Применение РАМ для обеспечения двухфакторной аутентификации через сервис Яндекс.ключ на ОС Альт

Размещено на http://www.allbest.ru/

ПРИМЕНЕНИЕ PAM ДЛЯ ОБЕСПЕЧЕНИЯ ДВУХФАКТОРНОЙ АУТЕНТИФИКАЦИИ ЧЕРЕЗ СЕРВИС ЯНДЕКС.КЛЮЧ НА ОС АЛЬТ

Яковец П.А. студент



Аннотация

Статья посвящена исследованию и реализации механизма двухфакторной аутентификации с использование библиотеки PAM с использованием сервиса Яндекс.ключ.

Ключевые слова: двухфакторная аутентификация, PAM, Linux, Яндекс.ключ, информационная безопасность, контроль доступа, автоматизированные системы, сетевые уязвимости.



Abstract

The article is devoted to the research and implementation of a two- factor authentication mechanism using the PAM library using the Yandex.key service

Keywords: two-factor authentication, PAM, Linux, Yandex.key, information security, access control, automated systems, network vulnerabilities.



Введение

В настоящее время важность обеспечения безопасности информационных систем особенно актуальна для отраслей, работающих с критически важными данными, такими как нефтегазовая промышленность [1]. В данном контексте двухфакторная аутентификация становится неотъемлемым элементом обеспечения надежности и защиты конфиденциальной информации в таких отраслях. Угрозы кибербезопасности, включая внутренние и внешние атаки, требуют применения высокотехнологичных методов защиты. Одним из таких эффективных средств является двухфакторная аутентификация, которая требует от пользователей системы предоставления двух различных форм идентификации для успешного входа в систему [2]. В данном контексте библиотека PAM (Pluggable Authentication Modules) предоставляет важный инструмент для управления процессом аутентификации, позволяя системным администраторам гибко настраивать политику безопасности.

PAM обобщает все API для служб аутентификации, предоставляя механизм настройки различных модулей аутентификации в системе. Это дает системному администратору возможность эффективно управлять способами аутентификации, включая добавление новых или изменение существующих конфигурационных файлов [3]. В данной статье фокус будет направлен на исследование и настройку двухфакторной аутентификации через конфигурационные файлы PAM с использованием сервиса Яндекс.ключ на операционной системе ОС Альт.



Основные функциональные возможности PAM

На рабочей станции ОС Альт, Pluggable Authentication Modules (PAM) предоставляет собой инструмент с гибкой модульной архитектурой для управления аутентификацией. Это позволяет сервисам не реализовывать свою систему аутентификации, а полагаться на общие модули PAM, доступные в системе [4].

Модульная структура PAM позволяет настраивать аутентификацию в зависимости от конкретных требований каждого сервиса. Он поддерживает различные функции, такие как проверка существования пользователя, проверка статуса учетной записи, управление сеансами и паролями.

Основным сценарием применения PAM является ситуация, когда пользователь пытается аутентифицироваться, например, в веб-приложении, которое в свою очередь вызывает PAM, передавая ему идентификатор пользователя и, возможно, пароль или другие данные. Затем PAM определяет, где и как нужно провести аутентификацию пользователя.

После аутентификации PAM возвращает данные приложению, а также принимает решение о доступе пользователя к ресурсам приложения на основе вводных. Важно отметить, что приложению не требуется реализовывать специфичные для каждой службы методы аутентификации, так как PAM берет эту задачу на себя [5].

В данной статье будет описана реализация механизма двухфакторной аутентификации через следующие конфигурационные файлы:

• login (/etc/pam.d/login). Этот файл используют для настройки правил входа в систему.

• system-auth-local-only (/etc/pam.d/system-auth). Еще один общий файл для определения локальных правил аутентификации, который представляет централизованный подход к настройке локальной аутентификации.

• chpasswd (/etc/pam.d/chpasswd). Файл passwd отвечает за аутентификацию при смене пароля пользователя командой chpasswd. Все изменения в этом файле будут влиять на процедуру смены пароля в конкретной ситуации.

• sshd (/etc/pam.d/sshd). Файл sshd определяет правила аутентификации для службы SSH. Изменения, осуществляемые в этом файле, влияют на процесс входа в систему по SSH.

Компоненты конфигурационных файлов PAM:

1. TYPE. Данный блок определяет тип службы. Все модули PAM обрабатываются как стеки, так как каждый из них используется для разных целей [6].

