Exsi 6.7 密码正确但登录不了,或xxx次失败的登录尝试后,ESXi本地用户帐户“ root”的远程访问已锁定
- 2019-11-27 15:54:00
- zstmtony 原创
- 8526
几天前,我收到一位博客读者的电子邮件,寻求帮助...他已将主机升级到ESXi 6.0,从那时起,他就反复在主机日志中看到如上所示的事件:
xxx次失败的登录尝试后,ESXi本地用户帐户“ root”的远程访问已锁定120秒。
Remote access for ESXi local user account 'root' has been locked for 120 seconds after xxx failed login attempts.
或出现明明密码是对的,但总登录不正确
同时,尽管他使用了正确的密码,但他无法再登录到vSphere Client。我立即想到:哇,这是6.0中的新功能,以前从未听说过!这里到底发生了什么?
好吧,我只是RTFM(阅读了精美的手册),然后很快就发现了问题所在(是的,VMware的公共产品文档非常好,强烈建议!)。
在 ESXi和vCenter Server 6.0文档的ESXi密码,ESXi密码和帐户锁定部分中, 您可以找到以下信息:
ESXi帐户锁定行为
从vSphere 6.0开始,支持通过SSH和vSphere Web Services SDK访问帐户锁定。Direct Console界面(DCUI)和ESXi Shell不支持帐户锁定。默认情况下,锁定帐户之前最多允许十次失败尝试。默认情况下,两分钟后该帐户将被解锁。
您可以使用以下高级选项配置登录行为:
Security.AccountLockFailures。在锁定用户帐户之前,最大登录尝试失败次数。零禁用帐户锁定。
Security.AccountUnlockTime。用户被锁定的秒数。
确实这是6.0版中的新功能!
在这种特定情况下,事实证明主机直接连接到Internet,并且已通过ssh永久启用了shell访问。当然,这是对全世界黑客的邀请,他们很快又反复尝试使用蛮力闯入ESXi主机。新的帐户锁定功能有助于减轻这种攻击,但同时也可以防止在这种情况下对系统的合法访问。重要的是要了解,锁定根帐户后,不仅会阻止ssh访问,而且还会阻止通过vSphere Client或API调用对主机的访问!
这种情况使我们想起了ESXi的一些基本安全规则和最佳实践,这些规则对于生产用途是强制性的,但在家庭和实验室使用时也应遵循:
1.将主机管理接口连接到安全的内部网络,但不要连接到公共Internet!
2.仅暂时启用ssh访问以进行故障排除,但不要使其永久启用!
我想添加以下建议,特别是对于您除了将主机直接连接到Internet之外别无选择的情况:
3. 为ESXi Shell可用性和空闲ESXi Shell会话创建超时。这样,将在可配置的超时后自动再次禁用ssh访问,并且忘记的空闲会话将自动终止。
4.如果出于任何原因频繁启用ssh对主机的访问,请考虑使用基于密钥的ssh身份验证并禁用密码登录。有关更多信息,请参见KB1002866 以及有关使用vifs命令上载SSH密钥的说明 。
5.使用ESXi内置防火墙将对ssh(端口22)和vSphere Client(端口443)的访问至少限制为已知的受信任IP地址。您可以阅读我之前的博客文章,其中介绍了保护ESXi主机免受Heartbleed攻击的实用方案和示例。
希望您会发现此信息有用-保持安全!
原文:https://www.v-front.de/2015/04/watch-out-esxi-60-introduces-root.html
是打开了22端口,没有关闭,隔一段时间,就会出现这个情况
要创建另一个超级用户。来解决这个问题
如果在控制台前登录,密码是正确的,而在web端登录不了。可进入控制台,选择"Reset System Configuration"重置系统配置,在弹出的对话框中按F11键重置系统之后,ESXi重新启动 就可以了。
联系人: | 王先生 |
---|