Подробный гайд: Политика паролей в Astra Linux Special Edition

Настройка политики паролей в Astra Linux: сложность, сроки действия, блокировка. Руководство для системных администраторов по защите учётных записей.

2026.05.20                  

Подробный гайд: Политика паролей в Astra Linux Special EditionПодробный гайд: Политика паролей в Astra Linux Special Edition

Важно:

Руководство основано на официальной документации. Актуально для версий: обновлений 1.4–1.7.

Базовые требования к политике паролей

Согласно требованиям безопасности, для учётных записей пользователей необходимо задать следующие параметры:

Параметр Рекомендуемое значение Описание
Минимальная длина пароля ≥ 8 символов Сложный пароль для защиты от подбора
Сложность пароля Строчные + заглавные буквы + цифры Требуется наличие символов разных классов
Максимальный срок действия 90 дней Обязательная периодическая смена пароля
Минимальный срок действия 0 дней Можно менять пароль сразу
Макс. неудачных попыток входа 6 Блокировка после 6 ошибок
Таймаут блокировки 1800 секунд (30 мин) Время блокировки после превышения попыток

Настройка через графический интерфейс (fly-admin-smc)

Шаг 1: Запуск утилиты

# Запуск от имени администратора
sudo fly-admin-smc

Или через меню: Пуск → Панель управления → Безопасность → Политика безопасности.

Шаг 2: Настройка сложности пароля

  1. В левой панели выберите: Политики учетной записи → Политика паролей → Сложность
2. Установите параметры:
  • Минимальная длина пароля: 8
  • Минимальное количество строчных букв
  • Минимальное количество заглавных букв
  • Минимальное количество цифр
    1. Примените изменения: Ctrl+S.

Шаг 3: Настройка срока действия

  1. Перейдите: Политики учетной записи → Политика паролей → Срок действия
2. Установите:
  • Минимальное количество дней между сменами: 0
  • Максимальное количество дней между сменами: 90
    1. Примените: Ctrl+S.

Шаг 4: Настройка блокировки

  1. Перейдите: Политики учетной записи → Блокировка
2. Установите:
  • Неуспешных попыток: 6
  • Период блокировки: 1800 секунд
    1. Примените: Ctrl+S.

Настройка через командную строку

1. Настройка сложности пароля (PAM)

Откройте файл /etc/pam.d/common-password и найдите строку:

password requisite pam_cracklib.so

Измените её на:

password requisite pam_cracklib.so minlen=8 dcredit=-1 ucredit=-1 lcredit=-1

Параметры модуля pam_cracklib.so:

Параметр Значение Описание
minlen=8 8+ Минимальная длина пароля
dcredit=-1 -1 Требуется минимум 1 цифра
ucredit=-1 -1 Требуется минимум 1 заглавная буква
lcredit=-1 -1 Требуется минимум 1 строчная буква
ocredit=-1 -1 Требуется минимум 1 спецсимвол (опционально)
retry=3 3 Количество попыток ввода пароля

2. Запрет повторного использования паролей

В том же файле /etc/pam.d/common-password в строке с pam_unix.so добавьте параметр remember:

password sufficient pam_unix.so sha512 shadow remember=4

Это запретит использование последних 4 паролей.

3. Настройка срока действия пароля

Откройте /etc/login.defs и установите:

# Максимальный срок действия пароля (в днях)
PASS_MAX_DAYS   90

# Минимальный срок между сменами пароля (в днях)
PASS_MIN_DAYS   0

# Предупреждение за Х дней до истечения пароля
PASS_WARN_AGE   7

# Максимальное количество неудачных попыток входа
LOGIN_RETRIES   6

# Таймаут попытки входа (в секундах)
LOGIN_TIMEOUT   1800

4. Применение политик к существующим пользователям

Для применения новых политик к уже созданным пользователям используйте утилиту chage:

# Установить максимальный срок действия пароля 90 дней
sudo chage -M 90 username

# Установить предупреждение за 7 дней до истечения
sudo chage -W 7 username

# Просмотр текущих настроек пользователя
sudo chage -l username

Пример вывода chage -l:

Last password change                                    : Jan 15, 2026
Password expires                                        : Apr 15, 2026
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 90
Number of days of warning before password expires       : 7

5. Принудительная смена пароля при следующем входе

# Заставить пользователя сменить пароль при следующем входе
sudo chage -d 0 username

Алгоритм хеширования паролей

Astra Linux Special Edition использует ГОСТ Р 34.11-2012 для хеширования паролей.

