帮助中心 >  技术知识库 >  云服务器 >  服务器教程 >  SSH 登录时出现如下错误:Maximum amount of failed attempts was reached

SSH 登录时出现如下错误:Maximum amount of failed attempts was reached

2016-08-01 14:43:22 9263

问题描述


登录云服务器  Linux 服务器时,即便输入了正确的密码,也无法正常登录。该问题出现时,SSH 客户端无法登录。同时,secure 日志中出现类似如下错误信息:

Your account is Locked. Maximum amount of failed attempts was reached.

问题原因


多次连续错误输入密码,触发系统 PAM 认证模块策略限制,导致用户被锁定。

处理办法


pam_tally2 模块可用于账户策略控制。要解决此问题,请进行如下配置检查:

  1. 通过 SSH 客户端或 管理终端 登录服务器。

  2. 通过 cat 等指令查看异常登录模式,对应的 PAM 配置文件。说明如下:

    文件功能说明
    /etc/pam.d/login控制台(管理终端)对应配置文件
    /etc/pam.d/sshd登录对应配置文件
    /etc/pam.d/system-auth系统全局配置文件

    注:每个启用了 PAM 的应用程序,在 /etc/pam.d 目录中都有对应的同名配置文件。例如,login 命令的配置文件是 /etc/pam.d/login,可以在相应配置文件中配置具体的策略。
     

  3. 检查前述配置文件中,是否有类似如下配置信息:

    auth        requeired    pam_tally2.so  deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10

    相关参数简要说明:

    • deny=5     表示连续 5 次错误输入密码,则账户会被锁定。

    • lock_time=30   表示锁定 30 秒。

    • unlock_time=10 表示账户被锁后,10秒后自动解锁。

    • even_deny_root       表示 root 用户在认证出错时,同样也会被锁定。
      注意: 该策略启用后,一旦用户被锁定,只能等待解锁,或者使用单用户模式重新引导系统尝试解锁用户。

    • root_unlock_time=10     表示如果是 root 用户被锁定,则锁定 10 秒。
       

  4. 相关策略可以提高服务器的安全性。请用户基于安全性和易用性权衡后,再确定是否需要修改相关配置。

  5. 可以使用如下指令解锁被锁定的非root用户(alicloud是待解锁用户名): 

    pam_tally2 --user alicloud --reset

     

  6. 如果需要修改相关策略配置,在继续之前建议进行文件备份。

  7. 使用 vi 等编辑器,按需修改相关参数值,或者整个删除或注释(在最开头添加 # 号)整行配置。比如:

    # auth        requeired    pam_tally2.so  deny=5 lock_time=30 even_deny_root root_unlock_time=10
  8. 尝试重新登录服务器。


多信息


  • PAM Pluggable Authentication Modules  是由 Sun 提出的一种认证机制。它通过提供一些动态链接库和一套统一的 API,将系统提供的服务和该服务的认证方式分开。使得系统管理员可以灵活地根据需求,给不同的服务配置不同的认证方式,而无需更改服务程序,同时也便于向系统中添加新的认证手段。

  • pam_tally2  pam_tally 模块都可以用于账户锁定策略控制。两者的区别是前者增加了自动解锁时间的功能。




提交成功!非常感谢您的反馈,我们会继续努力做到更好!

这条文档是否有帮助解决问题?

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: