از طریق منوی جستجو مطلب مورد نظر خود در وبلاگ را به سرعت پیدا کنید
Access Denied و عدم امکان ورود با root در ESXi در Bruteforce
آموزش ریست کردن قفل یوزر root در esxi
زمان لازم برای مطالعه: 2 دقیقه
شاید برای شما پیش آمده باشد که بخواهید به سروراختصاصی با مجازی ساز ESXi خود متصل شوید اما با خطای اشتباه بودن user و پسورد در Web Client یا vSphere Client مواجه شوید ،
این موضوع در برخی از سرورهای اختصاصی که اینترنت مستقیم روی آن وجود داشته و دسترسی به SSH ( اگر آن را فعال کرده اید ) یا کلاینت برای IP خاصی محدود نشده باشد ایجاد می شود که تحت حملات از نوع Bruteforce که مثل غالب موارد از کشورهای دوست و برادر چین و روسیه است قرار بگیرد.
برای عبور از این مشکل بدون نیاز به لاگین به سرور یا تغییرات ، سریعترین راه ممکن انتظار 600 یا 900 ثانیه ای برای رفع Lockout است، در این روش زمانی را در نظر بگیرید و بعد از آن برای دیگر تلاش مجدد برای وجود به سرور به مدت 15 دقیقه نکنید، بعد از 15 دقیقه صرفا یک بار با دقت پسورد را وارد کنید
بنابراین در دسترسی به سرور حتی SSH با پیام “Access Denied” مواجه خواهید شد.
در نسخه 6.x از vmware esxi مکانیسم دفاعی بصورت پیشفرض فعال است که باعث قفل شدن یوزر root خواهد شد ،
برای اطمینان از اینکه این مشکل از این مکانیسم است ابتدا باید DUCI یا Direct Console Interface با کاربر root لاگین کنید و در پوشه /ver/log لاگ ها را بررسی کنید ،
در فایل vobd.log پیامی مانند زیر خواهید دید
2018-01-02T10:57:00.003Z: [GenericCorrelator] 5612887277us: [rasanegar.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts. 2018-01-02T10:57:00.003Z: [UserLevelCorrelator] 5612887277us: [rasanegar.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts. 2018-01-02T10:57:00.003Z: [UserLevelCorrelator] 5612887502us: [rasanegar.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 58 failed login attempts.
در فایل auth.log هم خواهید دید که
1 2018-01-02T11:02:08Z sshd[117700]: Connection from 192.168.249.23 port 63449 2 2018-01-02T11:02:09Z sshd[117701]: pam_tally2(sshd:auth): user root (0) tally 72, deny 5 3 2018-01-02T11:02:14Z sshd[117700]: error: PAM: Authentication failure for root from 192.168.249.23 4 2018-01-02T11:02:14Z sshd[117710]: pam_tally2(sshd:auth): user root (0) tally 73, deny 5
بصورت پیشفرض این مکانسیم قفل پسورد نیازمند شرایط زیر است تا فعال شود
- 10 مرتبه ورود ناموفق قبل از قفل شدن مجاز است
- قفل پسرد براای SSH و همچنین vSphere Web Service SDK خواهد بود
- قفل پسورد برای Direct Console Interface (DCUI) و ESXi Shell نخواهد بود
برای مشاهده تعداد دفعات ورود ناموفق دستور زیر را استفاده کنید
pam_tally2 --user root
در این نمونه 58 ورود ناموفق ثبت شده است
Login Failures Latest failure From root 58 01/02/18 10:56:59 unknown
برای پاک کردن لاگ ورود ناموفق و ریست کردن این قفل از دستور زیر استفاده کنید
pam_tally2 --user root --reset
بعد از این دستور قاعدتا باید بتوانید وارد کلاینت تخت وب یا vSphere کلاینت شوید
این مشکل میتواند به دلایل مختلفی ایجاد شود که در این مورد یک سرور مجازی باعث این مشکل بوده است
علت مشکلی که در این موضوع به عنوان سناریو عیب یابی رفع مشل در نظر گرفته بودیم ، مانیتورینگ سرور اصلی توسط یک ماشین دیگر روی همین سرور بود که با یوزر و پسورد اشتباه مرتب در حال ورود به سرور بود
برای جلوگیری از بروز مجدد مشکل در آینده و افزایش یا کاهش زمان lockout و یا تغییر تعداد دفعات باید تنظیمات مربوطه را در esxi اعمال کنید که در مطلب دیگری به آن خواهم پرداخت
