すべてのプロダクト
Search

このプロダクト

    :正しいパスワードを使用してLinuxのECSインスタンスにログインできない

    ドキュメントセンター

    :正しいパスワードを使用してLinuxのECSインスタンスにログインできない

    最終更新日:Jan 23, 2025

    説明

    免責事項: この記事には、サードパーティ製品に関する情報が含まれている場合があります。 そのような情報は参照だけのためです。 Alibaba Cloudは、明示または黙示を問わず、サードパーティ製品のパフォーマンスと信頼性、および製品に対する操作の潜在的な影響に関して、いかなる保証も行いません。

    問題の説明

    SSHを使用してLinuxのECSインスタンスに接続する場合、正しいパスワードを入力してもECSインスタンスにログインできません。 問題が発生した場合、管理端末またはSSHを使用してクライアントにログインする際にエラーが発生することがあります。 次のようなエラーも、セキュアログに検出されます。

    • sshd[1199]: pam_listfile(sshd:auth): サービスsshdのユーザールートを拒否

    • sshd[1199]: 192.X. X.1ポート22 ssh2からのrootのパスワードに失敗しました

    • sshd[1204]: 192.X. X.2によって閉じられた接続

    原因

    PAMモジュール (pam_listfile.so) 関連のアクセス制御ポリシーにより、ユーザーログインが失敗します。

    解決策

    説明

    以下の点にご注意ください。

    • インスタンス設定やデータの変更など、リスクを引き起こす可能性のある操作を実行する前に、データのセキュリティを確保するために、インスタンスのディザスタリカバリ機能とフォールトトレランス機能を確認することを推奨します。

    • ECSおよびRDSインスタンスを含むがこれらに限定されないインスタンスの構成およびデータを変更する場合、スナップショットを作成するか、RDSログバックアップを有効にすることを推奨します。

    • Alibaba Cloud管理コンソールでログオンアカウントやパスワードなどのセキュリティ情報を承認または送信した場合は、そのような情報をタイムリーに変更することを推奨します。

    PAMモジュールは、Linuxアクセス制御に使用できます。 この問題を解決するには、次のように設定を確認してください。 この記事のLinux構成と説明は、CentOS 6.5 64ビットオペレーティングシステムでテストされています。 他のオペレーティングシステムの構成は異なっていてもよい。 詳細については、オペレーティングシステムの公式ドキュメントを参照してください。

    1. インスタンスにログインし、catまたはその他のコマンドを呼び出してPAM設定ファイルを表示します。 次の表に、設定ファイルを示します。

      ファイル

      特徴

      /etc/pam.d/login

      コンソール (管理端末) に対応した設定ファイル

      /etc/pam.d/sshd

      SSHログインに対応する設定ファイル

      /etc/pam.d/system-auth

      システムグローバル设定ファイル

      次の設定が存在することを確認します。 

      auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

    2. これらのポリシーにより、サーバーのセキュリティが向上します。 変更を加える前に、ファイルをバックアップすることをお勧めします。 関連するポリシーパラメータを以下に説明する。

      • item: アクセス制御のオブジェクトタイプ。 有効な値: tty、user、rhost、ruser、group、shell。

      • sense: 設定ファイル内の一致する項目の制御方法を見つけます。 有効な値: allowとdeny。 allowはホワイトリストを示し、denyはブラックリストを示します。

      • file: 設定ファイルのフルパスを指定します。

      • onerr: エラーが発生したときに返されるデフォルトの戻り値を定義します。 たとえば、設定ファイルを開くことはできません。

    3. viなどのエディターを使用してポリシー設定を削除します。次に示すように、# を追加します。 

      #auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

    4. 次に、サーバーに再度ログインし、例外がないことを確認します。

    参考資料

    • PAM(Pluggable Authentication Modules) は、Sunによって提案された認証メカニズムです。 これは、いくつかのダイナミックリンクライブラリおよび統合されたAPIのセットを提供することによって、システムによって提供されるサービスをサービスの認証方法から分離する。 したがって、システム管理者は、サービスプログラムを変更することなく、要件に応じて異なるサービスに対して異なる認証方法を柔軟に構成することができ、システムに新しい認証方法を追加することも便利です。

    • PAMモジュールが有効になっている各アプリケーションでは、/etc/pam.dディレクトリに同じ名前の構成ファイルがあります。 たとえば、loginコマンドの設定ファイルは /etc/pam.d/loginです。 対応する設定ファイルで特定のポリシーを設定できます。

    • pam_listfileの詳細については、次のリンク、e linux-pam.org公式ドキュメントを参照してください。 pam_listfile

    • 問題が解決しない場合は、トラブルシューティングのためのガイドラインを見てください。さらにトラブルシューティングと分析を行うために、SSHを介してLinuxインスタンスにリモートログインできない

    適用範囲

    • ECS