Как и во многих системах в Vault Hashicorp есть встроенный функционал блокировки пользователя после нескольких неудачных попыток входа. Если пользователь заблокировался, то при попытке входа он получит ошибку Authentication failed: permission denied. Как обычно пользователь блокируется на определённое время. После истечения этого времени пользователь снова может авторизоваться, если конечно введёт правильный пароль.
По умолчанию функция блокировка активна и имеет следующие пороговые значения:
- количество неудачных авторизаций для блокировки - 5
- продолжительность блокировки - 15 минут
- сброс счетчика блокировки - 15 минут
Отключение функции блокировки пользователя
Для того чтобы отключить блокировку в целом можно запустить сервис с переменной VAULT_DISABLE_USER_LOCKOUT = true.
Или можно отключить для конкретного метода аутентификации в файле конфигурации самого Vault:
sudo vim /var/vault/config.hcl
user_lockout "userpass" { disable_lockout = "true" }
Изменить продолжительность блокировки
Опять-таки нам понадобиться отредактировать файл конфигурации самого Vault:
sudo vim /var/vault/config.hcl
user_lockout "userpass" { lockout_duration = "5m" }
Изменить количество неудачных авторизаций для блокировки
Опять-таки нам понадобиться отредактировать файл конфигурации самого Vault:
sudo vim /var/vault/config.hcl
user_lockout "userpass" { lockout_threshold = "25" }
Изменить значение сброса счетчика блокировки
Опять-таки нам понадобиться отредактировать файл конфигурации самого Vault:
sudo vim /var/vault/config.hcl
user_lockout "userpass" { lockout_counter_reset = "10m" }
Изменить значения через vault tune
Помимо редактирования файла конфигурации таже можно воспользоваться командой vault auth tune.
vault auth tune -user-lockout-threshold=25 -user-lockout-duration=5m -user-lockout-counter-reset=10m userpass/
vault read sys/auth/userpass/tune
user_lockout_disable false
user_lockout_duration 5m
user_lockout_threshold 25
user_lockout_counter_reset 10m
Разблокировать пользователя
О том как разблокировать пользователя можно почитать тут.
Комментарии