Article Number: 000071365
Dell VxRail: L'account root ESXi è bloccato per 900 secondi dopo che i tentativi di accesso non sono riusciti
Summary: Questo articolo fornisce una risoluzione quando l'accesso remoto per l'account utente locale ESXi root viene bloccato per 900 secondi dopo tentativi di accesso non riusciti. Connettersi alla console iDRAC per accedere alla shell ESXi, quindi eseguire il comando di ripristino. ...
Article Content
Symptoms
L'account root di uno o più host ESXi è bloccato a causa di diversi tentativi di accesso non riusciti.
Impossibile connettersi al nodo tramite SSH o l'interfaccia utente web.
Confermare il problema utilizzando la console iDRAC per la shell ESXi.
In vCenter, viene visualizzato un messaggio di avvertenza simile al seguente:
Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.
Figura 1. L'accesso remoto è bloccato.
Nell'host interessato sono presenti registri simili ai seguenti:
/var/log/vobd.log
2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
/var/log/auth.log
2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40 user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]
Cause
La password root per il nodo potrebbe essere stata modificata, ma il software di monitoraggio di terze parti non è stato aggiornato con la nuova password root.
Ciò causa più accessi non riusciti (a volte centinaia o addirittura migliaia). Ciò blocca l'account root per 15 minuti, impedendo l'accesso tramite SSH al nodo o l'accesso all'interfaccia utente web del nodo.
È possibile accedere tramite DCUI e la shell ESXi.
A partire da vSphere 6.0, il blocco dell'account è supportato per l'accesso tramite SSH e tramite vSphere Web Services SDK. Direct Console Interface (DCUI) e la shell ESXi non supportano il blocco dell'account. Per impostazione predefinita, sono consentiti al massimo cinque tentativi non riusciti prima che l'account venga bloccato. L'account si sblocca dopo 15 minuti per impostazione predefinita.
Ciò causa più accessi non riusciti (a volte centinaia o addirittura migliaia). Ciò blocca l'account root per 15 minuti, impedendo l'accesso tramite SSH al nodo o l'accesso all'interfaccia utente web del nodo.
È possibile accedere tramite DCUI e la shell ESXi.
A partire da vSphere 6.0, il blocco dell'account è supportato per l'accesso tramite SSH e tramite vSphere Web Services SDK. Direct Console Interface (DCUI) e la shell ESXi non supportano il blocco dell'account. Per impostazione predefinita, sono consentiti al massimo cinque tentativi non riusciti prima che l'account venga bloccato. L'account si sblocca dopo 15 minuti per impostazione predefinita.
Resolution
Per risolvere questo problema:
Figura 2. Comandi ESXi e output
- Connettersi alla console iDRAC e quindi alla shell ESXi.
- Abilitare la shell accedendo a DCUI e abilitando la shell ESXi nelle opzioni di risoluzione dei problemi.
- È inoltre possibile eseguire un
Cntrl-Alt-F1per accedere alla shell. - Dopo aver effettuato la connessione alla shell ESXi, eseguire i comandi riportati di seguito. L'output deve corrispondere allo screenshot riportato di seguito, tranne per il fatto che la voce "From" indica "unknown".
#pam_tally2 --user root #pam_tally2 --user root --reset #pam_tally2 --user root
Figura 2. Comandi ESXi e output
- Dopo aver eseguito i comandi precedenti, accedere all'interfaccia utente web del nodo ESXi.
- Passare a Monitor e quindi a Events. Viene visualizzato un indirizzo IP che ha tentato di eseguire l'accesso, indicato come failed.
- È necessario identificare l'applicazione in base all'indirizzo IP elencato qui. Arrestarlo o configurarlo con le credenziali corrette.
Additional Information
Per ulteriori informazioni, consultare l'articolo VMware Password ESXi e blocco
Guardare questo video su ESXi Riparazione dei guasti Sbloccare l'account utente root.
Durata: 00:04:56 (hh:mm:ss)
Se disponibili, è possibile scegliere le impostazioni della lingua dei sottotitoli (sottotitoli) utilizzando le impostazioni o l'icona CC su questo lettore video.
Risorse
correlateDi seguito sono riportate alcune risorse consigliate correlate a questo argomento che potrebbero essere di interesse:
- Come reimpostare la password root per Dell VxRail Manager
- Best practice per account e password in Dell VxRail
- Dell VxRail: impossibile accedere a vCenter con errore 500 SSO. I certificati PSC&VC sono scaduti e non sono stati rinnovati. (in inglese)
- Il riavvio degli agent di gestione in VMware ESXi per risolvere il problema della creazione di macchine virtuali potrebbe non riuscire perché l'agent non è in grado di recuperare le opzioni di creazione di VM dall'host
Article Properties
Affected Product
VxRail, VxRail E560F
Product
VxRail E560F
Last Published Date
14 Jun 2024
Version
13
Article Type
Solution