問題描述

登錄云服務(wù)器  Linux 服務(wù)器時(shí)，即便輸入了正確的密碼，也無法正常登錄。該問題出現(xiàn)時(shí)，SSH 客戶端無法登錄。同時(shí)，secure 日志中出現(xiàn)類似如下錯(cuò)誤信息：

Your account is Locked. Maximum amount of failed attempts was reached.

問題原因

多次連續(xù)錯(cuò)誤輸入密碼，觸發(fā)系統(tǒng) PAM 認(rèn)證模塊策略限制，導(dǎo)致用戶被鎖定。

處理辦法

pam_tally2 模塊可用于賬戶策略控制。要解決此問題，請進(jìn)行如下配置檢查：

1. 通過 SSH 客戶端或 管理終端 登錄服務(wù)器。

2. 通過 cat 等指令查看異常登錄模式，對應(yīng)的 PAM 配置文件。說明如下：

   文件	功能說明
   /etc/pam.d/login	控制臺(tái)（管理終端）對應(yīng)配置文件
   /etc/pam.d/sshd	登錄對應(yīng)配置文件
   /etc/pam.d/system-auth	系統(tǒng)全局配置文件

   注：每個(gè)啟用了 PAM 的應(yīng)用程序，在 /etc/pam.d 目錄中都有對應(yīng)的同名配置文件。例如，login 命令的配置文件是 /etc/pam.d/login，可以在相應(yīng)配置文件中配置具體的策略。
    

3. 檢查前述配置文件中，是否有類似如下配置信息：

   auth        requeired    pam_tally2.so  deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10

   相關(guān)參數(shù)簡要說明:

• deny=5     表示連續(xù) 5 次錯(cuò)誤輸入密碼，則賬戶會(huì)被鎖定。

• lock_time=30   表示鎖定 30 秒。

• unlock_time=10 表示賬戶被鎖后，10秒后自動(dòng)解鎖。

• even_deny_root       表示 root 用戶在認(rèn)證出錯(cuò)時(shí)，同樣也會(huì)被鎖定。
  注意： 該策略啟用后，一旦用戶被鎖定，只能等待解鎖，或者使用單用戶模式重新引導(dǎo)系統(tǒng)嘗試解鎖用戶。

• root_unlock_time=10     表示如果是 root 用戶被鎖定，則鎖定 10 秒。
   

4. 相關(guān)策略可以提高服務(wù)器的安全性。請用戶基于安全性和易用性權(quán)衡后，再確定是否需要修改相關(guān)配置。

5. 可以使用如下指令解鎖被鎖定的非root用戶（alicloud是待解鎖用戶名）： 

   pam_tally2 --user alicloud --reset

    

6. 如果需要修改相關(guān)策略配置，在繼續(xù)之前建議進(jìn)行文件備份。

7. 使用 vi 等編輯器，按需修改相關(guān)參數(shù)值，或者整個(gè)刪除或注釋（在最開頭添加 # 號）整行配置。比如：

   # auth        requeired    pam_tally2.so  deny=5 lock_time=30 even_deny_root root_unlock_time=10

8. 嘗試重新登錄服務(wù)器。

多信息

• PAM （Pluggable Authentication Modules ） 是由 Sun 提出的一種認(rèn)證機(jī)制。它通過提供一些動(dòng)態(tài)鏈接庫和一套統(tǒng)一的 API，將系統(tǒng)提供的服務(wù)和該服務(wù)的認(rèn)證方式分開。使得系統(tǒng)管理員可以靈活地根據(jù)需求，給不同的服務(wù)配置不同的認(rèn)證方式，而無需更改服務(wù)程序，同時(shí)也便于向系統(tǒng)中添加新的認(rèn)證手段。

• pam_tally2 與 pam_tally 模塊都可以用于賬戶鎖定策略控制。兩者的區(qū)別是前者增加了自動(dòng)解鎖時(shí)間的功能。

• 
  

•