Dell VxRail: ESXi-juuritili on lukittu 900 sekunniksi kirjautumisyritysten epäonnistuttua

Vähintään yhden ESXi-isännän juuritili on lukittu useiden epäonnistuneiden kirjautumisyritysten vuoksi.

Yhteyden muodostaminen solmuun SSH:n tai verkkokäyttöliittymän avulla ei onnistu.

Vahvista ongelma käyttämällä iDRAC-konsolia ESXi-komentotulkkiin.

vCenterissä näkyy seuraavankaltainen varoitussanoma:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Kuva 1: Etäkäyttö on lukittu.

Haavoittuvuuden sisältävästä isännästä löytyy seuraavankaltakaltaisia lokeja:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Solmun root-salasana on ehkä vaihdettu, mutta kolmannen osapuolen valvontaohjelmistoa ei ole päivitetty uudella root-salasanalla.

Tämä aiheuttaa useita epäonnistuneita kirjautumisia (joskus satoja tai jopa tuhansia). Tämä lukitsee pääkäyttäjän tilin 15 minuutiksi, minkä vuoksi SSH-yhteys solmuun tai solmun verkkokäyttöliittymään ei voi kirjautua.

Voit kirjautua DCUI:n ja ESXi-liittymän kautta.

vSphere 6.0 -versiosta alkaen tilin lukitsemista tuetaan käytettäessä SSH:ta ja vSphere Web Services SDK:ta. Direct Console Interface (DCUI) ja ESXi-liittymä eivät tue tilin lukitsemista. Oletusarvoisesti sallitaan enintään viisi epäonnistunutta yritystä, ennen kuin tili lukitaan. Tilin lukitus avataan oletusarvoisesti 15 minuutin kuluttua.

Ongelman korjaaminen:

1. Muodosta yhteys iDRAC-konsoliin ja sitten ESXi-komentotulkkiin.
2. Ota liittymä käyttöön kirjautumalla DCUI: hin ja ottamalla ESXi-liittymä käyttöön vianmääritysvaihtoehdoista.
3. Voit myös tehdä Cntrl-Alt-F1 päästäksesi kuoreen.
4. Kun olet muodostanut yhteyden ESXi-komentotulkkiin, suorita seuraavat komennot. Tuloksen pitäisi vastata alla olevaa kuvakaappausta, paitsi että Lähettäjä-merkinnässä lukee "tuntematon".

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Kun olet suorittanut edellä mainitut komennot, kirjaudu ESXi-solmun verkkokäyttöliittymään.
6. Valitse Monitor ja sitten Events. Epäonnistuneena pitäisi näkyä IP-osoite, joka yritti kirjautua sisään.
7. Sovellus on tunnistettava tässä luetellun IP-osoitteen perusteella. Joko pysäytä se tai määritä se oikeilla tunnistetiedoilla.

Lisätietoja on VMwaren artikkelissa ESXi-salasanat ja tilin lukitus.

Katso tämä video ESXi:n Break Fix -pääkäyttäjän tilin lukituksen avaamisesta.