- Драйверы для *nix
- Драйвер Рутокен S для GNU/Linux RPM 32-bit (x86)
- Драйвер Рутокен S для GNU/Linux RPM 64-bit (x64)
- Драйвер Рутокен S для GNU/Linux DEB 32-bit (x86)
- Драйвер Рутокен S для GNU/Linux DEB 64-bit (x64)
- Драйвер Рутокен S для архитектуры MIPS (Байкал)
- Драйвер Рутокен S для GNU/Linux DEB ARM-64 (Байкал-М)
- Утилита администрирования Рутокен
- Astra linux rutoken lite
- 1 Доустанавливаем необходимые пакеты с диска
- 2 Добавляем библиотеку librtpkcs11ecp.so
- 3 Проверяем что Рутокен ЭЦП работает в системе
- 4 Считываем сертификат
- 4.1 Создаем самоподписанный сертификат
- 5 Регистрируем сертификат в системе
- 6 Настраиваем аутентификацию
- 7 Проверка
- 8 Блокировка компьютера при извлечении токена
- ОС Astra Linux 1.7 и Рутокен ЭЦП 3.0 3220 — новый уровень защиты доступа к данным
- Павел Анфимов
- Дмитрий Тараканов
- Astra Linux Common Edition и Special Edition
- +
- +
- +
- + /- (только RSA)
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- Полезные руководства
- ALT Linux
- +
- +
- + /- (только RSA)
- +
- +
- +
- +
- +
- +
- ROSA Linux
- +
- +
- + /- (только RSA)
- +
- +
- +
- +
- +
Драйверы для *nix
С инструкциями и техническими рекомендациями по использованию продуктов и программного обеспечения Рутокен можно ознакомиться в разделе Документация .
Для работы электронных идентификаторов Рутокен в deb-based системе должны быть установлены: библиотека libccid не ниже 1.4.2, пакеты pcscd и libpcsclite1.
Для работы в RPM-based системе должны быть установлены: пакеты ccid, pcscd и pcsc-lite.
Драйверы для Рутокен ЭЦП в современных операционных системах GNU\Linux не требуются (версия libccid не ниже 1.4.2). Пользователям стабильных или устаревших дистрибутивов может потребоваться внести изменения в конфигурационный файл.
Драйверы для Рутокен Lite в современных операционных системах GNU\Linux не требуются (версия libccid не ниже 1.4.2). Пользователям стабильных или устаревших дистрибутивов может потребоваться внести изменения в конфигурационный файл.
Необходимо загрузить установочный скрипт, запустить его и следовать указаниям установщика. После завершения процесса установки необходимо подключить Рутокен S в свободный USB-порт.
Обратите внимание
Если для работы с Рутокен используется виртуальная ОС MS Windows, запущенная на компьютере c GNU/Linux, то устанавливать Драйверы Рутокен для Linux необязательно.
Драйвер Рутокен S для GNU/Linux также доступен в исходных кодах, которые можно загрузить здесь .
Драйвер Рутокен S для GNU/Linux RPM 32-bit (x86)
Версия: 1.0.4 от 11.02.2014 Поддерживаемые ОС: 32-разрядные Fedora/RedHat/Centos/AltLinux/Rosa/РЕД ОС
Драйвер Рутокен S для GNU/Linux RPM 64-bit (x64)
Версия: 1.0.4 от 11.02.2014 Поддерживаемые ОС: 64-разрядные Fedora/RedHat/Centos/AltLinux/Rosa/РЕД ОС
Драйвер Рутокен S для GNU/Linux DEB 32-bit (x86)
Драйвер Рутокен S для GNU/Linux DEB 64-bit (x64)
Драйвер Рутокен S для архитектуры MIPS (Байкал)
Драйвер Рутокен S для GNU/Linux DEB ARM-64 (Байкал-М)
Утилита администрирования Рутокен
Версия: 2.4 от 22.06.2022 Утилита rtAdmin предназначена для автоматизации процедур форматирования и администрирования Рутокен: смены метки токена, PIN-кодов и их параметров. Более подробная информация на Портале документации Рутокен .
Инструкции
Astra linux rutoken lite
В результате в окне Терминала отобразится название модели USB-токена:
Убедитесь, что используете: Aktiv Rutoken ECP
1 Доустанавливаем необходимые пакеты с диска
Пуск — Настройки — Менеджер пакетов
через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты:
- libccid
- pcscd
- libpam-p11
- libpam-pkcs11
- libp11-2
- libengine-pkcs11-openssl
- opensc
В Astra Linux SE 1.6 pkcs11 libengine-pkcs11-openssl версии 1.0.2 не совместим с библиотекой librtpkcs11ecp.so. Для корректного функционирования, следует скачать и установить п одписанный пакет libengine-pkcs11-openssl1.1 версии 0.4.4-4 для Смоленска 1.6:
2 Добавляем библиотеку librtpkcs11ecp.so
Загружаем библиотеку через браузер.
