本文介紹使用SSH用戶端遠端連線Linux系統的ECS執行個體時,提示“Maximum amount of failed attempts was reached”錯誤的原因和解決方案。
問題描述
使用SSH用戶端遠端連線Linux系統的ECS執行個體時,提示“Maximum amount of failed attempts was reached”錯誤。
問題原因
連續多次輸入錯誤密碼,觸發系統PAM認證模組策略限制,導致使用者被鎖定,無法遠端連線ECS執行個體。
Linux系統中和SSH相關的PAM設定檔主要有以下三個,如果PAM認證對遠端連線做了限制,例如設定auth required pam_tally2.so deny=3 unlock_time=50,表示普通使用者和root使用者連續三次輸入錯誤密碼,50秒後才能再次遠端連線ECS執行個體。
/etc/pam.d/login:VNC對應的PAM設定檔。/etc/pam.d/sshd:SSH服務對應的PAM設定檔。/etc/pam.d/system-auth:系統全域PAM設定檔。
解決方案
您可以根據root使用者是否被鎖定,選擇具體的方案進行修複。
root使用者未被鎖定
本文以注釋系統全域PAM設定檔(/etc/pam.d/system-auth)中PAM限制配置為例進行說明,修改/etc/pam.d/sshd或/etc/pam.d/system-auth方法類似。
使用root使用者通過VNC方式串連執行個體。
具體操作,請參見通過密碼認證登入Linux執行個體。
執行如下命令,查看PAM設定檔中是否存在PAM認證限制。
cat /etc/pam.d/system-auth例如,系統返回如下時,表示普通使用者和root使用者連續三次輸入錯誤密碼,50秒後才能再次遠端連線ECS執行個體。
修改system-auth設定檔。
執行如下命令,開啟system-auth設定檔。
vim /etc/pam.d/system-auth按
i進入編輯模式。根據業務需要,注釋、修改或刪除該配置。
本文以注釋配置為例進行說明。
auth required pam_tally2.so deny=3 unlock_time=50 #原文代碼:普通使用者和root使用者連續三次輸入錯誤密碼會被鎖定,50秒後才能解鎖。 #auth required pam_tally2.so deny=3 unlock_time=50 #注釋後說明此處使用的是
pam_tally2模組,如果不支援pam_tally2模組可以使用pam_tally模組。另外,不同的PAM版本,設定可能有所不同,具體使用方法,可以參照相關模組的使用規則。更多詳情,請參見Linux PAM SAG。pam_tally2與pam_tally模組都可以用於賬戶鎖定策略控制。兩者的區別是前者增加了自動解鎖時間的功能。even_deny_root指限制root使用者。deny指設定普通使用者和root使用者連續錯誤登入的最大次數,超過最大次數,則鎖定該使用者。unlock_time指設定普通使用者鎖定後,多長時間後解鎖,單位是秒。root_unlock_time指設定root使用者鎖定後,多長時間後解鎖,單位是秒。
遠端連線執行個體,不再出現該錯誤時,說明該問題已修複。
root使用者被鎖定
使用單一使用者模式遠端連線執行個體。
具體操作,請參見Linux系統進入單一使用者模式。
依次執行如下命令,解鎖root使用者。
pam_tally2 -u root #查看root使用者登入密碼連續輸入錯誤次數。 pam_tally2 -u root -r #清除root使用者密碼連續輸入錯誤次數。 authconfig --disableldap --update #更新PAM安全認證記錄。重啟執行個體。
具體操作,請參見重啟執行個體。
在對應的PAM設定檔中注釋、修改或刪除相應配置。
具體操作,請參見方案一:root使用者未被鎖定時。
遠端連線執行個體,不再出現該錯誤時,說明該問題已修複。