Подробный гайд: Параметр fail_interval в операционной системе Astra Linux

fail_interval в Astra Linux — параметр (секунды) для учета неудачных попыток входа. Используется в pam_faillock для защиты от подбора паролей.

2026.07.14                  


Подробный гайд: Параметр fail_interval в операционной системе Astra LinuxПодробный гайд: Параметр fail_interval в операционной системе Astra Linux Параметр fail_interval в операционной системе Astra Linux (как и в других дистрибутивах Linux) относится к механизмам защиты от подбора паролей (brute-force). Он настраивается в модулях PAM (Pluggable Authentication Modules), а именно в pam_faillock (в Astra Linux 1.7 и новее) или pam_tally2 (в Astra Linux 1.6 и старее).

Ниже представлен подробный гайд по тому, что это за параметр, как он работает и как его правильно настроить.


1. Что такое fail_interval и как он работает?

fail_interval — это временной интервал (в секундах), в течение которого система накапливает и учитывает неудачные попытки входа.

Логика работы:

Если между двумя неудачными попытками ввода пароля проходит больше времени, чем указано в fail_interval, счетчик неудачных попыток для этой сессии сбрасывается (или старые попытки перестают учитываться).


Пример:

Допустим, настроено: deny=5 (5 попыток до блокировки) и fail_interval=600 (10 минут).

  • Пользователь вводит неверный пароль в 10:00, 10:02, 10:04, 10:06 (4 неудачные попытки).
  • Если он сделает 5-ю попытку в 10:15 (через 15 минут), то попытка от 10:00 уже выпадет из 10-минутного окна (fail_interval). Счетчик учтет только 4 последние попытки, и блокировки не будет.
  • Если же он сделает 5-ю попытку в 10:09 (внутри 10-минутного окна), учётная запись будет заблокирована.

Это защищает от случайных опечаток, но эффективно останавливает автоматический подбор пароля.


2. Где и как настраивать fail_interval

Настройка зависит от версии вашей Astra Linux.

Вариант А: Astra Linux Special Edition 1.7.x и новее (используется pam_faillock)

В современных версиях Astra Linux используется модуль pam_faillock. Настройки можно задавать либо в отдельном конфигурационном файле, либо напрямую в PAM.


Способ 1: Через конфигурационный файл (Рекомендуется)

1. Откройте файл /etc/security/faillock.conf от имени root:

   sudo nano /etc/security/faillock.conf

2. Найдите и раскомментируйте (уберите #) параметр fail_interval, установив нужное значение в секундах:

   # Интервал учета попыток (например, 15 минут = 900 секунд)
   fail_interval = 900

   # Количество попыток до блокировки
   deny = 5

   # Время блокировки в секундах (например, 10 минут = 600 секунд)
   unlock_time = 600

Способ 2: Напрямую в PAM

Если файл faillock.conf не используется, параметры передаются в строках вызова модуля в файлах /etc/pam.d/common-auth и /etc/pam.d/common-account:

auth required pam_faillock.so preauth silent deny=5 unlock_time=600 fail_interval=900
auth [default=die] pam_faillock.so authfail deny=5 unlock_time=600 fail_interval=900
account required pam_faillock.so

Вариант Б: Astra Linux 1.6 и старее (используется pam_tally2)

В старых версиях используется модуль pam_tally2.

1. Откройте файл /etc/pam.d/common-auth:

   sudo nano /etc/pam.d/common-auth

2. Найдите строку с pam_tally2.so и добавьте/измените параметр fail_interval:

   auth required pam_tally2.so deny=5 unlock_time=600 fail_interval=900 onerr=fail

3. Настройка через графический интерфейс (ЦУБ)

Если вы работаете в графической среде Astra Linux, безопаснее и правильнее настраивать эти параметры через Центр управления безопасностью (ЦУБ / fly-admin-smc), чтобы не нарушить целостность политик безопасности.

  1. Откройте Центр управления безопасностью (Пуск -> Панель управления -> Центр управления безопасностью).
  2. Перейдите в раздел Политики паролей или Политики блокировки учетных записей (название может слегка отличаться в зависимости от релиза).
  3. Найдите настройки, связанные с блокировкой при неудачном входе.
4. Там будут поля для ввода:
  • Максимальное число неудачных попыток (соответствует deny).
  • Время блокировки (соответствует unlock_time).
  • Интервал учета попыток (соответствует fail_interval).
Внимание:

В ЦУБ это значение может вводиться в минутах или секундах, внимательно читайте подсказку рядом с полем!

5. Нажмите «Применить».

4. Важные сопутствующие параметры

Чтобы защита работала комплексно, fail_interval нужно настраивать в связке с другими параметрами:

  • deny (или max_deny) — количество неудачных попыток, после которого аккаунт блокируется. (Обычно 3-5).
  • unlock_time — время блокировки в секундах. Если поставить 0, аккаунт будет заблокирован навсегда, пока администратор не разблокирует его вручную.
  • even_deny_root — если добавить этот параметр, правило блокировки будет применяться и к суперпользователю root. Будьте крайне осторожны, включая эту опцию!
  • root_unlock_time — время блокировки specifically для root (если включен even_deny_root).

5. Как проверить счетчик и снять блокировку

Если учетная запись все же заблокировалась, вам нужно уметь управлять счетчиком.

Для Astra 1.7+ (pam_faillock):

* Посмотреть статус (кто заблокирован и сколько попыток):

  sudo faillock --user <имя_пользователя>

* Сбросить счетчик и разблокировать пользователя:

  sudo faillock --user <имя_пользователя> --reset

Для Astra 1.6 и старее (pam_tally2):

* Посмотреть статус:

  sudo pam_tally2 --user <имя_пользователя>

* Сбросить счетчик:

  sudo pam_tally2 --user <имя_пользователя> --reset

Критические предупреждения (Best Practices)

1. Не заблокируйте себя!

Перед изменением параметров PAM всегда оставляйте открытую сессию root в терминале (или подключайтесь по SSH параллельно с открытой локальной консолью). Если вы допустите ошибку в синтаксисе PAM, вы можете потерять доступ к системе.

2. Секунды, а не минуты!

Самая частая ошибка — указать fail_interval=15, думая, что это 15 минут. На самом деле это 15 секунд. Всегда переводите минуты в секунды (15 мин = 900 сек).

3. Службы без PAM.

Помните, что pam_faillock/pam_tally2 работают только для сервисов, использующих PAM (например, SSH, консольный вход, su, sudo). Если у вас настроен вход по SSH-ключам без запроса пароля, или используются специфические службы (например, FTP-сервер, не использующий PAM), этот параметр на них не повлияет.


Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.


Статью подготовил: Денис Аверко @Nymexis г. Омск

Комментарии

Загрузка...
Если комментарии не загружаются, можете попробовать отключить блокировщик рекламы для этого сайта