• auth Данный модуль отвечает за выбор метода, с помощью которого пользователь может провести аутентификацию. Этим методом может быть, например, пароль, как постоянный, так и одноразовый или биометрия, получаемая с помощью подходящего оборудования.

• account Данный модуль определяет формальную проверку того, действительна ли учетная запись пользователя в данный момент.

• password Данный модуль отвечает за соблюдение установленной парольной политики. Если требуется введение нового пароля по истечению определенного срока или пароль должен соответствовать некоторым ограничениям данные условия необходимо прописывать в данном модуле.

• session В данном модуле указываются действия, которые выполняются при успешной регистрации или должны быть выполнены успешно для корректной регистрации в системе. Здесь можно реализовать настройку домашнего каталога для пользователя, настройку переменных среды, значения umask и т.д.

2. CONTROL. В данном блоке выполняется управление поведением PAM модуля [6].

• required Модуль с этим флагом должен успешно обработан для успешной аутентификации. Если модуль сс данным флагом не проходит проверку, обрабатываются остальные модули с флагом required, и только после этого пользователь получает уведомление о неудачной попытке аутентификации

• requisite Данный флаг схож с предыдущим за одним существенным отличием, при неудачной попытке обработки модуля с данным флагом процесс аутентификации прерывается с выводом ошибки пользователю. В случае успеха обработки модули также обрабатываются последовательно.

• sufficient После успешной обработки модуля с флагом sufficient приложение или сервис, запросивший авторизацию, немедленно получает сообщение об успехе. Дальнейшая обработка модулей прекращается, при условии, что все предыдущие модули с флагом required выполнены успешно. Отказ модуля с флагом sufficient не влияет на последующие модули - они выполняются в обычном порядке.

• optional Успешная или неудачная обработка модуля с данным флагом не имеет прямого влияния на процесс аутентификации. Данный флаг полезен для модулей, в которых требуется лишь получение уведомления о результате.

• include При установке флага include файл, указанный в качестве аргумента, вставляется в последовательность обработки. Данный флаг полезен для интеграции настроек из общих конфигурационных файлов.

• substack Модуль с этим флагом подключает строки из другого конфигурационного файла, но только того же типа что и строка (например, строки с модулем auth)

3. MODULE_PATH. В данном блоке содержится полное имя файла из модуля PAM. Имя файла не требуется указывать явно, если он находится в директории по умолчанию /etc/pam.d [6].

4. MODULE_ARGS. Данный блок является опциональным и содержит разделенный пробелами список опций для управления модулем PAM, например, debug (для отладки) или nullok (позволяет использовать пустые пароли) [6].

Двухфакторная аутентификация через сервис Яндекс.ключ

Сервис Яндекс.ключ предоставляет возможность входить в сервисы Яндекса по qr-коду, одноразовому паролю или сразу с комбинацией одноразового и постоянного пароля. Для сторонних сервисов, которые могут запрашивать 6-значные и 8-значные коды компания Яндекс разработала возможность использования двухфакторной аутентификации через данный сервис [7].

Сервис Яндекс.ключ работает с использованием методов TOTP (Time- based One-Time Password Algorithm) и HOTP (HMAC-Based One-Time Password Algorithm). Основное преимущество метода TOTP над уже устаревшим способом получения кода из SMS является то, что для первого одноразовый пароль генерируется на стороне пользователя, а для второго на стороне сервера, который позже передает код пользователю. Именно поэтому при использовании TOTP необходимо обращать внимание на синхронизацию времени на устройстве, проходящем аутентификацию, и на устройстве, которое генерирует одноразовые пароли.

Оба алгоритма TOTP и HOTP реализуют одну задачу - генерацию одноразовых паролей, на основании входящего набора данных, их отличие заключается лишь в том, что при использовании алгоритма TOTP, вторым аргументом для генерации хеша будет служить время, а не счетчик как в алгоритме HOTP. Так как время доступно для отслеживания и серверу и устройству, создающему одноразовые пароли, в отличии от счетчика, становится возможным реализация двухфакторной аутентификации непосредственно на устройстве [8].

