問題描述

登錄云服務器  Linux 服務器時，即便輸入了正確的密碼，也無法正常登錄。該問題出現(xiàn)時，SSH 客戶端無法登錄。同時，secure 日志中出現(xiàn)類似如下錯誤信息：

Your account is Locked. Maximum amount of failed attempts was reached.

問題原因

多次連續(xù)錯誤輸入密碼，觸發(fā)系統(tǒng) PAM 認證模塊策略限制，導致用戶被鎖定。

處理辦法

pam_tally2 模塊可用于賬戶策略控制。要解決此問題，請進行如下配置檢查：

1. 通過 SSH 客戶端或 管理終端 登錄服務器。

2. 通過 cat 等指令查看異常登錄模式，對應的 PAM 配置文件。說明如下：

   文件	功能說明
   /etc/pam.d/login	控制臺（管理終端）對應配置文件
   /etc/pam.d/sshd	登錄對應配置文件
   /etc/pam.d/system-auth	系統(tǒng)全局配置文件

   注：每個啟用了 PAM 的應用程序，在 /etc/pam.d 目錄中都有對應的同名配置文件。例如，login 命令的配置文件是 /etc/pam.d/login，可以在相應配置文件中配置具體的策略。
    

3. 檢查前述配置文件中，是否有類似如下配置信息：

   auth        requeired    pam_tally2.so  deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10

   相關參數(shù)簡要說明:

• deny=5     表示連續(xù) 5 次錯誤輸入密碼，則賬戶會被鎖定。

• lock_time=30   表示鎖定 30 秒。

• unlock_time=10 表示賬戶被鎖后，10秒后自動解鎖。

• even_deny_root       表示 root 用戶在認證出錯時，同樣也會被鎖定。
  注意： 該策略啟用后，一旦用戶被鎖定，只能等待解鎖，或者使用單用戶模式重新引導系統(tǒng)嘗試解鎖用戶。

• root_unlock_time=10     表示如果是 root 用戶被鎖定，則鎖定 10 秒。
   

4. 相關策略可以提高服務器的安全性。請用戶基于安全性和易用性權(quán)衡后，再確定是否需要修改相關配置。

5. 可以使用如下指令解鎖被鎖定的非root用戶（alicloud是待解鎖用戶名）： 

   pam_tally2 --user alicloud --reset

    

6. 如果需要修改相關策略配置，在繼續(xù)之前建議進行文件備份。

7. 使用 vi 等編輯器，按需修改相關參數(shù)值，或者整個刪除或注釋（在最開頭添加 # 號）整行配置。比如：

   # auth        requeired    pam_tally2.so  deny=5 lock_time=30 even_deny_root root_unlock_time=10

8. 嘗試重新登錄服務器。

多信息

• PAM （Pluggable Authentication Modules ） 是由 Sun 提出的一種認證機制。它通過提供一些動態(tài)鏈接庫和一套統(tǒng)一的 API，將系統(tǒng)提供的服務和該服務的認證方式分開。使得系統(tǒng)管理員可以靈活地根據(jù)需求，給不同的服務配置不同的認證方式，而無需更改服務程序，同時也便于向系統(tǒng)中添加新的認證手段。

• pam_tally2 與 pam_tally 模塊都可以用于賬戶鎖定策略控制。兩者的區(qū)別是前者增加了自動解鎖時間的功能。

• 
  

•