問題描述

使用SSH連接Linux系統(tǒng)的ECS實例時，即便輸入了正確的密碼，也無法正常登錄。該問題出現(xiàn)時，使用管理終端或SSH登錄客戶端時，可能存在一種方式無法正常登錄。同時，secure日志中出現(xiàn)類似如下錯誤信息。

• sshd[1199]: pam_listfile(sshd:auth): Refused user root for service sshd
• sshd[1199]: Failed password for root from 192.X.X.1 port 22 ssh2
• sshd[1204]: Connection closed by 192.X.X.2

問題原因

PAM模塊（pam_listfile.so）相關(guān)訪問控制策略導(dǎo)致用戶登錄失敗。

解決方案

阿里云提醒您：

• 如果您對實例或數(shù)據(jù)有修改、變更等風(fēng)險操作，務(wù)必注意實例的容災(zāi)、容錯能力，確保數(shù)據(jù)安全。
• 如果您對實例（包括但不限于ECS、RDS）等進(jìn)行配置與數(shù)據(jù)修改，建議提前創(chuàng)建快照或開啟RDS日志備份等功能。
• 如果您在阿里云平臺授權(quán)或者提交過登錄賬號、密碼等安全信息，建議您及時修改。

PAM模塊可用于Linux系統(tǒng)的訪問控制。要解決此問題，請進(jìn)行如下配置檢查。本文相關(guān)Linux配置及說明已在CentOS 6.5 64位操作系統(tǒng)中進(jìn)行過測試。其它操作系統(tǒng)版本配置可能有所差異，具體情況請參閱相應(yīng)操作系統(tǒng)官方文檔。

1. 登錄實例，通過cat等命令查看對應(yīng)的PAM配置文件，配置文件說明如下。
   

   文件	功能說明
   /etc/pam.d/login	控制臺（管理終端）對應(yīng)配置文件
   /etc/pam.d/sshd	SSH登錄對應(yīng)配置文件
   /etc/pam.d/system-auth	系統(tǒng)全局配置文件

   確認(rèn)存在類似如下配置信息。
   auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

2. 相關(guān)策略可以提高服務(wù)器的安全性。請用戶基于安全性和易用性權(quán)衡后，再確定是否需要修改相關(guān)配置，在修改之前建議進(jìn)行文件備份。相關(guān)策略參數(shù)說明如下。
   • item：設(shè)置訪問控制的對象類型，可選值包括tty、user、rhost、ruser、group和shell。
   • sense：在配置文件中找到符合條件項目的控制方式?？蛇x值為allow和deny。allow代表白名單方式，而deny代表黑名單方式。
   • file：用于指定配置文件的全路徑名稱。
   • onerr：定義了出現(xiàn)錯誤時的缺省返回值，比如無法打開配置文件的錯誤。
3. 使用vi等編輯器，刪除策略配置，也可以注釋策略配置，如下所示，在策略配置前添加 #。
   #auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

4. 然后重新登錄服務(wù)器，確認(rèn)無異常即可。

如果您有其他問題，可以聯(lián)系北京志遠(yuǎn)天成阿里云代理商，為您提供一對一專業(yè)全面的技術(shù)服務(wù)，同時新老阿里云會員，均可享受我公司代理商價格，歡迎咨詢！