Для того, чтобы настроить двухфакторную аутентификацию на устройстве необходимо первоначально сгенерировать OTP-ключ, который часто представляет собой сканируемый qr-код для удобства пользователей. Для реализации данной задачи используется пакет libpam-google-authenticator исключительно для создания связки устройство-генератор паролей. Команда google-authenticator генерирует код локально на устройстве без обращения в сеть, соответственно конфиденциальные данные не передаются на сервера google, что означает полную защищенность пакета от доступа извне.

Настройка двухфакторной аутентификации с использованием конфигурационных файлов PAM для локальных сервисов

Перейдем к рассмотрению конфигурационного файла /etc/pam.d/login. В данном конфигурационном файле 10 модулей:

* Модуль pam_securetty отвечает за разрешение на вход в систему с правами root только тогда, когда пользователь входит в систему через терминал, который определен как «защищенный» (в /etc/securetty). Данный модуль также проверяет, что /etc/securetty является простым файлом и не доступен для записи всем пользователям системы. Этот модуль не влияет на пользователей без полномочий root [9].

• Модуль pam_lastlog отображает информацию о последнем входе в систему. Вместе с параметром nowtmp не обновляет файл /var/log/wtmp.

• Модуль pam_motd буквально расшифровывается как «message of the day» и позволяет произвести вывод на экран информационного сообщения.

• Модуль pam_mail обычно опционально сообщает о наличии у пользователя почты.

• Модуль pam_console предназначен для предоставления пользователям физической консоли. Он предоставляет два основных вида возможностей: права доступа к файлам и аутентификацию.

• Модуль pam_ck_connector регистрирует сеанс входа в систему с помощью общесистемного демона ConsoleKit. Демон ConsoleKit может принимать как tty, так и графические дисплеи, обычные параметры, установленные РАМ здесь^не всегда полезны [10].



Рис. 1 Конфигурационный файл /etc/pam.d/login

Цепочка взаимодействия модулей в файле login:

1. Сначала выполняется проверка консоли, с которой выполняется вход в систему. Пользователь может войти только с указанных в файле /etc/securetty консолей.

2. Далее следует интеграция общих правил аутентификации, управления учетной записью и паролем: Используются стандартные правила, определенные в файле /etc/pam.d/common-login, который в свою очередь использует правила для аутентификации из файла /etc/pam.d/system-auth.

3. После следуют настройки по управлению сеансом. Определяются действия при входе, такие как установка переменных среды.

4. Далее следуют опциональные действия, такие как регистрация событий и вывод информационных сообщений. Опциональная запись информации о последнем входе пользователя, отображение сообщения дня (MOTD), проверка почты, а также регистрация сеансов на консоли.

Конфигурационный файл /etc/pam.d/common-login представляет собой набор общих модулей настройки входа в систему.

• Модуль pam_nologin.so позволяет настроить запрет на вход любых пользователей не являющихся root, если файл /var/run/nologin существует.

• Модуль pam_time.so используется для настройки ограничения времени доступа у пользователей системы к сервисам. Все основные настройки данного модуля можно производить в файле /etc/security/time.conf.

* Модуль pam_loginuid.so устанавливает атрибут процесса loginuid для процесса, который успешно прошел аутентификацию. Данное действие необходимо для корректной проверки сервиса. Этот модуль обычно используют для сервисов, с помощью которых осуществляется вход в систему [11].

* Модуль pam_systemd.so регистрирует сеансы пользователей с помощью менеджера входа в систему systemd-logind.service [12].

Рис. 2 Конфигурационный файл common-login

Конфигурационный файл system-auth производит интеграцию настроек из двух файлов system-auth-local-only и system-auth-common.

Конфигурационный файл /etc/pam.d/system-auth-common представляет собой набор следующих модулей:

• Модуль pam_access.so обеспечивает управление входом в систему. Этот модуль часто используют для ограничения входа в систему конкретных пользователей через создание правил фильтрации. Ввиду того, что PAM имеет средства аутентификации по сети, то можно настроить не только кого можно пускать, но и откуда. По умолчанию все правила находятся в /etc/security/access.conf [13].

• Модуль pam_mktemp.so предоставляет пользователям индивидуальные временные каталоги /tmp/.private/$USER в рамках сессии [14].

* Модуль pam_limits.so позволяет индивидуально или для группы ограничить такие параметры, как размер core-файла, максимальный допустимый размер создаваемых файлов, максимальное количество открытых файлов, запущенных процессов и тому подобное [3].