Для 64-битной системы используйте ссылку:
Для 32-битной системы используйте ссылку:
Пуск — Утилиты — Терминал Fly
Для 64-битной системы используйте:
$ wget --no-check-certificate https://download.rutoken.ru/Rutoken/PKCS11Lib/Current/Linux/x64/librtpkcs11ecp.so
Для 32-битной системы используйте:
$ wget --no-check-certificate https://download.rutoken.ru/Rutoken/PKCS11Lib/Current/Linux/x32/librtpkcs11ecp.so
Копируем в системную папку.
Для 32- и 64-битной системы используйте:
$ sudo cp librtpkcs11ecp.so /usr/lib $ sudo chmod 644 /usr/lib/librtpkcs11ecp.so
3 Проверяем что Рутокен ЭЦП работает в системе
Пуск — утилиты — Терминал Fly
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
В случае если увидите вот такую строку, значит все хорошо.
4 Считываем сертификат
Проверяем что на устройстве есть сертификат
Пуск — утилиты — Терминал Fly
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
Using slot 0 with a present token (0x0)
нет ничего, значит устройство пустое. Обратитесь к администратору или создайте ключи и сертификат самостоятельно следуя пункту 4.1
Using slot 0 with a present token (0x0)
выводится информация о ключах и сертификатах то необходимо считать сертификат
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id > cert.crt
вместо нужно подставить ID который вы увидите в выводе команды
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
В случае, если файл cert.crt создан переходим к пункту 5
4.1 Создаем самоподписанный сертификат
Пуск — утилиты — Терминал Fly
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
создаем самоподписанный сертификат
$ openssl OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.crt -outform DER
загружаем сертификат на устройство
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45
5 Регистрируем сертификат в системе
Пуск — утилиты — Терминал Fly
Конвертируем сертификат в текстовый формат
OpenSSL> x509 -in cert.crt -out cert.pem -inform DER -outform PEM
$ mkdir ~/.eid $ chmod 0755 ~/.eid $ cat cert.pem >> ~/.eid/authorized_certificates $ chmod 0644 ~/.eid/authorized_certificates
6 Настраиваем аутентификацию
Пуск — утилиты — Терминал Fly
$ sudo nano /usr/share/pam-configs/p11
записываем в файл следующую информацию
Name: Pam_p11 Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient pam_p11_opensc.so /usr/lib/librtpkcs11ecp.so
в появившемся окне ставим галку в Pam_p11 и нажимаем OK
7 Проверка
Пуск — утилиты — Терминал Fly
введите имя пользователя и в случае если система потребует PIN-код от устройства значит все настроено правильно
8 Блокировка компьютера при извлечении токена
В состав пакета libpam-pkcs11 входит утилита pkcs11_eventmgr, которая позволяет выполнять различные действия при возникновении событий PKCS#11.
Для настройки pkcs11_eventmgr служит файл конфигурации — /etc/pam_pkcs11/pkcs11_eventmgr.conf
Пример файла конфигурации представлен ниже:
pkcs11_eventmgr < # Запуск в бэкграунде daemon = true; # Настройка сообщений отладки debug = false; # Время опроса в секундах polling_time = 1; # Установка тайм-аута на удаление карты # По-умолчанию 0 expire_time = 0; # Выбор pkcs11 библиотеки для работы с Рутокен pkcs11_module = /usr/lib/librtpkcs11ecp.so; # Действия с картой # Карта вставлена: event card_insert < # Оставляем значения по умолчанию (ничего не происходит) on_error = ignore ; action = "/bin/false"; ># Карта извлечена event card_remove < on_error = ignore; # Вызываем функцию блокировки экрана action = "fly-wmfunc FLYWM_LOCK"; ># Карта долгое время извлечена event expire_time < # Оставляем значения по умолчанию (ничего не происходит) on_error = ignore; action = "/bin/false"; >>
После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузитесь.
ОС Astra Linux 1.7 и Рутокен ЭЦП 3.0 3220 — новый уровень защиты доступа к данным
ГК «Астра» и российский производитель и разработчик программно-аппаратных средств криптографической защиты информации (СКЗИ) Компания «Актив» сообщают об официальной сертификации USB-токена Рутокен ЭЦП 3.0 3220 в рамках программы технологической кооперации ИТ-производителей Ready For Astra Linux.
Для конечных пользователей это означает, что серия всесторонних испытаний работоспособности устройства в среде защищенной ОС Astra Linux Special Edition 1.7 завершилась успешно, и эксперты вендора на практике убедились, что все составляющие программно-аппаратного стека, включая интегрированные в платформу СЗИ, работают корректно, и их функционал доступен в полном объеме.
Активный ключевой носитель Рутокен ЭЦП 3.0 3220 представляет собой полнофункциональное СКЗИ, сертифицированное ФСТЭК и ФСБ России. Производитель выделяет эту модель как самую скоростную в актуальной флагманской линейке токенов и смарт-карт для электронной подписи и двухфакторной аутентификации Рутокен ЭЦП 3.0. Такие устройства невозможно клонировать: закрытые ключи, которые используются для входа в информационную систему или подписания документов, защищены на аппаратном уровне и не покидают криптоядро устройства.
