Topik ini menjelaskan penyebab dan solusi untuk error "Maximum amount of failed attempts was reached" saat Anda menghubungkan ke instans ECS Linux melalui klien SSH.
Deskripsi masalah
Saat menghubungkan ke instans ECS Linux melalui klien SSH, Anda menerima pesan error "Maximum amount of failed attempts was reached".
Penyebab
Masalah ini terjadi karena beberapa percobaan login dengan kata sandi yang gagal secara berturut-turut memicu kebijakan keamanan Pluggable Authentication Modules (PAM) sistem. Kebijakan tersebut mengunci akun pengguna dan mencegah koneksi jarak jauh ke instans ECS.
Di Linux, tiga file konfigurasi PAM berikut terutama terkait dengan SSH. Jika otentikasi PAM dikonfigurasi untuk membatasi koneksi jarak jauh—misalnya dengan pengaturan auth required pam_tally2.so deny=3 unlock_time=50—maka akun akan dikunci selama 50 detik setelah tiga kali percobaan login gagal berturut-turut oleh pengguna biasa atau root.
-
/etc/pam.d/login: File konfigurasi PAM untuk VNC. -
/etc/pam.d/sshd: File konfigurasi PAM untuk layanan SSH. -
/etc/pam.d/system-auth: File konfigurasi PAM tingkat sistem.
Solusi
Pilih solusi berdasarkan apakah akun root terkunci atau tidak.
Pengguna root tidak terkunci
Bagian ini menjelaskan cara memberi komentar pada pembatasan PAM di file konfigurasi PAM tingkat sistem (/etc/pam.d/system-auth). Metode serupa berlaku untuk /etc/pam.d/sshd atau /etc/pam.d/login.
-
Hubungkan ke instans sebagai pengguna root menggunakan VNC.
Untuk informasi lebih lanjut, lihat Masuk ke instans Linux menggunakan password.
-
Jalankan perintah berikut untuk memeriksa file konfigurasi PAM terkait pembatasan otentikasi.
cat /etc/pam.d/system-authSebagai contoh, output berikut menunjukkan bahwa jika pengguna biasa atau root memasukkan kata sandi salah sebanyak tiga kali berturut-turut, akun tersebut akan dikunci selama 50 detik.
auth required pam_faildelay.so delay=2000000 auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular auth [default=1 ignore=ignore success=ok] pam_localuser.so auth sufficient pam_unix.so nullok auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular auth sufficient pam_sss.so forward_pass auth required pam_deny.so auth required pam_tally2.so deny=3 unlock_time=50 account required pam_unix.so no_pass_expiry account sufficient pam_localuser.so account sufficient pam_usertype.so issystem account [default=bad success=ok user_unknown=ignore] pam_sss.so account required pam_permit.so -
Ubah file konfigurasi system-auth.
-
Jalankan perintah berikut untuk membuka file konfigurasi system-auth.
vim /etc/pam.d/system-auth -
Tekan
iuntuk memasuki mode Insert. -
Sesuai kebutuhan, beri komentar, ubah, atau hapus konfigurasi tersebut.
Contoh berikut memberi komentar pada konfigurasi tersebut.
auth required pam_tally2.so deny=3 unlock_time=50 # Baris asli: Mengunci akun pengguna setelah tiga kali percobaan login gagal berturut-turut. Akun dibuka kembali setelah 50 detik. #auth required pam_tally2.so deny=3 unlock_time=50 # Setelah diberi komentarCatatan-
Contoh ini menggunakan modul
pam_tally2. Jikapam_tally2tidak didukung, Anda dapat menggunakan modulpam_tally. Pengaturan dapat berbeda tergantung versi PAM. Untuk penggunaan spesifik, rujuk dokumentasi modul terkait. Untuk informasi lebih lanjut, lihat Linux PAM SAG. -
Kedua modul
pam_tally2danpam_tallydapat digunakan untuk mengontrol kebijakan penguncian akun, tetapipam_tally2mendukung pembukaan kunci otomatis setelah waktu tertentu. -
even_deny_rootmembatasi pengguna root. -
denymengatur jumlah maksimum percobaan login gagal berturut-turut untuk pengguna biasa dan root sebelum akun dikunci. -
unlock_timemengatur durasi pembukaan kunci otomatis dalam detik untuk akun pengguna biasa yang terkunci. -
root_unlock_timemengatur durasi pembukaan kunci otomatis dalam detik untuk akun root yang terkunci.
-
-
-
Coba hubungkan kembali ke instans. Masalah telah teratasi jika koneksi berhasil.
Pengguna root terkunci
-
Hubungkan ke instans dalam mode single-user.
Untuk informasi lebih lanjut, lihat Masuk ke mode single-user pada instans Linux.
-
Jalankan perintah berikut untuk membuka kunci akun root.
pam_tally2 -u root # Periksa jumlah percobaan login gagal berturut-turut untuk pengguna root. pam_tally2 -u root -r # Hapus hitungan percobaan login gagal berturut-turut untuk pengguna root. authconfig --disableldap --update # Perbarui catatan otentikasi keamanan PAM. -
Reboot instans.
Untuk informasi lebih lanjut, lihat Reboot instans.
-
Pada file konfigurasi PAM terkait, beri komentar, ubah, atau hapus konfigurasi yang sesuai.
Untuk langkah-langkah detail, lihat Akun root tidak terkunci.
-
Coba hubungkan kembali ke instans. Masalah telah teratasi jika koneksi berhasil.