Подробный гайд: Параметр fail_interval в операционной системе Astra Linux
Параметр fail_interval в операционной системе Astra Linux (как и в других дистрибутивах Linux) относится к механизмам защиты от подбора паролей (brute-force). Он настраивается в модулях PAM (Pluggable Authentication Modules), а именно в pam_faillock (в Astra Linux 1.7 и новее) или pam_tally2 (в Astra Linux 1.6 и старее).
Ниже представлен подробный гайд по тому, что это за параметр, как он работает и как его правильно настроить.
1. Что такое fail_interval и как он работает?
fail_interval — это временной интервал (в секундах), в течение которого система накапливает и учитывает неудачные попытки входа.
Логика работы:
Если между двумя неудачными попытками ввода пароля проходит больше времени, чем указано в fail_interval, счетчик неудачных попыток для этой сессии сбрасывается (или старые попытки перестают учитываться).
Пример:
Допустим, настроено: deny=5 (5 попыток до блокировки) и fail_interval=600 (10 минут).
- Пользователь вводит неверный пароль в 10:00, 10:02, 10:04, 10:06 (4 неудачные попытки).
- Если он сделает 5-ю попытку в 10:15 (через 15 минут), то попытка от 10:00 уже выпадет из 10-минутного окна (
fail_interval). Счетчик учтет только 4 последние попытки, и блокировки не будет. - Если же он сделает 5-ю попытку в 10:09 (внутри 10-минутного окна), учётная запись будет заблокирована.
Это защищает от случайных опечаток, но эффективно останавливает автоматический подбор пароля.
2. Где и как настраивать fail_interval
Настройка зависит от версии вашей Astra Linux.
Вариант А: Astra Linux Special Edition 1.7.x и новее (используется pam_faillock)
В современных версиях Astra Linux используется модуль pam_faillock. Настройки можно задавать либо в отдельном конфигурационном файле, либо напрямую в PAM.
Способ 1: Через конфигурационный файл (Рекомендуется)
1. Откройте файл /etc/security/faillock.conf от имени root:
sudo nano /etc/security/faillock.conf
2. Найдите и раскомментируйте (уберите #) параметр fail_interval, установив нужное значение в секундах:
# Интервал учета попыток (например, 15 минут = 900 секунд)
fail_interval = 900
# Количество попыток до блокировки
deny = 5
# Время блокировки в секундах (например, 10 минут = 600 секунд)
unlock_time = 600
Способ 2: Напрямую в PAM
Если файл faillock.conf не используется, параметры передаются в строках вызова модуля в файлах /etc/pam.d/common-auth и /etc/pam.d/common-account:
auth required pam_faillock.so preauth silent deny=5 unlock_time=600 fail_interval=900
auth [default=die] pam_faillock.so authfail deny=5 unlock_time=600 fail_interval=900
account required pam_faillock.so
Вариант Б: Astra Linux 1.6 и старее (используется pam_tally2)
В старых версиях используется модуль pam_tally2.
1. Откройте файл /etc/pam.d/common-auth:
sudo nano /etc/pam.d/common-auth
2. Найдите строку с pam_tally2.so и добавьте/измените параметр fail_interval:
auth required pam_tally2.so deny=5 unlock_time=600 fail_interval=900 onerr=fail
3. Настройка через графический интерфейс (ЦУБ)
Если вы работаете в графической среде Astra Linux, безопаснее и правильнее настраивать эти параметры через Центр управления безопасностью (ЦУБ / fly-admin-smc), чтобы не нарушить целостность политик безопасности.
- Откройте Центр управления безопасностью (Пуск -> Панель управления -> Центр управления безопасностью).
- Перейдите в раздел Политики паролей или Политики блокировки учетных записей (название может слегка отличаться в зависимости от релиза).
- Найдите настройки, связанные с блокировкой при неудачном входе.
4. Там будут поля для ввода:
- Максимальное число неудачных попыток (соответствует
deny). - Время блокировки (соответствует
unlock_time). - Интервал учета попыток (соответствует
fail_interval).
Внимание:
В ЦУБ это значение может вводиться в минутах или секундах, внимательно читайте подсказку рядом с полем!
5. Нажмите «Применить».
4. Важные сопутствующие параметры
Чтобы защита работала комплексно, fail_interval нужно настраивать в связке с другими параметрами:
deny(илиmax_deny) — количество неудачных попыток, после которого аккаунт блокируется. (Обычно 3-5).unlock_time— время блокировки в секундах. Если поставить0, аккаунт будет заблокирован навсегда, пока администратор не разблокирует его вручную.even_deny_root— если добавить этот параметр, правило блокировки будет применяться и к суперпользователюroot. Будьте крайне осторожны, включая эту опцию!root_unlock_time— время блокировки specifically для root (если включенeven_deny_root).
5. Как проверить счетчик и снять блокировку
Если учетная запись все же заблокировалась, вам нужно уметь управлять счетчиком.
Для Astra 1.7+ (pam_faillock):
* Посмотреть статус (кто заблокирован и сколько попыток):
sudo faillock --user <имя_пользователя>
* Сбросить счетчик и разблокировать пользователя:
sudo faillock --user <имя_пользователя> --reset
Для Astra 1.6 и старее (pam_tally2):
* Посмотреть статус:
sudo pam_tally2 --user <имя_пользователя>
* Сбросить счетчик:
sudo pam_tally2 --user <имя_пользователя> --reset
Критические предупреждения (Best Practices)
1. Не заблокируйте себя!
Перед изменением параметров PAM всегда оставляйте открытую сессию root в терминале (или подключайтесь по SSH параллельно с открытой локальной консолью). Если вы допустите ошибку в синтаксисе PAM, вы можете потерять доступ к системе.
2. Секунды, а не минуты!
Самая частая ошибка — указать fail_interval=15, думая, что это 15 минут. На самом деле это 15 секунд. Всегда переводите минуты в секунды (15 мин = 900 сек).
3. Службы без PAM.
Помните, что pam_faillock/pam_tally2 работают только для сервисов, использующих PAM (например, SSH, консольный вход, su, sudo). Если у вас настроен вход по SSH-ключам без запроса пароля, или используются специфические службы (например, FTP-сервер, не использующий PAM), этот параметр на них не повлияет.
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.