Dell VxRail: Konto root ESXi jest zablokowane na 900 s po nieudanej próbie logowania

Konto root jednego lub kilku hostów ESXi zostało zablokowane z powodu kilku nieudanych prób logowania.

Nie można połączyć się z węzłem przy użyciu SSH lub interfejsu sieciowego.

Potwierdź problem za pomocą konsoli iDRAC do powłoki ESXi.

W vCenter wyświetlany jest komunikat ostrzegawczy podobny do następującego:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Rysunek 1. Dostęp zdalny jest zablokowany.

Dzienniki podobne do następujących znajdują się na hoście, którego dotyczy problem:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Hasło główne węzła mogło zostać zmienione, ale oprogramowanie monitorujące innego producenta nie zostało zaktualizowane o nowe hasło główne.

Powoduje to wiele nieudanych logowań (czasami setki, a nawet tysiące). Powoduje to zablokowanie konta głównego na 15 minut, co uniemożliwia nawiązanie połączenia z węzłem przez SSH lub zalogowanie się do interfejsu sieciowego węzła.

Można zalogować się za pomocą interfejsu DCUI i powłoki ESXi.

Począwszy od wersji vSphere 6.0, blokowanie kont jest obsługiwane w celu uzyskania dostępu poprzez SSH i poprzez vSphere Web Services SDK. Bezpośredni interfejs konsoli (DCUI) i powłoka ESXi nie obsługują blokady konta. Domyślnie można przeprowadzić maks. Pięć nieudanych prób przed zablokowaniem konta. Konto zostanie domyślnie odblokowane po 15 minutach.

Aby rozwiązać ten problem:

1. Połącz się z konsolą iDRAC , a następnie z powłoką ESXi.
2. Włącz powłokę , logując się do DCUI i włączając powłokę ESXi w ramach opcji rozwiązywania problemów.
3. Możesz również wykonać Cntrl-Alt-F1 , aby uzyskać dostęp do powłoki.
4. Po nawiązaniu połączenia z powłoką ESXi uruchom poniższe polecenia. Dane wyjściowe powinny być zgodne z poniższym zrzutem ekranu, z wyjątkiem wpisu "Od" o treści "nieznany".

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Po uruchomieniu powyższych poleceń zaloguj się do interfejsu sieciowego węzła ESXi.
6. Przejdź do opcji Monitor, a następnie do Events. Adres IP, który próbował się zalogować, powinien być widoczny na liście jako „failed”.
7. Należy zidentyfikować aplikację na podstawie wymienionego tutaj adresu IP. Zatrzymaj ją lub skonfiguruj przy użyciu prawidłowych poświadczeń.

Aby uzyskać więcej informacji, zapoznaj się z artykułem VMware ESXi Passwords and Account Lockout.

Obejrzyj ten film na temat ESXi Break Fix Unlock root User Account.