Dell VxRail: Кореневий обліковий запис ESXi заблоковано на 900 секунд після невдалих спроб входу

Кореневий обліковий запис одного або декількох хостів ESXi заблоковано через кілька невдалих спроб входу.

Неможливо підключитися до вузла за допомогою SSH або веб-інтерфейсу.

Підтвердьте проблему за допомогою консолі iDRAC до оболонки ESXi.

У vCenter відображається попереджувальне повідомлення, подібне до наступного:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Малюнок 1: Віддалений доступ заблоковано.

Журнали, подібні до наведених нижче, знаходяться на ураженому хості:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Можливо, пароль користувача root для вузла було змінено, але стороннє програмне забезпечення для моніторингу не було оновлено новим паролем root.

Це спричиняє численні невдалі входи (іноді сотні або навіть тисячі). Це блокує кореневий обліковий запис на 15 хвилин, що призводить до неможливості SSH до вузла або входу у веб-інтерфейс вузла.

Авторизуватися можна через DCUI та оболонку ESXi.

Починаючи з vSphere 6.0, підтримується блокування облікового запису для доступу через SSH і через vSphere Web Services SDK. Прямий консольний інтерфейс (DCUI) і оболонка ESXi не підтримують блокування облікового запису. За замовчуванням дозволяється максимум п'ять невдалих спроб, перш ніж обліковий запис буде заблоковано. За замовчуванням обліковий запис розблоковується через 15 хвилин.

Щоб вирішити цю проблему:

1. Підключіться до консолі iDRAC , а потім до оболонки ESXi.
2. Увімкніть оболонку , увійшовши до DCUI та увімкнувши оболонку ESXi в розділі «Параметри усунення несправностей».
3. Ви також можете зробити Cntrl-Alt-F1 , щоб отримати доступ до оболонки.
4. Після підключення до оболонки ESXi виконайте наведені нижче команди. Виведені дані мають збігатися зі знімком вікна, наведеним нижче, за винятком того, що у полі «Від» вказано «невідомо».

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Після виконання вищевказаних команд увійдіть у веб-інтерфейс вузла ESXi.
6. Перейдіть до розділу «Монітор», а потім «Події». Ви повинні побачити IP-адресу, яка намагалася увійти в систему, і яка вказана як невдала.
7. Ви повинні ідентифікувати програму на основі IP-адреси, яка вказана тут. Або зупиніть його, або налаштуйте за допомогою правильних облікових даних.

Для отримання додаткової інформації перегляньте статтю VMware ESXi Passwords and Account Lockout.

Подивіться це відео на ESXi Break Fix Unlock root User Account.