問(wèn)題描述

使用SSH連接Linux系統(tǒng)的ECS實(shí)例時(shí)，即便輸入了正確的密碼，也無(wú)法正常登錄。該問(wèn)題出現(xiàn)時(shí)，使用管理終端或SSH登錄客戶端時(shí)，可能存在一種方式無(wú)法正常登錄。同時(shí)，secure日志中出現(xiàn)類似如下錯(cuò)誤信息。

• sshd[1199]: pam_listfile(sshd:auth): Refused user root for service sshd
• sshd[1199]: Failed password for root from 192.X.X.1 port 22 ssh2
• sshd[1204]: Connection closed by 192.X.X.2

問(wèn)題原因

PAM模塊（pam_listfile.so）相關(guān)訪問(wèn)控制策略導(dǎo)致用戶登錄失敗。

解決方案

阿里云提醒您：

• 如果您對(duì)實(shí)例或數(shù)據(jù)有修改、變更等風(fēng)險(xiǎn)操作，務(wù)必注意實(shí)例的容災(zāi)、容錯(cuò)能力，確保數(shù)據(jù)安全。
• 如果您對(duì)實(shí)例（包括但不限于ECS、RDS）等進(jìn)行配置與數(shù)據(jù)修改，建議提前創(chuàng)建快照或開(kāi)啟RDS日志備份等功能。
• 如果您在阿里云平臺(tái)授權(quán)或者提交過(guò)登錄賬號(hào)、密碼等安全信息，建議您及時(shí)修改。

PAM模塊可用于Linux系統(tǒng)的訪問(wèn)控制。要解決此問(wèn)題，請(qǐng)進(jìn)行如下配置檢查。本文相關(guān)Linux配置及說(shuō)明已在CentOS 6.5 64位操作系統(tǒng)中進(jìn)行過(guò)測(cè)試。其它操作系統(tǒng)版本配置可能有所差異，具體情況請(qǐng)參閱相應(yīng)操作系統(tǒng)官方文檔。

1. 登錄實(shí)例，通過(guò)cat等命令查看對(duì)應(yīng)的PAM配置文件，配置文件說(shuō)明如下。
   

   文件	功能說(shuō)明
   /etc/pam.d/login	控制臺(tái)（管理終端）對(duì)應(yīng)配置文件
   /etc/pam.d/sshd	SSH登錄對(duì)應(yīng)配置文件
   /etc/pam.d/system-auth	系統(tǒng)全局配置文件

   確認(rèn)存在類似如下配置信息。
   auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

2. 相關(guān)策略可以提高服務(wù)器的安全性。請(qǐng)用戶基于安全性和易用性權(quán)衡后，再確定是否需要修改相關(guān)配置，在修改之前建議進(jìn)行文件備份。相關(guān)策略參數(shù)說(shuō)明如下。
   • item：設(shè)置訪問(wèn)控制的對(duì)象類型，可選值包括tty、user、rhost、ruser、group和shell。
   • sense：在配置文件中找到符合條件項(xiàng)目的控制方式?？蛇x值為allow和deny。allow代表白名單方式，而deny代表黑名單方式。
   • file：用于指定配置文件的全路徑名稱。
   • onerr：定義了出現(xiàn)錯(cuò)誤時(shí)的缺省返回值，比如無(wú)法打開(kāi)配置文件的錯(cuò)誤。
3. 使用vi等編輯器，刪除策略配置，也可以注釋策略配置，如下所示，在策略配置前添加 #。
   #auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

4. 然后重新登錄服務(wù)器，確認(rèn)無(wú)異常即可。

如果您有其他問(wèn)題，可以聯(lián)系北京志遠(yuǎn)天成阿里云代理商，為您提供一對(duì)一專業(yè)全面的技術(shù)服務(wù)，同時(shí)新老阿里云會(huì)員，均可享受我公司代理商價(jià)格，歡迎咨詢！