Dell VxRail: A conta de raiz do ESXi está bloqueada durante 900 segundos após as tentativas de início de sessão falharem

A conta raiz de um ou mais anfitriões ESXi está bloqueada devido a várias tentativas de início de sessão falhadas.

Não é possível conectar-se ao nó usando SSH ou a interface do usuário da Web.

Confirme o problema utilizando a consola iDRAC para a shell do ESXi.

No vCenter, é apresentada uma mensagem de aviso semelhante à seguinte:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Figura 1: O acesso remoto está bloqueado.

Logs semelhantes aos seguintes serão encontrados no host afetado:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

A senha de root para o nó pode ter sido alterada, mas o software de monitoramento de terceiros não foi atualizado com a nova senha de root.

Isso causa vários logins falhados (às vezes centenas ou até milhares). Isso bloqueia a conta raiz por 15 minutos, o que leva à incapacidade de SSH no nó ou login na interface do usuário da Web do nó.

Pode iniciar sessão através da DCUI e da shell do ESXi.

A partir do vSphere 6.0, o bloqueio de conta é suportado para acesso através do SSH e do vSphere Web Services SDK. A Interface do console direto (DCUI) e o Shell do ESXi não são compatíveis com o bloqueio de conta. Por predefinição, são permitidas no máximo cinco tentativas falhadas antes de a conta ser bloqueada. Por padrão, a conta é desbloqueada após 15 minutos.

Para resolver esse problema:

1. Ligue-se à consola iDRAC e depois à shell do ESXi.
2. Habilite o shell fazendo login no DCUI e habilitando o shell ESXi nas opções de solução de problemas.
3. Você também pode fazer um Cntrl-Alt-F1 para acessar o shell.
4. Depois de se conectar ao shell do ESXi, execute os comandos abaixo. A saída deve corresponder à captura de tela abaixo, exceto a entrada "De" diz "desconhecido".

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Depois de executar os comandos acima, inicie sessão na IU Web do nó ESXi.
6. Acesse Monitor e, em seguida, Events. Você deve ver um endereço IP que estava tentando fazer log-in listado como "Failed".
7. Você deve identificar o aplicativo com base no endereço IP listado aqui. Interrompa-o ou configure-o com as credenciais corretas.

Para obter mais informações, consulte o artigo da VMware ESXi Passwords and Account Lockout.

Veja este vídeo no ESXi Break Fix Desbloquear conta de utilizador root.