Linux Help Docs

📑 Содержание

• 1. Введение
• 2. Как работает PAM-блокировка
• 3. Определение активного модуля PAM
• 4. Безопасное отключение pam_tally2
• 5. Безопасное отключение pam_faillock
• 6. Работа с UMC (усиленный режим)
• 7. Проверка и отладка после изменений
• 8. Восстановление оригинальных настроек
• 9. Резюме и советы

1️⃣ Введение

🧩 В Astra Linux (версии 1.7.x и выше) система аутентификации построена на PAM (Pluggable Authentication Modules).
Для защиты от перебора паролей включены модули:

• pam_tally2.so — старый счётчик неудачных входов;
• pam_faillock.so — современный аналог, хранящий отдельные файлы пользователей;
• pam_umc.so — компонент усиленного режима безопасности (уровень 63).

🚨 Иногда при множестве неверных попыток входа (например, 60+) учётка блокируется навсегда.
В этом случае требуется определить, какой именно PAM-модуль активен, и как безопасно отключить или сбросить его.

2️⃣ Как работает PAM-блокировка

🧱 Каждый модуль PAM следит за неудачными попытками и записывает данные в свои файлы:

Когда лимит превышен — PAM блокирует вход, даже если пароль верный.

3️⃣ Определение активного модуля PAM

Чтобы понять, какой модуль блокирует вход, открой файл /etc/pam.d/common-auth:

cat /etc/pam.d/common-auth

🔎 Ищи одну из строк:

💡 Если в файле встречается несколько модулей (например, и pam_tally2, и pam_umc), приоритет берёт pam_umc, так как он контролирует вход на уровне мандатной безопасности.

4️⃣ Безопасное отключение pam_tally2

🧰 Если используется pam_tally2.so, можно временно отключить его для входа в систему:

1. Открой конфигурацию PAM:

   nano /etc/pam.d/common-auth
   

2. Найди строку:

   auth required pam_tally2.so deny=5 onerr=fail unlock_time=never
   

3. Добавь в начало символ #, чтобы закомментировать:

   #auth required pam_tally2.so deny=5 onerr=fail unlock_time=never
   

4. Сохрани (Ctrl+O, Ctrl+X) и перезайди в систему.

5. После успешного входа сбрось счётчики:

   pam_tally2 --reset
   

6. Верни строку обратно и сохрани.

📎 Теперь модуль снова работает, но без старых блокировок.

5️⃣ Безопасное отключение pam_faillock

🪄 Если в системе используется pam_faillock, порядок похожий:

1. Открой:

   nano /etc/pam.d/common-auth
   

2. Найди строки с pam_faillock.so (их может быть 2 — preauth и authfail):

   auth required pam_faillock.so preauth silent audit deny=5 unlock_time=0
   auth required pam_faillock.so authfail audit deny=5 unlock_time=0
   

3. Закомментируй обе строки, добавив # в начале.
4. Сохрани и перезайди в систему.

5. После успешного входа сбрось блокировки:

   faillock --user имя_пользователя --reset
   

6. Верни строки обратно и сохрани.

6️⃣ Работа с UMC (усиленный режим)

🛡️ Если система работает на 63 уровне безопасности, PAM интегрирован с UMC (Unified Mandatory Control). Даже если ты очистишь tallylog, UMC всё равно может удерживать блокировку.

Проверить пользователей:

umc-user -l

Разблокировать конкретного:

umc-user -u имя_пользователя -E

Временное снижение уровня безопасности:

setumc -s 0

После разблокировки можно вернуть прежний уровень:

setumc -s 63

7️⃣ Проверка и отладка после изменений

🔍 Чтобы убедиться, что PAM разблокирован и модуль работает корректно:

grep pam /var/log/auth.log
journalctl -xe | grep pam

Проверка состояния конкретного пользователя:

pam_tally2 --user имя_пользователя
# или
faillock --user имя_пользователя

Если счётчики равны 0, блокировка снята.

8️⃣ Восстановление оригинальных настроек

Если после теста нужно вернуть оригинальный вид конфигурации:

cp /etc/pam.d/common-auth.backup /etc/pam.d/common-auth

или вручную раскомментируй закомментированные строки. Хорошей практикой будет сделать резервную копию перед изменениями:

cp /etc/pam.d/common-auth /etc/pam.d/common-auth.backup

9️⃣ Резюме и советы

✅ Основные принципы:

• Не удаляй PAM-модули — только временно комментируй строки.
• Всегда делай backup файлов /etc/pam.d/.
• После успешного входа сбрось счётчики и верни настройки.
• Для UMC обязательно проверь уровень безопасности (setumc -g).

🧠 Помни: Блокировка через PAM — это не ошибка, а часть политики безопасности Astra. Но теперь ты умеешь безопасно управлять ею без переустановки системы. 🚀

✳️ Итог:

Определение и отключение PAM-блокировок в Astra Linux сводится к проверке файла /etc/pam.d/common-auth, временной деактивации нужных строк и очистке файлов /var/log/tallylog или /var/run/faillock/. В усиленном режиме также важно работать с UMC через umc-user.