Рис. 3 Конфигурационный файл system-auth-common

Настройка механизма двухфакторной аутентификации реализована в основном файле, отвечающим за настройку правил локального входа в систему - system-auth-local-only.

* Модуль pam_tcb.so реализует поддержку схемы управления теневыми паролями TCB для всех групп управления, определенных в PAM: authentication, account, session, и password [15].

• Модуль pam_passwdqc проверяет надежность пароля. Помимо проверки обычных паролей, он предлагает поддержку парольных фраз и может генерировать случайные пароли [16].

• Модуль pam_google_authenticator.so позволяет использовать аутентификацию через сервис Яндекс.ключ при локальном входе в систему.

Рис. 4 Конфигурационный файл system-auth-local-only

Стоит отметить, что данный конфигурационный файл влияет на всю локальную аутентификацию, поэтому для корректного функционирования системы у каждой учетной записи должна быть привязка к генератору одноразовых паролей через сервис Яндекс.ключ. Например, для входа в режим суперпользователя командой su после добавления настройки необходимо указывать не только постоянный пароль, но и одноразовый.

Рис. 5 Локальная двухфакторная аутентификация для пользователя pavel

Далее производится настройка конфигурации в файле /etc/pam.d/chpasswd. Команда chpasswd предоставляет функционал для изменения паролей одного или нескольких пользователей системы. Её работа аналогична команде passwd, но предоставляет возможность изменения паролей нескольких пользователей одновременно. Для выполнения chpasswd требуются привилегии суперпользователя, и она обеспечивает удобный способ эффективного управления паролями в многопользовательской среде.

Конфигурация файла /etc/pam.d/chpasswd:

• Модуль pam_permit представляет собой простейшую функцию, которая при любых вводных даст положительный результат. Его часто использую как замену отсутствия модуля у обрабатываемого сервиса.

• Модуль pam_userpass.so запрашивает пару пользователь-пароль, но при этом не выполняет никакой аутентификации. При запросе данной пары данный модуль сохраняет ее в стеке pam для дальнейшей аутентификации через pam_tcb [17].

* Конфигурационный файл system-auth-use_first_pass импортирует настройки из двух других конфигурационных файлов system-auth- use_first_pass-local-only и system-auth-common.

Конфигурационный файл system-auth-common был рассмотрен ранее, а файл system-auth-use_first_pass-local-only в свою очередь состоит из одного модуля pam_tcb.so, использующегося в двух сервисах: аутентификации и управления паролями.

Рис. 6 Конфигурационный файл chpasswd

Для того, чтобы реализовать использование механизма двухфакторной аутентификации при смене паролей пользователей командой chpasswd необходимо добавить в файл /etc/pam.d/chpasswd строку auth include system-auth, которая будет импортировать настройки из конфигурационного файла system-auth-local-only.

Рис. 7 Модифицированный конфигурационный файл chpasswd

Теперь при смене пароля командой chpasswd будут запрашиваться постоянный и одноразовый пароли для того, чтобы добиться более обдуманного подхода к безопасности учетных записей пользователей



Рис. 8 Двухфакторная аутентификация при использовании команды chpasswd

Настройка двухфакторной аутентификации с использованием конфигурационных файлов PAM для сетевых сервисов

двухфакторный аутентификация яндекс сервис

SSH (secure shell) - протокол, предназначенный для обеспечения защищенного удаленного подключения к компьютеру с целью выполнения команд в терминале. Для запуска процедуры подключения необходимо ввести команду ssh пользователь_для_подключения@имя_компьютера после этого ввести пароль пользователя. В базовой конфигурации для удаленного подключения по ssh требуется лишь ввод постоянного пароля пользователя. Для того, чтобы нейтрализовать данную уязвимость системные администраторы часто прибегают к помощи генераторов одноразовых паролей, которые позволяют обеспечить дополнительный уровень защиты системы [18].

Для того, чтобы двухфакторная аутентификация при удаленном подключении по ssh работала необходимо изменить параметр ChallengeResponseAuthentication в конфигурационном файле /etc/openssh/sshd_config с «no» на «yes». Данный параметр активирует аутентификацию типа вызов-ответ, при которой секретный ключ (в данном случае одноразовый пароль) не отправляется через сеть.

Для того, чтобы добавить возможность использования двухфакторной аутентификации при подключении удаленного устройства по ssh необходимо добавить в конфигурационный файл sshd строку: auth include common-login - закомментировав при этом две строки, которые отвечают за аутентификацию: auth required pamuserpass.so и auth include common-login-use_first_pass.

