Dell VxRail: ESXi-rotkontot är låst i 900 s efter misslyckade inloggningsförsök

Rotkontot för en eller flera ESXi-värdar är låst på grund av flera misslyckade inloggningsförsök.

Det går inte att ansluta till noden med SSH eller webbgränssnittet.

Bekräfta problemet med hjälp av iDRAC-konsolen till ESXi-skalet.

I vCenter visas ett varningsmeddelande som ser ut ungefär så här:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Bild 1: Fjärråtkomst är låst.

Loggar som liknar följande finns på den berörda värden:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Rotlösenordet för noden kan ha ändrats, men övervakningsprogramvaran från tredje part har inte uppdaterats med det nya rotlösenordet.

Detta orsakar flera misslyckade inloggningar (ibland hundratals eller till och med tusentals). Detta låser rotkontot i 15 minuter, vilket leder till att det inte går att SSH-ansluta till noden eller logga in på nodens webbgränssnitt.

Du kan logga in via DCUI och ESXi-gränssnittet.

Från och med vSphere 6.0 stöds kontolåsning för åtkomst via SSH och via vSphere Web Services SDK. Direct Console Interface (DCUI) och ESXi Shell har inte stöd för kontoutelåsning. Som standard tillåts högst fem misslyckade försök innan kontot låses. Kontot låses upp efter 15 minuter som standard.

Så här löser du problemet:

1. Anslut till iDRAC-konsolen och sedan till ESXi-skalet.
2. Aktivera skalet genom att logga in på DCUI och aktivera ESXi-skalet under felsökningsalternativ.
3. Du kan också göra en Cntrl-Alt-F1 för att komma åt skalet.
4. När du har anslutit till ESXi-gränssnittet kör du kommandona nedan. Utdata ska matcha skärmbilden nedan, förutom att det står "okänd" i posten "Från".

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. När du har kört kommandona ovan loggar du in på ESXi-nodens webbgränssnitt.
6. Gå till Övervaka och sedan Händelser. Du bör se en IP-adress som försökte logga in men som är listad som misslyckad.
7. Du måste identifiera programmet baserat på den IP-adress som anges här. Stoppa den eller konfigurera den med rätt autentiseringsuppgifter.

Mer information finns i VMware-artikeln ESXi-lösenord och kontoutelåsning.

Titta på den här videon om ESXi – Åtgärda problem och lås upp rotanvändarkonto.