Подробный гайд: Служба SN.service (Secret Net LSP) блокирует сервера

Гайд по устранению блокировки сервера Secret Net LSP. Диагностика служб, сброс целостности, настройка firewall и разблокировка пользователей.

2026.03.31                  

Подробный гайд: Служба SN.service (Secret Net LSP) блокирует сервераПодробный гайд: Служба SN.service (Secret Net LSP) блокирует сервера

Важно:

  • Secret Net LSP — сертифицированное средство защиты информации от НСД для Linux от компании «Код Безопасности». Его компоненты могут блокировать доступ к системе при нарушении политик безопасности.

Что такое SN.service и связанные компоненты

Secret Net LSP включает несколько системных служб:

Компонент Назначение
snbase.service Базовая служба контроля целостности и аутентификации
snlsp-firewall.service Встроенный межсетевой экран для фильтрации трафика
snaidectl Утилита управления базами данных контроля целостности
snunblock Скрипт разблокировки системы после блокировки
snfc Утилита контроля целостности файлов
snpolctl Управление политиками безопасности

Типичные причины блокировки сервера

  1. Нарушение целостности защищаемых файлов — при изменении системных файлов, для которых настроен контроль, Secret Net LSP по умолчанию блокирует доступ к системе
  2. Превышение лимита неудачных попыток входа — система автоматически блокирует учётную запись согласно политике безопасности
  3. Ошибка загрузки модулей ядра — сообщение SN LSP kernel modules are not loaded возникает при загрузке неподдерживаемого ядра
  4. Конфликт правил firewall — SN LSP Firewall может блокировать сетевые соединения, включая Docker, IPv6, нестандартные порты
  5. Обновление ядра ОС без переустановки SN LSP — после обновления ядра модули Secret Net могут не загрузиться

Диагностика проблемы

1. Проверка состояния служб

# Проверка статуса служб Secret Net
systemctl status snbase.service
systemctl status snlsp-firewall.service
systemctl list-units | grep secretnet

# Просмотр логов
journalctl -u snbase.service -n 100
journalctl -u snlsp-firewall.service -n 100

# Логи Secret Net
tail -f /opt/secretnet/var/log/syslog/*
tail -f /var/log/syslog | grep -i secretnet

2. Проверка блокировки учётной записи

# Проверка блокировки через faillock
faillock --user имя_пользователя

# Просмотр системного журнала на предмет блокировок
grep -i "blocked\|lock" /var/log/syslog | grep -i secretnet

3. Проверка целостности

# Проверка статуса контроля целостности
/opt/secretnet/bin/snfc -s

# Проверка загрузки модулей ядра
lsmod | grep sn
dmesg | grep -i secretnet

Решения проблем

Сценарий 1: Разблокировка после нарушения целостности

# 1. Войдите в систему как root (Ctrl+Alt+F2 или recovery mode)
# 2. Переинициализируйте базу контроля целостности
/opt/secretnet/bin/snaidectl -i

# 3. Дождитесь завершения обновления БД
# 4. Выполните разблокировку
/opt/secretnet/sbin/snunblock

# 5. Проверьте вход под обычным пользователем

Сценарий 2: Сброс блокировки из-за неудачных попыток входа

# Сброс счётчика неудачных попыток для пользователя
sudo faillock --user имя_пользователя --reset

# Альтернативно через утилиту Secret Net
/opt/secretnet/bin/snpolctl -p authentication -c unlock_time,0

Сценарий 3: Ошибка загрузки модулей ядра

# 1. Загрузитесь с поддерживаемого ядра через GRUB
# 2. Переинициализируйте компоненты
/opt/secretnet/bin/snfc -i
/opt/secretnet/bin/snaidectl -i

# 3. Снимите блокировку
/opt/secretnet/sbin/snunblock

# 4. Обновите Secret Net LSP до версии, поддерживающей текущее ядро

Сценарий 4: Блокировка сетевых соединений firewall

# Просмотр активных правил
/opt/secretnet/bin/fw-net -l

# Временное отключение firewall для диагностики
/opt/secretnet/bin/snpolctl -p firewall -c enabled,0

# Добавление разрешающего правила для порта
/opt/secretnet/bin/snpolctl -p firewall -c add_rule,tcp,8080,allow

# Перезапуск службы
systemctl restart snlsp-firewall.service

Изменение политик требует прав суперпользователя и может снизить уровень защиты системы.

Удаление Secret Net LSP (крайняя мера)

Внимание:

  • Удаление сертифицированного СЗИ может нарушить требования регуляторов (ФСТЭК). Выполняйте только при согласовании с ответственными за ИБ.
# 1. Загрузитесь в Single User Mode / Recovery
# 2. Удалите пакеты
# Для Debian/Ubuntu/Astra Linux:
apt remove snlsp-firewall secretnet snlsp-base

# Для RHEL/РЕД ОС/CentOS:
rpm -e snlsp-firewall secretnet snlsp-base

# 3. Удалите остаточные файлы
rm -rf /opt/secretnet
rm -f /etc/bashrc.d/00Lock.sh

# 4. Перезагрузите систему
reboot

Таблица быстрой диагностики

Симптом Вероятная причина Команда проверки Решение
«Station is LOCKED» Нарушение целостности snfc -s snaidectl -i + snunblock
Нет доступа по сети Блокировка firewall fw-net -l Добавить правило / отключить политику
Ошибка snbase Модули ядра не загружены lsmod \| grep sn Загрузить поддерживаемое ядро
Блокировка пользователя Превышение попыток входа faillock --user faillock --reset
Сервис не стартует Конфликт зависимостей systemctl status snbase Переустановка / обновление SN LSP

Рекомендации по профилактике

  1. Регулярно обновляйте Secret Net LSP до версий, поддерживающих текущее ядро ОС
  2. Тестируйте обновления ядра на стенде перед применением в продуктиве
  3. Настройте исключения firewall для необходимых сервисов до включения политик
  4. Ведите резервные копии конфигурации: /opt/secretnet/bin/snbckctl -b /backup/sn_config.bak
  5. Мониторьте логи через rsyslog или SIEM-систему для раннего обнаружения инцидентов

Важно:

  • При работе в контурах с требованиями ФСТЭК любые изменения в настройках СЗИ должны согласовываться с ответственными за информационную безопасность. Если вы сами решите внести изменения без согласования, то потеряете лицензию на обработку данных.

Документ актуален для Secret Net LSP версии 1.12. Перед применением инструкций сверьтесь с официальной документацией вашей версии продукта.

×

Полный размер Слайдшоу Предыдущий Следующий