Dell VxRail: L'account root ESXi è bloccato per 900 secondi dopo che i tentativi di accesso non sono riusciti

L'account root di uno o più host ESXi è bloccato a causa di diversi tentativi di accesso non riusciti.

Impossibile connettersi al nodo tramite SSH o l'interfaccia utente web.

Confermare il problema utilizzando la console iDRAC per la shell ESXi.

In vCenter, viene visualizzato un messaggio di avvertenza simile al seguente:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Figura 1. L'accesso remoto è bloccato.

Nell'host interessato sono presenti registri simili ai seguenti:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

La password root per il nodo potrebbe essere stata modificata, ma il software di monitoraggio di terze parti non è stato aggiornato con la nuova password root.

Ciò causa più accessi non riusciti (a volte centinaia o addirittura migliaia). Ciò blocca l'account root per 15 minuti, impedendo l'accesso tramite SSH al nodo o l'accesso all'interfaccia utente web del nodo.

È possibile accedere tramite DCUI e la shell ESXi.

A partire da vSphere 6.0, il blocco dell'account è supportato per l'accesso tramite SSH e tramite vSphere Web Services SDK. Direct Console Interface (DCUI) e la shell ESXi non supportano il blocco dell'account. Per impostazione predefinita, sono consentiti al massimo cinque tentativi non riusciti prima che l'account venga bloccato. L'account si sblocca dopo 15 minuti per impostazione predefinita.

Per risolvere questo problema:

1. Connettersi alla console iDRAC e quindi alla shell ESXi.
2. Abilitare la shell accedendo a DCUI e abilitando la shell ESXi nelle opzioni di risoluzione dei problemi.
3. È inoltre possibile eseguire un Cntrl-Alt-F1 per accedere alla shell.
4. Dopo aver effettuato la connessione alla shell ESXi, eseguire i comandi riportati di seguito. L'output deve corrispondere allo screenshot riportato di seguito, tranne per il fatto che la voce "From" indica "unknown".

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Dopo aver eseguito i comandi precedenti, accedere all'interfaccia utente web del nodo ESXi.
6. Passare a Monitor e quindi a Events. Viene visualizzato un indirizzo IP che ha tentato di eseguire l'accesso, indicato come failed.
7. È necessario identificare l'applicazione in base all'indirizzo IP elencato qui. Arrestarlo o configurarlo con le credenziali corrette.

Per ulteriori informazioni, consultare l'articolo VMware Password ESXi e blocco account.

Guardare questo video su ESXi Riparazione dei guasti Sbloccare l'account utente root.