Использование Рутокен ЭЦП 3.0 3220 в связке с ОС Astra Linux 1.7 обеспечивает защищенный доступ к множеству жизненно важных компонентов инфраструктуры организации: ОС, системе электронного документооборота, а также к системам управления ключами и цифровыми сертификатами. Интеллектуальные криптографическими устройства Рутокен обеспечивают строгую двухфакторную аутентификацию при входе в ОС, подходят для безопасного хранения ключей электронной подписи, а их применение вместе со встроенными в операционную систему сертифицированными СЗИ позволяет достичь максимального уровня ИТ-безопасности.
Павел Анфимов
Руководитель отдела продуктов и интеграций Рутокен, Актив
Быстрые темпы импортозамещения значительно сблизили российских производителей. Продуктовый стек, состоящий из устройств Рутокен и ОС Astra Linux, отвечает высоким требованиям безопасности и позволяет качественно повысить уровень защищенности ИТ-систем и данных пользователей, работающих с информацией ограниченного доступа.
Дмитрий Тараканов
Руководитель департамента развития технологического сотрудничества, ГК «Астра»
Сейчас мы постоянно имеем дело с появлением новых киберугроз, утечкой информации и т. д., поэтому теперь организациям, особенно работающим с разного рода конфиденциальными сведениями, необходимо направлять значительные ресурсы на обеспечение должного уровня ИТ-безопасности. Эффективно решить эту задачу, защитив ИТ-инфраструктуру и данные сразу и на программном, и на аппаратном уровнях, позволяет комплексное решение: связка ОС Astra Linux с сертифицированными СЗИ и Рутокен ЭЦП 3.0 3220.
Мы удостоверились, что компоненты этого технологического стека полностью совместимы, и можем с уверенностью гарантировать его корректную и стабильную работу.
Astra Linux Common Edition и Special Edition
Совместимость подтверждается участием в программе Ready for Astra Linux и дополнительными сертификатами совместимости.
Локальная аутентификация
по ГОСТ или RSA
Доменная аутентификация Kerberos по ГОСТ и RSA
Работа через Рутокен Плагин
Совместимость с КриптоПро CSP и VipNet CSP
+
+
+
+ /- (только RSA)
+
Семейство Рутокен ЭЦП 2.0 (2100 / Flash / 3000)
+
+
+
+
+
+
+
+
+
+
Рутокен S *
+
+
+
* Рутокен S не поддерживается на платформах Эльбрус
Обнаружение в системе
Работа со смарт-картами стандарта ISO 7816-3, Class A, B, C (5V, 3V, 1.8V)
Считыватель смарт-карт Рутокен SCR 3001
+
+
Протестированные релизы
ОС СН “ASTRA LINUX SPECIAL EDITION” РУСБ.10015-01 (ОЧЕРЕДНОЕ ОБНОВЛЕНИЕ 1.6) — X86-64
ОС СН “ASTRA LINUX COMMON EDITION” (ОЧЕРЕДНОЕ ОБНОВЛЕНИЕ 1,10, 1.11, 2.12) — X86-64
ОС СН “ASTRA LINUX SPECIAL EDITION” РУСБ.10015-01 (ОЧЕРЕДНОЕ ОБНОВЛЕНИЕ 1.7) — X86-64
ОС СН “ASTRA LINUX SPECIAL EDITION” РУСБ.10152-02 (ОЧЕРЕДНОЕ ОБНОВЛЕНИЕ 4.7) — ARM, БАЙКАЛ-М
ОС СН “ASTRA LINUX SPECIAL EDITION” РУСБ.10265-01 (ОЧЕРЕДНОЕ ОБНОВЛЕНИЕ 8.1) — ЭЛЬБРУС
Полезные руководства
Двухфакторная аутентификация
Работа с КриптоПро CSP
Начало работы
Режим ЗПС
ALT Linux
Совместимость подтверждается компанией «Базальт СПО» в дистрибутивах ALT 8 СП и ALT 9/10 и дополнительными сертификатами совместимости.
Локальная аутентификация
по ГОСТ или RSA
Доменная аутентификация Kerberos по RSA
Работа через Рутокен Плагин
Совместимость с КриптоПро CSP и VipNet CSP
+
+
+ /- (только RSA)
+
Семейство Рутокен ЭЦП 2.0 / 3.0
+
+
+
+
Рутокен S * / Рутокен Lite
+
* Рутокен S не поддерживается на платформах Эльбрус и Таволга
Протестированные релизы
ALT 8 (СП) И 9/10 — X86-64 ALT 8 (СП) И 9/10, К 9 — ЭЛЬБРУС ALT 8 (СП) И 9/10, К 9 — ARM, БАЙКАЛ-М ALT 8 (СП) И 9/10, К 9 — ТАВОЛГА
Полезные руководства
ROSA Linux
Совместимость подтверждается двусторонними сертификатами совместимости.
Локальная аутентификация
по ГОСТ или RSA
Доменная аутентификация Kerberos по RSA
Работа через Рутокен Плагин
Совместимость с КриптоПро CSP и VipNet CSP
+
+
+ /- (только RSA)
+
Семейство Рутокен ЭЦП 2.0 / 3.0