我爱帮助网--QQ交流群号

Nas交流与矿渣群(unraid 群晖 猫盘 蜗牛等):372167400         物联网/智能家居群:518812757             帮助教程:手册大全

软件使用与建站群:1057308983      虚拟化交流群:13448651

Exsi 6.7 密码正确但登录不了,或xxx次失败的登录尝试后,ESXi本地用户帐户“ root”的远程访问已锁定

2019-11-27 15:54:00
zstmtony
原创
8526

几天前,我收到一位博客读者的电子邮件,寻求帮助...他已将主机升级到ESXi 6.0,从那时起,他就反复在主机日志中看到如上所示的事件:
xxx次失败的登录尝试后,ESXi本地用户帐户“ root”的远程访问已锁定120秒。

Remote access for ESXi local user account 'root' has been locked for 120 seconds after xxx failed login attempts.

或出现明明密码是对的,但总登录不正确


同时,尽管他使用了正确的密码,但他无法再登录到vSphere Client。我立即想到:哇,这是6.0中的新功能,以前从未听说过!这里到底发生了什么?

好吧,我只是RTFM(阅读了精美的手册),然后很快就发现了问题所在(是的,VMware的公共产品文档非常好,强烈建议!)。

在  ESXi和vCenter Server 6.0文档的ESXi密码,ESXi密码和帐户锁定部分中,  您可以找到以下信息:
ESXi帐户锁定行为 
从vSphere 6.0开始,支持通过SSH和vSphere Web Services SDK访问帐户锁定。Direct Console界面(DCUI)和ESXi Shell不支持帐户锁定。默认情况下,锁定帐户之前最多允许十次失败尝试。默认情况下,两分钟后该帐户将被解锁。 
您可以使用以下高级选项配置登录行为:
Security.AccountLockFailures。在锁定用户帐户之前,最大登录尝试失败次数。零禁用帐户锁定。
Security.AccountUnlockTime。用户被锁定的秒数。
确实这是6.0版中的新功能!

在这种特定情况下,事实证明主机直接连接到Internet,并且已通过ssh永久启用了shell访问。当然,这是对全世界黑客的邀请,他们很快又反复尝试使用蛮力闯入ESXi主机。新的帐户锁定功能有助于减轻这种攻击,但同时也可以防止在这种情况下对系统的合法访问。重要的是要了解,锁定根帐户后,不仅会阻止ssh访问,而且还会阻止通过vSphere Client或API调用对主机的访问!

这种情况使我们想起了ESXi的一些基本安全规则和最佳实践,这些规则对于生产用途是强制性的,但在家庭和实验室使用时也应遵循:
 


1.将主机管理接口连接到安全的内部网络,但不要连接到公共Internet!
2.仅暂时启用ssh访问以进行故障排除,但不要使其永久启用!

我想添加以下建议,特别是对于您除了将主机直接连接到Internet之外别无选择的情况:

3. 为ESXi Shell可用性和空闲ESXi Shell会话创建超时。这样,将在可配置的超时后自动再次禁用ssh访问,并且忘记的空闲会话将自动终止。
 

4.如果出于任何原因频繁启用ssh对主机的访问,请考虑使用基于密钥的ssh身份验证并禁用密码登录。有关更多信息,请参见KB1002866  以及有关使用vifs命令上载SSH密钥的说明  。
5.使用ESXi内置防火墙将对ssh(端口22)和vSphere Client(端口443)的访问至少限制为已知的受信任IP地址。您可以阅读我之前的博客文章,其中介绍了保护ESXi主机免受Heartbleed攻击的实用方案和示例。

希望您会发现此信息有用-保持安全!


原文:https://www.v-front.de/2015/04/watch-out-esxi-60-introduces-root.html


真正的原因
是打开了22端口,没有关闭,隔一段时间,就会出现这个情况 

要创建另一个超级用户。来解决这个问题 



如果在控制台前登录,密码是正确的,而在web端登录不了。可进入控制台,选择"Reset System Configuration"重置系统配置,在弹出的对话框中按F11键重置系统之后,ESXi重新启动 就可以了。


0
发表评论
评论通过审核后显示。
文章分类
联系我们
联系人: 王先生