Рис. 9 Модифицированный конфигурационный файл sshd

После внесения всех изменений в файлы pam и /etc/openssh/sshd_config необходимо перезагрузить службу sshd.service командой systemctl restart sshd.service для применения всех совершенных изменений. После перезагрузки статус службы sshd должен измениться на active. Для тестирования был использован компьютер под управлением ОС Kali Linux с ip-адресом 10.0.2.8. Сервер ssh (ОС Альт 10.0.2.9) принял постоянный и одноразовый пароли и разрешил доступ к командной строке из-под учетной записи pavel. Произведенное успешное подключение по ssh к удаленному компьютеру с ip-адресом 10.0.2.9 и пользователем pavel, демонстрирует корректную настройку механизма двухфакторной аутентификации.

Рис. 10 Успешное подключение по ssh с использование двухфакторной аутентификации

Для обеспечения более надежной защиты подключения по ssh внесены настройки в конфигурационной файл /etc/openssh/sshd_config. Установлен порт 1480, на котором будет работать служба ssh, а также параметры аутентификации.

* Параметр LoginGraceTime отвечает за время, доступное пользователю для выполнения аутентификации (30s). По истечению данного времени аутентификация прекратиться.

• Параметр PermitRootLogin позволяет настроить запрет на подключение по ssh к суперпользователю (no).

• Параметр AllowUsers отвечает за настройку доступа подключения только к определенным пользователям (pavel)

• Параметр MaxAuthTries определяет доступное количество попыток подключения в созданной сессии (2) [19].

Данные настройки помогут обезопасить систему от брутфорс-атак и других попыток несанкционированного доступа к системе, так как сетевые протоколы чаще всего подвергаются атакам со стороны злоумышленников.

Рис. 11 Подключение по ssh с обновленными параметрами службы

Протокол ftp используется для передачи файлов в сети Интернет или в локальных сетях, однако спроектированный довольно долгое время назад, данный протокол сегодня совершенно не отвечает требованиям безопасности ввиду передачи команд открытым текстом [20]. Для обеспечения механизма двухфакторной аутентификации при использовании ftp можно использовать команду sftp, которая обеспечивает защищенное подключение через порт службы ssh. Ввиду того, что ранее были произведены настройки в конфигурационном файле sshd, никаких действий более производить не нужно.

Рис. 12 Успешное подключение по ftp Уязвимости актуальные для сетевых сервисов ssh и ftp

Уязвимости в сетевых сервисах, таких как SSH и FTP, могут быть использованы злоумышленниками для получения несанкционированного доступа, перехвата данных или выполнения атак на целевые системы. Эти уязвимости чаще всего возникают либо по причине использования устаревших версий программного обеспечения, либо связаны с ошибками при настройке и эксплуатации самого сервиса [21].

• CVE-2016-2183. Тип: разглашение информации. Описание: "sweet32" -- это уязвимость, касающаяся шифрования данных в различных протоколах, таких как TLS, SSH и IPSec. Уязвимость связана с использованием шифрования DES (Data Encryption Standard) и Triple DES (3DES). Эти шифры имеют ограничение, связанное с количеством блоков данных, которые они могут обработать безопасным образом [22]. Влияние: среднее.

• CVE-2017-15906. Тип: повышение привилегий. Описание: эта уязвимость связана с ошибкой в sftp-server, используемым в OpenSSH до версии 7.6. Проблема заключается в том, что функция process_open в файле sftp-server.c неправильно контролирует возможность записи (write operations) в режиме "только для чтения" (readonly mode). Это позволяет злоумышленникам создавать файлы нулевой длины (zero-length files) даже в случае, когда такое должно быть запрещено [23]. Влияние: среднее.

• CVE-2018-15473. Тип: разглашение информации. Описание: уязвимость в OpenSSH до версии 7.7 связана с возможностью осуществить идентификацию пользователей злоумышленниками (user enumeration). Эта проблема обусловлена отсутствием задержки в прекращении обработки запроса на аутентификацию для недопустимого пользователя до полного разбора пакета, содержащего этот запрос. Конкретные файлы кода, затронутые уязвимостью, включают auth2-gss.c, auth2-hostbased.c и auth2- pubkey.c [24]. Влияние: высокое.

