や内部ポケットに入れて、それが干渉する方法を心配することなくラップトップに挿入できます（USBフラッシュドライブの場合のように）。ただし、ラップトップに指紋スキャナーが既に装備されている場合、このアプローチはやや古風に見えます。
指紋スキャナー付きのラップトップは、多くのメーカーによって製造されています。原則として、類似の特性を持つ他のモデルよりもはるかに高価ではありませんが、指紋センサーはWindowsでのみ機能します。この欠点を解消するために、freedesktop.orgは、指紋認証用のオープンライブラリが開発されたフレームワーク内でfprintプロジェクトと、ユーザーのログインやその他のアカウント操作中にライブラリの機能を使用できる対応するPAMモジュールを立ち上げました。
現在、libfprintはどのディストリビューションにも含まれているため、任意のパッケージマネージャーを使用してインストールできます。

$ sudo apt-get install libfprint0 libpam-fprint fprint-demo

さらに、スキャナーは、グラフィカルインターフェイスを備えた特別なデモプログラムを使用して確認できます。

$ fprint_demo

すべてが正常に失敗せずに機能する場合、認証のセットアップを開始できます。これを行うには、pam_fprint_enrollプログラムを実行します。これにより、参照指紋キャストを作成し、所有者を識別するために使用できます。

# pam_fprint_enroll –enroll-finger 7

ここでの数字7は、右手の人差し指を意味します。 fprintシステムは、左から右に指を番号付けします。そのため、番号1は左手の小指を示し、10は右手の小指を示します。
キャストの準備ができたら、すべてのアプリケーションのPAMモジュールのスタックにpam_fprintモジュールを追加します。そのため、/ etc / pam.d / common-authファイルを開き、同じ行「auth required pam_unix.so」を見つけて、その前に直接行を追加します。 pam_fprintの読み込みを担当します： auth sufficient pam_fprint.so 。
次回のログイン時に、すべてが機能するはずです。

pam_usbおよびpam_fprintモジュールをPAMスタックに追加します

顔の記憶

人を互いに区別するのは指だけではありません。私たちは皆異なる顔を持っているので、システムはウェブカメラで撮影した顔ショットを使用してユーザーを識別できます。攻撃者はカメラに紙に印刷された通常の写真を見せることができますが、友人や知人に非常に強い印象を与えるため、これは特に安全ではありません。
Linuxディストリビューションには顔認識ツールが組み込まれていませんが、顔認識アルゴリズムを実装するライブラリ、認証用のPAMモジュール、参照画像を生成するアプリケーションを含むpam-face-authenticationというソフトウェアパッケージをインストールすることで追加できます。。
これらはすべてソースからコンパイルするか、Ubuntuのサードパーティのリポジトリからインストールできます。プロジェクトは未加工であり、パッケージはすべてのディストリビューション用に準備されていないため、両方のインストールオプションを検討します。したがって、ソースからのインストールには、すべての依存関係のコンパイラ、リンカー、およびヘッダーファイルを含むパッケージが必要です。 Ubuntu（および他のディストリビューター）では、1つのコマンドを実行してインストールできます。

$ sudo apt-get install build-essential cmake qt4-qmake libx11-dev libcv-dev libcvaux-dev libhighgui4 libhighgui-dev libqt4-dev libpam0g-dev

次に、プロジェクトページからソースをダウンロードして展開します。

$ cd
$ wget goo.gl/dpD1s
$ tar -xzf pam-face-authentication-0.3.tar.gz

Cmakeはアセンブリに使用されるため、ここではすべてが簡単です。

$ cd pam-face-authentication-0.3
$ cmake && make
$ sudo make install

Ubuntuに既にプリコンパイルされたパッケージをインストールするには、antonio.chiurazziリポジトリを使用できます。

$ sudo add-apt-repository ppa:antonio.chiurazzi/ppa
$ sudo apt-get update
$ sudo apt-get install pam-face-authentication

インストールが完了したら、チュートリアルを実行します。

$ qt-facetrainer

常に「キャプチャ」ボタンを押しながら、カメラの前で顔を向けます。システムがあらゆる角度から顔を認識することを学習できるように、少なくとも1ダースの写真を撮ることが重要です。異なる照明条件で写真を撮るのもいいでしょう。システムをテストすることを忘れないでください。
次に、pam_face_authentication.soモジュールを、ロードされたPAMモジュールのスタックに追加します。これを行うには、ファイル/etc/pam.d/gdmまたは/etc/pam.d/kdmを開き（KDEを使用する場合）、次の行を先頭に追加します： auth sufficient pam_face_authentication.so enableX /
/etc/pam.d/common-authファイルは、グラフィカルログインマネージャーだけでなく、標準コンソール/ bin / loginおよび/ bin / suでも使用されるため、変更する必要はありません。pam_faceはXにアクセスする必要があります。
また、新しいPAMモジュールのプロファイルを作成する必要があります。次の内容でファイル/ usr / share / pam-configs / face_authenticationを開きます（作成します）：