В файле /etc/shadow хеш пароля выглядит так:

$gost12512hash$salt$hash

Не изменяйте алгоритм хеширования вручную — это может нарушить совместимость с требованиями ФСТЭК и привести к невозможности аутентификации.

Дополнительные меры безопасности

1. Блокировка удалённого входа root

Для предотвращения подбора пароля root через сеть, добавьте в /etc/pam.d/common-auth в секцию Primary block:

auth required pam_securetty.so

2. Настройка sudo с обязательным вводом пароля

Откройте редактор sudo:

sudo visudo

Добавьте строку:

Defaults timestamp_timeout=0

Это заставит запрашивать пароль при каждом использовании sudo, а не кэшировать его.

3. Проверка состояния политик

Используйте утилиту мониторинга безопасности:

sudo astra-security-monitor

Пример вывода:

Политика паролей: ВКЛЮЧЕНО
Сложность пароля: ВКЛЮЧЕНО
Срок действия пароля: ВКЛЮЧЕНО
Блокировка при неудачных входах: ВКЛЮЧЕНО

Интеграция с доменом (ALD Pro / FreeIPA)

При работе в домене политики паролей могут управляться централизованно:

# Создание политики паролей для группы через IPA
ipa pwpolicy-add admins \
  --priority=0 \
  --maxlife=90 \
  --minlife=0 \
  --history=4 \
  --minclasses=3 \
  --minlength=8 \
  --maxfail=6 \
  --failinterval=1800 \
  --lockouttime=1800

Параметры ipa pwpolicy-add:

Параметр Описание
--maxlife=90 Макс. срок действия пароля (дни)
--minlife=0 Мин. срок до следующей смены (часы)
--history=4 Количество запоминаемых паролей
--minclasses=3 Мин. классов символов (буквы/цифры)
--minlength=8 Мин. длина пароля
--priority=0 Приоритет политики (0 = высший)
--maxfail=6 Макс. неудачных попыток
--failinterval=1800 Интервал сброса счётчика ошибок (сек)
--lockouttime=1800 Длительность блокировки (сек)

Проверка и тестирование

1. Проверка сложности пароля вручную

# Попытка установить слабый пароль (должна быть отклонена)
passwd username
# Ввод: "12345678" → ошибка: пароль слишком простой

2. Проверка истории паролей

# Просмотр истории паролей пользователя (требует прав root)
sudo grep username /etc/security/opasswd

3. Мониторинг неудачных попыток входа

# Просмотр неудачных попыток аутентификации
sudo grep "authentication failure" /var/log/auth.log

# Или через auditd (если включён)
sudo ausearch -m USER_AUTH -sv no -i

Часто задаваемые вопросы

В: Можно ли использовать pam_pwquality вместо pam_cracklib?
О:

В некоторых версиях Astra Linux возможна замена, но pam_cracklib является штатным и полностью протестированным решением. Перед заменой обязательно проконсультируйтесь с технической поддержкой Астра.

В: Почему пользователь не может сменить пароль?
О: Возможные причины:
  • Не истёк минимальный срок действия (PASS_MIN_DAYS)
  • Новый пароль совпадает с одним из последних (параметр remember)
  • Не соблюдены требования сложности
  • Учётная запись заблокирована

Проверьте:

sudo chage -l username
В: Как сбросить пароль, если пользователь его забыл?
О: Администратор может выполнить:
sudo passwd username
# Введите новый пароль дважды
# При необходимости принудите смену при следующем входе:
sudo chage -d 0 username
В: Действуют ли политики на пользователя root?
О:

Параметры из /etc/login.defs не применяются к root. Для root настройки задаются отдельно через PAM или вручную.

Полезные ссылки

  • Официальный справочный центр Astra Linux: https://wiki.astralinux.ru
  • Red Book: Требования безопасности
  • Инструменты командной строки astra-safepolicy
  • Astra Cloud: Управление политиками паролей

Рекомендация: Всегда делайте резервную копию конфигурационных файлов перед редактированием:

sudo cp /etc/pam.d/common-password /etc/pam.d/common-password.bak
sudo cp /etc/login.defs /etc/login.defs.bak
×

Полный размер Слайдшоу Предыдущий Следующий