全部产品
Search

搜索本产品

    :Beberapa akses kata sandi salah berturut-turut ke instance Linux melalui SSH

    文档中心

    :Beberapa akses kata sandi salah berturut-turut ke instance Linux melalui SSH

    更新时间:Jul 02, 2025

    Catatan

    Artikel ini mungkin berisi informasi tentang produk pihak ketiga. Informasi tersebut hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan, baik tersurat maupun tersirat, terkait kinerja dan keandalan produk pihak ketiga, serta dampak potensial dari operasi pada produk tersebut.

    Deskripsi masalah

    Topik ini menjelaskan cara menangani kesalahan "Jumlah maksimum percobaan gagal telah tercapai" saat Anda masuk ke instance Linux melalui SSH.

    Penyebab yang mungkin

    Kata sandi salah dimasukkan secara berturut-turut, memicu pembatasan kebijakan modul otentikasi PAM dalam sistem dan mengakibatkan pengguna terkunci.

    Catatan

    • PAM (Pluggable Authentication Modules) adalah mekanisme otentikasi yang diusulkan oleh Sun Company. Dengan menyediakan beberapa pustaka tautan dinamis dan satu set API seragam, layanan yang disediakan oleh sistem dipisahkan dari metode otentikasi layanan. Oleh karena itu, administrator sistem dapat mengonfigurasi metode otentikasi yang berbeda untuk layanan yang berbeda sesuai dengan kebutuhan tanpa mengubah program layanan, serta memudahkan penambahan metode otentikasi baru ke dalam sistem.

    • Jika otentikasi PAM juga membatasi pengguna root, setelah pengguna root terkunci, baik konsol manajemen instance Linux maupun koneksi jarak jauh SSH tidak dapat masuk secara normal. Sistem akan menampilkan pesan "Akun Anda terkunci. Jumlah maksimum percobaan gagal telah tercapai." Untuk membuka kunci pengguna root, Anda harus masuk ke Linux dalam mode pengguna tunggal di konsol instance Linux.

    Solusi

    Catatan

    Alibaba Cloud mengingatkan Anda bahwa:

    • Sebelum melakukan operasi yang mungkin menyebabkan risiko, seperti mengubah konfigurasi instance atau data, kami sarankan Anda memeriksa kemampuan pemulihan bencana dan toleransi kesalahan instance untuk memastikan keamanan data.

    • Jika Anda mengubah konfigurasi dan data instance termasuk tetapi tidak terbatas pada instance ECS dan RDS, kami sarankan Anda membuat snapshot atau mengaktifkan pencadangan log RDS.

    • Jika Anda telah mengotorisasi atau menyerahkan informasi keamanan seperti akun masuk dan kata sandi di konsol manajemen Alibaba Cloud, kami sarankan Anda memodifikasi informasi tersebut secara tepat waktu.

    Tergantung pada penyebab masalahnya, ada dua solusi. Langkah-langkahnya adalah sebagai berikut. Konfigurasi dan deskripsi dalam artikel ini telah diuji di sistem operasi CentOS 7.6 64-bit dan CentOS 5 64-bit. Konfigurasi sistem operasi jenis dan versi lainnya mungkin berbeda. Untuk informasi lebih lanjut, lihat dokumentasi resmi sistem operasi.

    Metode 1: Saat Pengguna Root Tidak Terkunci

    1. Lihat terminal manajemen, masuk ke instance Linux sebagai pengguna root, dan jalankan perintah berikut untuk melihat file konfigurasi PAM global sistem. 

      cat /etc/pam.d/system-auth

    2. Jalankan perintah berikut untuk melihat file konfigurasi PAM. 

      cat /etc/pam.d/login

    3. Jalankan perintah berikut untuk melihat file konfigurasi PAM layanan SSH. 

      cat /etc/pam.d/sshd

    4. Jalankan perintah vi atau vim untuk mengedit konten dalam file di atas. Komentari, ubah, atau hapus kode berikut dalam file-file ini.

      Catatan

      Ambil komentar sebagai contoh. 

      auth required pam_tally2.so deny=3 unlock_time=5# Kode sumber
# auth required pam_tally2.so deny=3 unlock_time=5# Setelah dikomentari

auth required pam_tally . So onerr=fail no_magic_root# Kode sumber
# auth required pam_tally.so onerr=fail no_magic_root# Setelah dikomentari

auth required pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10# Kode sumber
# auth required pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10# Setelah dikomentari
      Catatan

      • Dalam contoh ini, modul pam_tall 2 digunakan. Jika modul pam_tall 2 tidak didukung, Anda dapat menggunakan modul pam_expiration. Selain itu, pengaturan mungkin berbeda dengan versi PAM yang berbeda. Untuk metode penggunaan spesifik, lihat aturan penggunaan modul terkait.

      • Baik pam_thyroid maupun pam_thyroid dapat digunakan untuk mengontrol kebijakan penguncian akun. Perbedaan antara keduanya adalah yang pertama menambahkan fungsi waktu pembukaan kunci otomatis.

      • even_deny_root: pengguna root.

      • deny menunjukkan jumlah maksimum percobaan masuk berturut-turut yang salah dari pengguna biasa dan pengguna root. Jika jumlah maksimum percobaan masuk terlampaui, pengguna akan terkunci.

      • unlock_time: periode waktu setelah pengguna biasa terkunci. Satuannya adalah detik.

      • root_unlock_time: menentukan periode waktu setelah pengguna root terkunci. Satuannya adalah detik.

    5. Gunakan SSH di klien untuk menguji koneksi jarak jauh.

    Metode 2: Saat Pengguna Root Terkunci

    1. Lihat terminal manajemen untuk masuk dalam mode pengguna tunggal. Dalam mode pengguna tunggal, jalankan perintah berikut secara berurutan untuk membuka kunci pengguna root secara manual: 

      pam_tally2 -u root# menampilkan jumlah percobaan masuk berturut-turut yang salah dari pengguna root.
pam_tally2 -u root -r# menghapus jumlah kesalahan input kata sandi pengguna root.
authconfig --disableldap --update# memperbarui catatan otentikasi keamanan PAM.

    2. Setelah Anda memulai ulang instance, ubah atau sesuaikan file konfigurasi PAM yang sesuai berdasarkan Metode 1.