• CVE-2016-10009. Тип: выполнение произвольного кода.

Описание: уязвимость в ssh-agent в OpenSSH до версии 7.4 связана с недостаточной проверкой путей поиска (untrusted search path vulnerability). Эта проблема возникает в части кода ssh-agent.c, отвечающей за конфигурацию агента, осуществляющего аутентификацию SSH. Атакующий может использовать уязвимость, при условии наличия возможности управлять агентом SSH и перенаправлять сокет агента (agent-socket) в свою систему [25].

Влияние: очень высокое.

• CVE-2016-10012. Тип: повышение привилегий. Описание: уязвимость в OpenSSH до версии 7.4 связана с менеджером общей памяти, который используется в процессе сжатия данных перед аутентификацией (preauthentication compression). Этот менеджер общей памяти, используемый внутри sshd, не обеспечивает корректную проверку границ массивов для всех компиляторов, поэтому, когда атакующий, являясь локальным пользователем, получил доступ к привилегированному процессу, который работает в изолированном окружении (sandboxed), манипулируя структурами данных m_zback и m_zlibможет, может повысить свои привилегии [26]. Влияние: высокое.

• CVE-2016-6515. Тип: отказ в обслуживании. Описание: уязвимость в OpenSSH до версии 7.3 связана с функцией auth_password, которая отвечает за обработку паролей при аутентификации по паролю (password authentication). Проблема заключается в том, что данная функция не ограничивает длину пароля, предоставленного для аутентификации. Атакующий может использовать эту уязвимость, предоставив очень длинную строку в качестве пароля в процессе аутентификации. Это может привести к отказу в обслуживании (denial of service) из-за чрезмерного использования вычислительных ресурсов для обработки длинного пароля [27]. Влияние: очень высокое.



Заключение

В данной статье были представлены настройки, реализующие механизм двухфакторной аутентификации в локальных и сетевых сервисах на операционной системе ОС Альт. Основное внимание уделено интеграции сервиса Яндекс.ключ с использованием пакета libpam-google-authenticator в рамках конфигурационных файлов Pluggable Authentication Modules (PAM).

Представленные настройки призваны обеспечить высокий уровень безопасности системы, предоставляя дополнительный слой защиты для критически важных сервисов. Это особенно актуально в контексте современных вызовов в области кибербезопасности, где злоумышленники часто применяют инструменты брутфорса и другие методы для проникновения в систему.

Интеграция сервиса Яндекс.ключ через libpam-google-authenticator представляется возможной для реализации двухфакторной аутентификации, что существенно повышает уровень защиты от потенциальных атак. Эти настройки не только повышают общую устойчивость системы к угрозам, но и служат практическим решением для обеспечения безопасности в условиях постоянно эволюционирующих киберугроз.



Библиографический список

1. Греков, В. С. Перспективы кибербезопасности в нефтегазовой отрасли / В. С. Греков, А. Г. Уймин // Губкинский университет в решении вопросов нефтегазовой отрасли России: Тезисы докладов VI Региональной научно-технической конференции, посвященной 100-летию М.М. Ивановой, Москва, 19-21 сентября 2022 года. Москва: Российский государственный университет нефти и газа (национальный исследовательский университет) имени И.М. Губкина, 2022. С. 1108-1109.

2. Brian Donohue Двухфакторная аутентификация: что это и зачем оно нужно? // АО «Лаборатория Касперского» [Электронный ресурс] URL: https://www.kaspersky.ru/blog/what_is_two_factor_authenticatio/4272/ (дата обращения: 11.01.2024).

3. Подключаемые Модули Аутентификации (PAM) // FreeBSD [Электронный ресурс] URL: https://docs.freebsd.org/ru/articles/pam/ (дата обращения: 03.01.2024).

4. Руководство администратора ЛКНВ.11100-01 90 01 // ООО «Базальт СПО», 2019 [Электронный ресурс] URL: https://www.basealt.ru/fileadmin/user_upload/8_sp_ruk_adm.pdf (дата обращения: 11.01.2024).

5. PAM // Gentoo Authors [Электронный ресурс] URL: https://wiki.gentoo.org/wiki/PAM/ru (дата обращения: 03.01.2024).

6. Авторизация с помощью PAM // Документация openSUSE [Электронный ресурс] URL: http://open-suse.ru/opensuse-doc/cha.pam.html (дата обращения: 03.01.2024).

