Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
По умолчанию в ОС для фиксации числа неверных попыток входа пользователей применяется PAM-модуль pam_tally. Использование pam_tally в секции auth в файле /etc/pam.d/common-auth обеспечивает увеличение счетчика неверных попыток входа пользователя при начале процесса аутентификации.
В PAM-стеке sudo по умолчанию подключается common-auth:
В свою очередь в common-auth вызывается модуль pam_tally:
На стадии аутентификации (auth) модуль pam_tally проверяет не заблокирован ли пользователь, и если нет, то он инкрементирует счётчик attempted login. Если аутентификация прошла успешно, то тот же самый модуль pam_tally должен сбросить этот счётчик на стадии account. Счётчик должен сбрасываться на вызове функции pam_setcred. Но в случае с sudo этого не происходит. В auth.log выводится warning:
Для обхода этой проблемы необходимо добавить в PAM-стек sudo ещё один вызов pam_tally:
Важно!
Вызов pam_tally в фазе account должен быть после его вызова в фазе auth. В нашем случае после:
Например, с таким PAM-сценарием для sudo счётчик attempted logins должен сбрасываться в случае успешной
аутентификации: