Dell VxRail : Le compte root ESXi est verrouillé pendant 900 secondes après l’échec des tentatives de connexion

Le compte root d’un ou de plusieurs hôtes ESXi est verrouillé après plusieurs tentatives de connexion infructueuses.

Impossible de se connecter au nœud à l’aide de SSH ou de l’interface utilisateur Web.

Confirmez le problème à l’aide de la console iDRAC sur le shell ESXi.

Dans vCenter, un message d’avertissement similaire à ce qui suit s’affiche :

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Figure 1 : L’accès distant est verrouillé.

Des logs similaires aux logs suivants s’affichent sur l’hôte concerné :

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Le mot de passe root du nœud a peut-être été modifié, mais le logiciel de surveillance tiers n’a pas été mis à jour avec le nouveau mot de passe root.

Cela entraîne plusieurs échecs de connexion (parfois des centaines, voire des milliers). Cela verrouille le compte root pendant 15 minutes, ce qui entraîne l’incapacité à établir une connexion SSH avec le nœud ou à se connecter à l’interface utilisateur Web du nœud.

Vous pouvez vous connecter via l’interface DCUI et le shell ESXi.

À partir de vSphere 6.0, le verrouillage de compte est pris en charge pour l’accès via SSH et via le vSphere Web Services SDK. L’interface de console directe (DCUI) et le shell ESXi ne prennent pas en charge le verrouillage du compte. Par défaut, un maximum de cinq tentatives infructueuses est autorisé avant le verrouillage du compte. Le compte est déverrouillé au bout de 15 minutes.

Pour résoudre ce problème :

1. Connectez-vous à la console iDRAC , puis au shell ESXi.
2. Activez le shell en vous connectant à l’interface DCUI et en activant le shell ESXi sous les options de dépannage.
3. Vous pouvez également effectuer une opération Cntrl-Alt-F1 pour accéder à l’interpréteur de commandes.
4. Une fois connecté au shell ESXi, exécutez les commandes ci-dessous. La sortie doit correspondre à la capture d’écran ci-dessous, hormis le fait que l’entrée « From » indique « unknown ».

#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root

5. Après avoir exécuté les commandes ci-dessus, connectez-vous à l’interface utilisateur Web du nœud ESXi.
6. Sous Monitor, sélectionnez Events. L’adresse IP qui tentait de se connecter devrait être indiquée comme étant en échec.
7. Vous devez identifier l’application en fonction de l’adresse IP répertoriée ici. Arrêtez-la ou configurez-la avec les informations d’identification correctes.

Pour plus d’informations, reportez-vous à l’article VMware Mots de passe ESXi et verrouillage du compte.

Regardez cette vidéo sur ESXi Break Fix pour déverrouiller le compte d’utilisateur root.