Стираем данные при несанкционированное доступе - PAM Duress

PAM Duress: Новый уровень безопасности аутентификации

PAM Duress - это модуль Pluggable Authentication Module (PAM), который предназначен для создания альтернативных паролей, которые могут быть использованы для выполнения действий по очистке конфиденциальных данных, уведомления IT/Security персонала, закрытия чувствительных сетевых подключений и т.д., если пользователь вынужден дать пароль угрозе актора.

Основные функции

PAM Duress позволяет пользователям генерировать пароли “под давлением”, которые при использовании вместо обычного пароля выполняют произвольные скрипты. Эта функциональность может быть использована для того, чтобы кто-то, вынужденный дать пароль под давлением, мог предоставить пароль, который предоставляет доступ, но в фоновом режиме запускает скрипты для очистки конфиденциальных данных, закрытия подключений к другим сетям для ограничения бокового движения и/или для отправки уведомления или сигнала.

Прозрачность для угрожающего актора

Это прозрачно для лица, вынуждающего пользователя выдать пароль, поскольку пароль “под давлением” будет предоставлять аутентификацию и переходить к оболочке пользователя. Скрипты "под давлением" могут быть сгенерированы на индивидуальной основе пользователя или сгенерированы глобально.

Конфигурация

Конфигурация модуля duress разделена на две разные директории конфигурации. После установки вам потребуется вручную создать обе из них.

Актуально в первую очередь для персональных компьютеров, но можно и на серверах (не сработает при использовании ssh ключа)

Ссылка: https://github.com/nuvious/pam-duress

1. Установка

1.1. Зависимости (Ubuntu / Debian)

sudo apt-get install build-essential libpam0g-dev libssl-dev

1.2. Сборка

make
sudo make install
make clean
make uninstall # для удаления

1.3. Сборка для отладки

sudo make uninstall
make clean
make debug
sudo make install

2. Настройка

Здесь будут скрипты для локального пользователя

mkdir -p ~/.duress 

Здесь скрипты для системы

sudo mkdir -p /etc/duress.d

Заходим в конфиг:

nano /etc/pam.d/common-auth

в строке auth [success=1 default=ignore] pam_unix.so заменяем 1 на 2 и в следующей строке добавляем auth [success=1    default=ignore]    pam_duress.so

ЗАМЕТКА: Сценарии будут выполняться только с масками разрешений 500, 540 или 550

3. Тестирование

Создаём тестовую директорую для удаления:

sudo mkdir -p /TestDir

Создаём тестовый скрипт, удаляющий директорию /TestDir при вводе заданного пароля:

sudo echo '#!/bin/sh

Затем Enter

sudo rm -rf /TestDir' > /etc/duress.d/delete_dir.sh

Делаем его исполняемым:

sudo chmod 500 /etc/duress.d/delete_dir.sh

Подписываем и вводим нужный пароль 2 раза:

duress_sign /etc/duress.d/delete_dir.sh

Перелогиниваемся, вводим заданный пароль.

Вас должно пустить в систему, а директория должна быть удалена.

4. Логика: