問題描述

本文介紹SSH登錄Linux實例時，系統(tǒng)提示“Maximum amount of failed attempts was reached”錯誤的處理方法。

問題原因

多次連續(xù)錯誤輸入密碼，觸發(fā)系統(tǒng)PAM認證模塊策略限制，導致用戶被鎖定。

提示：

• PAM（Pluggable Authentication Modules ）是由Sun公司提出的一種認證機制。通過提供一些動態(tài)鏈接庫和一套統(tǒng)一的API，將系統(tǒng)提供的服務和該服務的認證方式分開。使得系統(tǒng)管理員可以靈活地根據(jù)需求，給不同的服務配置不同的認證方式，而無需更改服務程序，同時也便于向系統(tǒng)中添加新的認證手段。
• 如果PAM認證對root用戶也做了限制，在root用戶被鎖定后，Linux實例管理控制臺和SSH遠程連接都不能正常登錄，并且系統(tǒng)提示“Your account is Locked. Maximum amount of failed attempts was reached.”錯誤，該情況下需要通過Linux實例管理控制臺單用戶模式登錄Linux系統(tǒng)，執(zhí)行解鎖root用戶操作，方能正常登錄。

解決方案

阿里云提醒您：

• 如果您對實例或數(shù)據(jù)有修改、變更等風險操作，務必注意實例的容災、容錯能力，確保數(shù)據(jù)安全。
• 如果您對實例（包括但不限于ECS、RDS）等進行配置與數(shù)據(jù)修改，建議提前創(chuàng)建快照或開啟RDS日志備份等功能。
• 如果您在阿里云平臺授權或者提交過登錄賬號、密碼等安全信息，建議您及時修改。

根據(jù)問題原因，有以下兩種解決方法，步驟如下。本文相關配置及說明在CentOS 7.6 64位操作系統(tǒng)和CentOS 5 64位操作系統(tǒng)中進行測試。其它類型及版本操作系統(tǒng)配置可能有所差異，具體情況請參閱相應操作系統(tǒng)官方文檔。

方法一：root用戶未被鎖定時

1. 參考管理終端，通過root用戶登錄Linux實例，執(zhí)行如下命令，查看系統(tǒng)全局PAM配置文件。
   cat /etc/pam.d/system-auth

2. 執(zhí)行如下命令，查看本地終端對應的PAM配置文件。
   cat /etc/pam.d/login

3. 執(zhí)行如下命令，查看SSH服務對應的PAM配置文件。
   cat /etc/pam.d/sshd

4. 通過vi或vim命令編輯以上對應文件內容，注釋、修改或刪除以上文件中出現(xiàn)的如下代碼。
   

   提示：此處以注釋為例。

   auth required pam_tally2.so deny=3 unlock_time=5                                           #原文代碼
   #auth required pam_tally2.so deny=3 unlock_time=5                                          #注釋后
   
   auth required pam_tally.so onerr=fail no_magic_root                                        #原文代碼
   #auth required pam_tally.so onerr=fail no_magic_root                                       #注釋后
   
   auth requeired pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10 #原文代碼
   #auth requeired pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10 #注釋后

   注：

   • 此處使用的是pam_tally2模塊，如果不支持pam_tally2模塊可以使用pam_tally模塊。另外，不同的PAM版本，設置可能有所不同，具體使用方法，可以參照相關模塊的使用規(guī)則。
   • pam_tally2與pam_tally模塊都可以用于賬戶鎖定策略控制。兩者的區(qū)別是前者增加了自動解鎖時間的功能。

   • even_deny_root指限制root用戶。
   • deny指設置普通用戶和root用戶連續(xù)錯誤登錄的最大次數(shù)，超過最大次數(shù)，則鎖定該用戶。
   • unlock_time指設定普通用戶鎖定后，多少時間后解鎖，單位是秒。
   • root_unlock_time指設定root用戶鎖定后，多少時間后解鎖，單位是秒。

5. 在客戶端SSH遠程測試連接是否正常。

方法二：root用戶被鎖定時

1. 參考管理終端，通過單用戶模式登錄。在單用戶模式下，依次執(zhí)行如下命令，手動解鎖root用戶。
   pam_tally2 -u root                          #查看root用戶登錄密碼連續(xù)輸入錯誤次數(shù)。
   pam_tally2 -u root -r                        #清除root用戶密碼連續(xù)輸入錯誤次數(shù)。
   authconfig --disableldap --update          #更新PAM安全認證記錄。

2. 重啟實例后，參考方法一步驟，在對應的PAM配置文件進行注釋、修改或更新即可。

如果您有其他問題，可以聯(lián)系北京志遠天成阿里云代理商，為您提供一對一專業(yè)全面的技術服務，同時新老阿里云會員，均可享受我公司代理商價格，歡迎咨詢！