7. Яндекс Ключ // Яндекс Справка [Электронный ресурс] URL: https://yandex.ru/ support/id/authorization/twofa.html (дата обращения:.

8. TOTP (Time-based one-time Password algorithm) // Habr [Электронный ресурс] URL: https://habr.com/ru/articles/534064/ (дата обращения: 03.01.2024).

9. pam_securetty // OpenNET Интерактивная система просмотра системных руководств [Электронный ресурс] URL: https://www.opennet.ru/man.shtml?topic=pam_securetty&category=8&russian=2 (дата обращения: 03.01.2024).

10. Как работает PAM (Pluggable Authentication Modules) // OpenNET Stanislav Ievlev [Электронный ресурс] URL: https://www.opennet.ru/base/dev/pam_linux.txt.html (дата обращения.

11. pam_loginuid // OpenNET Интерактивная система просмотра системных руководств [Электронный ресурс] URL: https://www.opennet.ru/man.shtml?topic=pam_loginuid&category=8&russian=2 (дата обращения: 03.01.2024).

12. Модуль PAM_SYSTEMD // freedesktop [Электронный ресурс] URL: https://www.freedesktop.org/software/systemd/man/latest/pam_systemd.html (дата обращения: 03.01.2024).

13. Ограничение использования консолей // ALT Linux Wiki [Электронный ресурс] URL: https://www.altlinux.org/%D0%9E%D0%B3%D1%80%D0%B0%D0%BD%D0% B8%D 1 %87%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B8%D 1 %81 %D0% BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0% BD%D0%B8%D 1 %8F_%D0%BA%D0%BE%D0%BD%D 1 %81 %D0%BE%D0 %BB%D0%B5%D0%B9 (дата обращения: 03.01.2024).

14. Модуль pam_mktemp // ALT Linux Wiki [Электронный ресурс] URL: https://www.altlinux.org/Pam_mktemp (дата обращения: 03.01.2024).

15. Модуль pam_tcb // OpenNET Интерактивная система просмотра системных руководств [Электронный ресурс] URL: https://www.opennet.ru/man.shtml?topic=pam_tcb&category=5&russian=0 (дата обращения: 03.01.2024).

16. pam_passwdqc // Linux man page [Электронный ресурс] URL: https://linux.die.net/man/8/pam_passwdqc (дата обращения: 03.01.2024).

17. Пакет pam_userpass: Информация // ОС Альт Team [Электронный ресурс] URL: https://packages.altlinux.org/ru/c10f1/srpms/pam_userpass/ (дата обращения: 03.01.2024).

18. Создание и настройка входа через ssh // ALT Linux Wiki [Электронный ресурс] URL: https://www.altlinux.org/SSH (дата обращения:.

19. Повышение безопасности ssh // FirstVDS [Электронный ресурс] URL: https://firstvds.ru/technology/povyshenie-bezopasnosti-ssh (дата обращения: 03.01.2024).

20. Служба FTP // ОС Альт 2.4 Master Справочник пользователя [Электронный ресурс] URL: http://ftp. altlinux.ru/pub/distributions/ALTLinux/2.4/Master/docs/ch06s 12.html (дата обращения: 03.01.2024).

21. Уязвимости периметра корпоративных сетей // Positive Technologies [Электронный ресурс] URL: https://www.ptsecurity.com/upload/corporate/m-m/analytics/vulnerabilities- corporate-networks-2020-rus.pdf (дата обращения: 12.01.2024).

22. CVE-2016-2183 // The MITRE Corporation [Электронный ресурс] URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183 (дата обращения: 12.01.2024).

23. CVE-2017-15906 // The MITRE Corporation [Электронный ресурс] URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15906 (дата обращения: 12.01.2024).

24. CVE-2018-15473 // The MITRE Corporation [Электронный ресурс] URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15473 (дата обращения: 12.01.2024).

25. CVE-2016-10009 // The MITRE Corporation [Электронный ресурс] URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10009 (дата обращения: 12.01.2024).

26. CVE-2016-10012 // The MITRE Corporation [Электронный ресурс] URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10012 (дата обращения: 12.01.2024).

27. CVE-2016-6515 // The MITRE Corporation [Электронный ресурс] URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6515 (датаобращения: 12.01.2024).

Размещено на Allbest.ru