Name: Manually installed face_authentication profile
Default: yes
Priority: 900
Auth-Type: Primary
Auth:
[success=end default=ignore] pam_face_authentication.so enableX

そしてそれをアクティブにします：

$ sudo pam-auth-update --package face_authentication

電話キー

携帯電話は21世紀の象徴です。通話だけでなく、インターネットへのアクセス、ゲーム、音楽の鑑賞、ビデオの視聴、および請求書の支払いにも使用できるという事実に長い間慣れ親しんでいます。しかし、コンピュータシステムに入るためのキーとして使用できますか？
もちろんそうです。 USBフラッシュドライブと同様に、この電話機には多くの機能が備わっており、ユニークです。これらはすべて、最終的に同じ製造元とモデルの識別子、シリアル番号、MACアドレス、IMEIです。それらのいずれかを使用してデバイスとその所有者を一意に識別できますが、そのうちの1つ（BluetoothインターフェイスのMACアドレス）のみに焦点を当てます。
非常に古くて単純な電話でも、Bluetoothプロトコルをサポートしており、その結果、別のBluetoothアダプターを備えたデバイスを検索する要求に応じてネットワークに送信する一意のMACアドレスを持っています。最近のラップトップの多くは、そのようなアダプターを搭載しており、外部USBオプションには1ペニーかかるため、パスワードなしのワイヤレス認証を設定するには、ブルートゥースが理想的なオプションになります。私は部屋に入った-アクセスは開いていて出て行った-システムはロックされている。
電話を取り、Bluetoothをオンにして、他のデバイスから「見える」ようにします。コンピューターの前に座って、デバイス検索モードでhcitoolユーティリティ（bluez-utilsパッケージに含まれています）を実行します。

$ hcitool scan

デバイスの名前とそのMACアドレスを取得し、後者をクリップボードにコピーします。 libpam_blueパッケージ（またはpam_blue、asとして）をインストールします。

$ sudo apt-get install libpam_blue

構成ファイル/etc/security/bluesscan.confを作成し、次の内容を書き込みます。

#
general {
# ( 3 15)
timeout = 15;
}

#
mylogin = {
name = ;
bluemac = MAC- ;
}

ファイルを保存し、使い慣れた/etc/pam.d/common-auth構成を開き、「pam_unix.so」を含む行の前にauth sufficient pam_blue.so行を追加します。
システムに入るには、電話をラップトップの横に置き、名前を入力するだけで十分です。次に、制御がpam_blueモジュールに転送されます。このモジュールはネットワークをスキャンし、電話のMACアドレスを見つけてユーザーを入れます。それ以外の場合は、パスワードを入力する必要があります。

結論

Linuxで別の方法を使用してパスワードなしの認証を設定するのは非常に簡単です。これを行うには、経験豊富なオタクである必要はなく、コードを記述したり、セキュリティに関する深い知識を持っている必要はありません。すべてが数分で完了し、驚くほど効率的に機能します。これらの方法のほとんどは潜在的に安全ではなく、管理が容易であると言えますが、これを行う前に、通常のパスワードの安全性について考えてください。
部外者がアクセスできるマシンの安全性は純粋な神話です。標準のパスワード保護は簡単に回避できます。これを行うには非常に多くの方法があり、それらはすべて子供にも知られています。パスワードは、コンピューターに所有者がおり、招待されていないゲストを表示したくないという情報を伝える小さな記号です。この記事で説明されている方法を適用すると、システムの脆弱性は増しませんが、私たちの生活をより簡単で便利なものにすることができます。

GentooおよびMandrivaの/etc/pam.d/common-authファイルの類似物は/etc/pam.d/system-authという名前で、FreeBSDでは代わりに/etc/pam.d/systemを使用します。 ArchLinuxでは、アプリケーションごとにPAM-configsを個別に編集する必要があります。

侵入からマシンを保護する別の方法は、モバイルSSHクライアントを使用して/ etc / nologinファイルをリモートで作成することです。ロックを解除するには、ルートとしてログインし、このファイルを削除する必要があります。

ハッカーマガジン、 9月（09）152
Evgeny Zobnin（ execbit.ru ） 。

ハッカーを購読する

不法侵入なし