📦 Заблокирован доступ к Sudo в Arch Linux? Пропустите 10-минутное ожидание

Это может произойти, если вы вводили свой пароль слишком часто, мы расскажем, как сбросить его и настроить ограничения.

Это сообщение относится к Arch Linux, Fedora и другим дистрибутивам, в которых pam_faillock включен “из коробки“.

Если вы используете большинство дистрибутивов на базе Debian, вам сначала нужно настроить PAM на использование faillock, а затем вы можете следить за этим сообщением.

Возможно, вы несколько раз неправильно ввели пароль, или, возможно, на вашей клавиатуре застряла клавиша, которая выдает неверный пароль, хотя вам казалось, что вы ввели его правильно.

В любом случае, после нескольких попыток вы можете увидеть это:

sudo whoami
[sudo] password for nick:
Sorry, try again.
[sudo] password for nick:
Sorry, try again.
[sudo] password for nick:
sudo: 3 incorrect password attempts
   

Затем вы повторно запускаете его и аккуратно вводите свой пароль, но он по-прежнему выдает сообщение “Sorry, try again”.

Нет никаких намеков на то, что вы заблокированы или на этот раз вы использовали правильный пароль.

В данный момент вы заблокированы. Это функция безопасности, а не ошибка.

В ряде дистрибутивов Linux по умолчанию после трех неверных паролей вы будете заблокированы на 10 минут.

Если вы заблокированы, вы можете подтвердить это с помощью:

faillock --user $USER
nick:
When                Type  Source                                           Valid
2026-05-16 08:00:42 TTY   /dev/pts/30                                          V
2026-05-16 08:00:51 TTY   /dev/pts/30                                          V
2026-05-16 08:00:57 TTY   /dev/pts/30                                          V
   

Буква “V” может сбивать с толку, поскольку это не означает, что вы использовали правильный пароль.

Скорее наоборот. Это означает, что вы ввели неверный пароль.

Приведенная здесь запись является допустимым случаем сообщения о неверном пароле и учитывается в соответствии с вашим лимитом на отказ.

У вас есть 3 варианта разблокировки вашего пользователя, подойдет любой из них:

1. Переключитесь на пользователя root с помощью su, успешно введите пароль пользователя root, а затем запустите faillock –user $USER –сброс, и теперь ваш пользователь готов к работе
2. Перезагрузка, которая снимет файловую блокировку вашего пользователя /var/run/faillock/nick (“nick” – это мой пользователь, ваш, скорее всего, будет другим).
3. Технически вы можете переключиться на root с помощью su и rm /var /run /faillock/$USER, что сравнимо с первым вариантом, файл принадлежит root, поэтому вам нужно быть пользователем root, иначе это не защитит от многого, если ваш обычный пользователь сможет удалить файл Использование варианта 1 было бы предпочтительнее этого метода, поскольку он использует встроенные инструменты для корректной обработки этого файла вместо того, чтобы делать это непосредственно вручную Если вы хотите поэкспериментировать, вы можете запускать cat /var/run/faillock/$USER после каждого неудачного ввода пароля. Вы увидите, что с каждой неудачной попыткой он будет увеличиваться, пока вы не достигнете своего предела:

Если вы хотите поэкспериментировать, вы можете запускать cat /var/run/faillock/$USER после каждого неудачного ввода пароля.

Вы увидите, что с каждой неудачной попыткой он будет увеличиваться, пока вы не достигнете своего предела:

После 1 раза
cat /var/run/faillock/$USER
/dev/pts/30jj%
После 2 раз
cat /var/run/faillock/$USER
/dev/pts/30jj/dev/pts/30sj%
После 3 раз
cat cat /var/run/faillock/$USER
/dev/pts/30jj/dev/pts/30sj/dev/pts/30yj%
   

Настройка блокировки и время их выполнения

Если вы не хотите использовать настройки по умолчанию (обычно они запрещаются после 3 попыток с 10–минутным периодом блокировки), вы можете изменить эти настройки в файле /etc/security/faillock.conf.

Здесь есть 3 настройки, на которые стоит обратить внимание, я вставил их из своей конфигурации по умолчанию:

# Deny access if the number of consecutive authentication failures
# for this user during the recent interval exceeds n tries.
# The default is 3.
# deny = 3

# The access will be re-enabled after n seconds after the lock out.
# The value 0 has the same meaning as value `never` - the access
# will not be re-enabled without resetting the faillock
# entries by the `faillock` command.
# The default is 600 (10 minutes).
# unlock_time = 600
#
# Root account can become locked as well as regular accounts.
# Enabled if option is present.
# even_deny_root

• deny — это количество раз, которое вы можете ввести неверный пароль, прежде чем учётная запись будет заблокирована.
• unlock_time — это количество секунд, на которое вы будете заблокированы.
• even_deny_root определяет, подпадают ли под действие этих правил сам пользователь root.

«Здесь есть и другие настройки, с которыми можно поэкспериментировать, поэтому стоит пробежаться по всему файлу».

«После изменения этого файла не требуется перезагружать или перезапускать какие-либо службы».

Поддержание синхронизации файла sudoers

У инструмента sudo есть собственный отдельный счётчик попыток ввода пароля, который по умолчанию обычно равен 3.

Если вы изменили значение deny в настройках faillock на другое, будет хорошей идеей скорректировать и файл sudoers.

Это не обязательно, но обеспечивает более единообразный пользовательский опыт, если оба значения совпадают.

Как изменить настройки

Войдя под пользователем root, вы можете выполнить команду visudo или создать новый файл /etc/sudoers.d/99-password-retries и добавить в него следующую строку, заменив «3» на то значение, которое вы указали в конфигурации faillock:

Defaults passwd_tries=3

Если вы установили значение 5 для обоих параметров, sudo позволит до 5 раз ввести неверный пароль в одном приглашении.

• 🖧 Использование различных пользовательских агентов с wget
• 🐍 Как выполнить неисполняемый бинарный файл
• 👥 Как обойти диспетчер учетных данных в Windows
• ⚙️ Как запустить сервис на привилегированном порту от обычного пользователя