Dell VxRail:ESXi 根帳戶在嘗試登入失敗後被鎖定 900 秒
Summary: 本文提供 ESXi 本機使用者帳戶 root 的遠端存取在多次嘗試登入失敗後遭鎖定 900 秒時的解決方案。連線至 iDRAC 主控台以存取 ESXi shell,然後執行重設命令。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
由於多次嘗試登入失敗,一或多個 ESXi 主機的根帳戶遭到鎖定。
無法使用 SSH 或 Web UI 連線至節點。
使用 iDRAC 主控台向 ESXi shell 確認問題。
在 vCenter 中,會顯示類似以下內容的警告訊息:
Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.
圖 1:遠端存取已鎖定。
您會在受影響的主機上看到類似以下的記錄:
/var/log/vobd.log
2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
/var/log/auth.log
2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40 user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]
Cause
節點的根密碼可能已變更,但第三方監控軟體尚未使用新的根密碼更新。
這會導致多次登入失敗 (有時數百次或甚至上千次)。這會將 root 帳戶鎖定 15 分鐘,進而導致無法 SSH 連線至節點或登入節點 Web UI。
您可以透過 DCUI 和 ESXi shell 登入。
從 vSphere 6.0 開始,支援透過 SSH 和透過 vSphere Web 服務 SDK 存取的帳戶鎖定。直接主控台介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。根據預設,在鎖定帳戶之前,最多允許五次失敗的嘗試。此帳戶預設為在 15 分鐘後解除鎖定。
這會導致多次登入失敗 (有時數百次或甚至上千次)。這會將 root 帳戶鎖定 15 分鐘,進而導致無法 SSH 連線至節點或登入節點 Web UI。
您可以透過 DCUI 和 ESXi shell 登入。
從 vSphere 6.0 開始,支援透過 SSH 和透過 vSphere Web 服務 SDK 存取的帳戶鎖定。直接主控台介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。根據預設,在鎖定帳戶之前,最多允許五次失敗的嘗試。此帳戶預設為在 15 分鐘後解除鎖定。
Resolution
若要解決此問題:
圖 2:ESXi 命令和輸出
- 連接至 iDRAC 主控台 ,然後連接至 ESXi shell。
- 在故障診斷選項下登入 DCUI,並啟用 ESXi shell 以啟用 shell。
- 你也可以做一個
Cntrl-Alt-F1以訪問外殼。 - 連線至 ESXi shell 後,請執行下列命令。輸出應與下方的螢幕擷取畫面相符,但「寄件者」項目表示「不明」。
#pam_tally2 --user root #pam_tally2 --user root --reset #pam_tally2 --user root
圖 2:ESXi 命令和輸出
- 執行上述命令後,請登入 ESXi 節點 Web UI。
- 移至監控,然後前往事件。您應該會看到嘗試登入的 IP 位址顯示失敗。
- 您必須根據此處列出的 IP 位址來識別應用程式。將其停止或使用正確的登入資料加以設定。
Additional Information
如需詳細資訊,請參閱 VMware 文章 ESXi 密碼和帳戶鎖定
觀看此影片:ESXi 損壞修復解鎖 root 使用者帳戶。
持續時間:00:04:56 (小時:分鐘:秒)
當可用時,您可以使用此影像播放器上的設定或 CC 圖示來選擇隱藏式輔助字幕 (字幕) 語言設定。
相關資源
以下是一些可能感興趣的與本主題相關的建議資源:
Affected Products
VxRail, VxRail E560FProducts
VxRail E560FArticle Properties
Article Number: 000071365
Article Type: Solution
Last Modified: 14 Jun 2024
Version: 13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.