全部产品
Search

搜索本产品

    :Anda tidak dapat masuk ke instance ECS Linux menggunakan kata sandi yang benar

    文档中心

    :Anda tidak dapat masuk ke instance ECS Linux menggunakan kata sandi yang benar

    更新时间:Jul 02, 2025

    Catatan

    Penafian: Artikel ini mungkin berisi informasi tentang produk pihak ketiga. Informasi tersebut hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan, baik tersurat maupun tersirat, terkait kinerja dan keandalan produk pihak ketiga, serta dampak potensial dari operasi pada produk tersebut.

    Deskripsi masalah

    Saat menggunakan SSH untuk terhubung ke instance ECS Linux, Anda tidak dapat masuk meskipun memasukkan kata sandi yang benar. Kesalahan serupa dengan berikut ini mungkin muncul di log aman saat mencoba masuk melalui terminal manajemen atau SSH.

    • sshd[1199]: pam_listfile(sshd:auth): Menolak pengguna root untuk layanan sshd

    • sshd[1199]: Kata sandi salah untuk root dari 192.X.X.1 port 22 ssh2

    • sshd[1204]: Koneksi ditutup oleh 192.X.X.2

    Penyebab

    Kebijakan kontrol akses terkait modul PAM (pam_listfile.so) menyebabkan kegagalan login pengguna.

    Solusi

    Catatan

    Alibaba Cloud mengingatkan Anda bahwa:

    • Sebelum melakukan operasi yang mungkin menyebabkan risiko, seperti mengubah konfigurasi instance atau data, pastikan untuk memeriksa kemampuan pemulihan bencana dan toleransi kesalahan instance guna memastikan keamanan data.

    • Jika Anda mengubah konfigurasi dan data instance, termasuk tetapi tidak terbatas pada instance ECS dan RDS, disarankan untuk membuat snapshot atau mengaktifkan pencadangan log RDS.

    • Jika Anda telah mengotorisasi atau menyerahkan informasi keamanan seperti akun masuk dan kata sandi di Konsol Manajemen Alibaba Cloud, segera perbarui informasi tersebut.

    Modul PAM digunakan untuk kontrol akses Linux. Untuk menyelesaikan masalah ini, periksa konfigurasi berikut. Konfigurasi Linux dan deskripsi dalam artikel ini telah diuji pada sistem operasi CentOS 6.5 64-bit. Konfigurasi sistem operasi lainnya mungkin berbeda. Untuk informasi lebih lanjut, lihat dokumentasi resmi sistem operasi.

    1. Masuk ke instance dan gunakan perintah seperti cat untuk melihat file konfigurasi PAM. Tabel berikut menjelaskan file konfigurasi.

      File

      Fitur

      /etc/pam.d/login

      File konfigurasi yang sesuai dengan konsol (Terminal Manajemen)

      /etc/pam.d/sshd

      File konfigurasi yang sesuai untuk masuk SSH

      /etc/pam.d/system-auth

      File konfigurasi global sistem

      Verifikasi bahwa konfigurasi berikut ada.

      auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

    2. Kebijakan ini meningkatkan keamanan server. Sebelum melakukan modifikasi apa pun, cadangkan file Anda terlebih dahulu. Parameter kebijakan terkait dijelaskan sebagai berikut.

      • item: Jenis objek untuk kontrol akses. Nilai valid: tty, user, rhost, ruser, group, dan shell.

      • Sense: Temukan metode kontrol untuk item yang sesuai dalam file konfigurasi. Nilai valid: allow dan deny. Allow menunjukkan daftar putih, sedangkan deny menunjukkan daftar hitam.

      • file: Menentukan jalur lengkap file konfigurasi.

      • onerr: menentukan nilai pengembalian default yang diberikan saat terjadi kesalahan, seperti ketika file konfigurasi tidak dapat dibuka.

    3. Gunakan editor seperti vi untuk menghapus atau memberi komentar pada konfigurasi kebijakan dengan menambahkan tanda #.

      #auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

    4. Setelah itu, coba masuk ke server lagi dan pastikan tidak ada pengecualian.

    Referensi

    • PAM (Pluggable Authentication Modules) adalah mekanisme otentikasi yang diusulkan oleh Sun. Mekanisme ini memisahkan layanan yang disediakan oleh sistem dari metode otentikasi layanan dengan menyediakan beberapa pustaka tautan dinamis dan satu set API seragam. Dengan demikian, administrator sistem dapat secara fleksibel mengonfigurasi metode otentikasi yang berbeda untuk layanan tertentu tanpa mengubah program layanan, serta memudahkan penambahan metode otentikasi baru ke sistem.

    • Setiap aplikasi dengan modul PAM yang diaktifkan memiliki file konfigurasi bernama sama di direktori /etc/pam.d. Sebagai contoh, file konfigurasi untuk perintah login adalah /etc/pam.d/login. Anda dapat mengonfigurasi kebijakan tertentu dalam file konfigurasi yang sesuai.

    • Untuk informasi lebih lanjut tentang pam_listfile, kunjungi tautan berikut atau lihat dokumentasi resmi di linux-pam.org: pam_listfile.

    • Jika masalah tetap ada, lihat panduan pemecahan masalah kegagalan masuk jarak jauh ke instance Linux melalui SSH untuk analisis dan pemecahan masalah lebih lanjut.

    Ruang lingkup aplikasi

    • ECS