Dell VxRail: ESXi-rotkontoen er låst i 900 sekunder etter at påloggingsforsøk mislykkes

Rotkontoen til én eller flere ESXi-verter er låst på grunn av flere mislykkede påloggingsforsøk.

Kan ikke koble til noden ved hjelp av SSH eller webgrensesnittet.

Bekreft problemet ved hjelp av iDRAC-konsollen på ESXi-skallet.

I vCenter vises en advarsel som ligner på følgende:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Figur 1: Ekstern tilgang er låst.

Logger som ligner på følgende, finnes på den berørte verten:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Rotpassordet for noden kan ha blitt endret, men tredjeparts overvåkingsprogramvare er ikke oppdatert med det nye rotpassordet.

Dette fører til flere mislykkede pålogginger (noen ganger hundrevis eller til og med tusenvis). Dette låser rotkontoen i 15 minutter, noe som fører til at SSH ikke kan brukes til noden eller logge på nodewebgrensesnittet.

Du kan logge på via DCUI og ESXi-skallet.

Fra og med vSphere 6.0 støttes kontolåsing for tilgang gjennom SSH og gjennom vSphere Web Services SDK. DCUI (Direct Console Interface) og ESXi Shell støtter ikke låsing av kontoer. Som standard er maksimalt fem mislykkede forsøk tillatt før kontoen låses. Kontoen låses opp etter 15 minutter som standard.

Slik løser du dette problemet:

1. Koble til iDRAC-konsollen og deretter til ESXi-skallet.
2. Aktiver skallet ved å logge på DCUI og aktivere ESXi-skallet under feilsøkingsalternativer.
3. Du kan også gjøre en Cntrl-Alt-F1 for å få tilgang til skallet.
4. Når du har koblet til ESXi-skallet, kjører du kommandoene nedenfor. Utdataene skal samsvare med skjermbildet nedenfor, bortsett fra at "Fra" -oppføringen sier "ukjent".

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Når du har kjørt kommandoene ovenfor, logger du på nettgrensesnittet for ESXi-noden.
6. Gå til Monitor og deretter Hendelser. Du skal se en IP-adresse som prøvde å logge på som er oppført som mislykket.
7. Du må identifisere applikasjonen basert på IP-adressen som er oppført her. Enten stopp den eller konfigurer den med riktig legitimasjon.

Hvis du vil ha mer informasjon, kan du se VMware-artikkelen ESXi-passord og kontolåsing.

Se denne videoen på ESXi Break Fix Lås opp root brukerkonto.