問題描述

本文介紹SSH登錄Linux實(shí)例時(shí)，系統(tǒng)提示“Maximum amount of failed attempts was reached”錯(cuò)誤的處理方法。

問題原因

多次連續(xù)錯(cuò)誤輸入密碼，觸發(fā)系統(tǒng)PAM認(rèn)證模塊策略限制，導(dǎo)致用戶被鎖定。

提示：

• PAM（Pluggable Authentication Modules ）是由Sun公司提出的一種認(rèn)證機(jī)制。通過提供一些動(dòng)態(tài)鏈接庫(kù)和一套統(tǒng)一的API，將系統(tǒng)提供的服務(wù)和該服務(wù)的認(rèn)證方式分開。使得系統(tǒng)管理員可以靈活地根據(jù)需求，給不同的服務(wù)配置不同的認(rèn)證方式，而無需更改服務(wù)程序，同時(shí)也便于向系統(tǒng)中添加新的認(rèn)證手段。
• 如果PAM認(rèn)證對(duì)root用戶也做了限制，在root用戶被鎖定后，Linux實(shí)例管理控制臺(tái)和SSH遠(yuǎn)程連接都不能正常登錄，并且系統(tǒng)提示“Your account is Locked. Maximum amount of failed attempts was reached.”錯(cuò)誤，該情況下需要通過Linux實(shí)例管理控制臺(tái)單用戶模式登錄Linux系統(tǒng)，執(zhí)行解鎖root用戶操作，方能正常登錄。

解決方案

阿里云提醒您：

• 如果您對(duì)實(shí)例或數(shù)據(jù)有修改、變更等風(fēng)險(xiǎn)操作，務(wù)必注意實(shí)例的容災(zāi)、容錯(cuò)能力，確保數(shù)據(jù)安全。
• 如果您對(duì)實(shí)例（包括但不限于ECS、RDS）等進(jìn)行配置與數(shù)據(jù)修改，建議提前創(chuàng)建快照或開啟RDS日志備份等功能。
• 如果您在阿里云平臺(tái)授權(quán)或者提交過登錄賬號(hào)、密碼等安全信息，建議您及時(shí)修改。

根據(jù)問題原因，有以下兩種解決方法，步驟如下。本文相關(guān)配置及說明在CentOS 7.6 64位操作系統(tǒng)和CentOS 5 64位操作系統(tǒng)中進(jìn)行測(cè)試。其它類型及版本操作系統(tǒng)配置可能有所差異，具體情況請(qǐng)參閱相應(yīng)操作系統(tǒng)官方文檔。

方法一：root用戶未被鎖定時(shí)

1. 參考管理終端，通過root用戶登錄Linux實(shí)例，執(zhí)行如下命令，查看系統(tǒng)全局PAM配置文件。
   cat /etc/pam.d/system-auth

2. 執(zhí)行如下命令，查看本地終端對(duì)應(yīng)的PAM配置文件。
   cat /etc/pam.d/login

3. 執(zhí)行如下命令，查看SSH服務(wù)對(duì)應(yīng)的PAM配置文件。
   cat /etc/pam.d/sshd

4. 通過vi或vim命令編輯以上對(duì)應(yīng)文件內(nèi)容，注釋、修改或刪除以上文件中出現(xiàn)的如下代碼。
   

   提示：此處以注釋為例。

   auth required pam_tally2.so deny=3 unlock_time=5                                           #原文代碼
   #auth required pam_tally2.so deny=3 unlock_time=5                                          #注釋后
   
   auth required pam_tally.so onerr=fail no_magic_root                                        #原文代碼
   #auth required pam_tally.so onerr=fail no_magic_root                                       #注釋后
   
   auth requeired pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10 #原文代碼
   #auth requeired pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10 #注釋后

   注：

   • 此處使用的是pam_tally2模塊，如果不支持pam_tally2模塊可以使用pam_tally模塊。另外，不同的PAM版本，設(shè)置可能有所不同，具體使用方法，可以參照相關(guān)模塊的使用規(guī)則。
   • pam_tally2與pam_tally模塊都可以用于賬戶鎖定策略控制。兩者的區(qū)別是前者增加了自動(dòng)解鎖時(shí)間的功能。

   • even_deny_root指限制root用戶。
   • deny指設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登錄的最大次數(shù)，超過最大次數(shù)，則鎖定該用戶。
   • unlock_time指設(shè)定普通用戶鎖定后，多少時(shí)間后解鎖，單位是秒。
   • root_unlock_time指設(shè)定root用戶鎖定后，多少時(shí)間后解鎖，單位是秒。

5. 在客戶端SSH遠(yuǎn)程測(cè)試連接是否正常。

方法二：root用戶被鎖定時(shí)

1. 參考管理終端，通過單用戶模式登錄。在單用戶模式下，依次執(zhí)行如下命令，手動(dòng)解鎖root用戶。
   pam_tally2 -u root                          #查看root用戶登錄密碼連續(xù)輸入錯(cuò)誤次數(shù)。
   pam_tally2 -u root -r                        #清除root用戶密碼連續(xù)輸入錯(cuò)誤次數(shù)。
   authconfig --disableldap --update          #更新PAM安全認(rèn)證記錄。

2. 重啟實(shí)例后，參考方法一步驟，在對(duì)應(yīng)的PAM配置文件進(jìn)行注釋、修改或更新即可。

如果您有其他問題，可以聯(lián)系北京志遠(yuǎn)天成阿里云代理商，為您提供一對(duì)一專業(yè)全面的技術(shù)服務(wù)，同時(shí)新老阿里云會(huì)員，均可享受我公司代理商價(jià)格，歡迎咨詢！