root-Konto unter VMware ESXi entsperren

    Konto gesperrtHat man mehr­mals ver­sucht, sich mit einem fal­schen root-Kenn­wort an einem ESXi-Host anzu­mel­den, dann wird das Konto für eine konfi­gurier­bare Zeit­spanne ge­sperrt. Während­dessen ist ein Login per SSH oder am Host-Client nicht möglich, aber mit kor­rek­tem root-Passwort an der DCUI. Dort kann man das Konto ent­sperren.

    Standard­mäßig gilt bei ESXi 6.x folgendes Sperr­verhalten bei ungültigen Login-Versuchen:

    • Maximal 10 fehl­geschlagene Versuche sind zulässig, bevor das Konto gesperrt wird.
    • Die Kenn­wort­sperre ist in SSH und im vSphere Web Service SDK aktiv, aber nicht auf dem Direct Console Interface (DCUI) und der ESXi-Shell.
    • Die ungültigen Anmelde­versuche und die Konto­sperrung werden in den Log-Dateien hostd.log und auth.log protokolliert.

    Die mit ESXi 6 eingeführte Kontos­perr­funktion für den root-Account erhöht den Sperr­zeitgeber nach einer bestimmten Anzahl fehl­geschlagener Anmelde­versuche schrittweise auf bis zu 900 Sekunden. Dieser Zeitgeber scheint kumulativ zu sein.

    Root-Konto entsperren

    Zum Lösen des Problems meldet man sich zunächst an der DCUI an, die ja von der Sperre nicht betroffen ist. Das klappt natürlich nur, wenn man das Passwort kennt und der Lock-out durch externe Programme oder dritte Personen verursacht wurde. Wenn Sie das Passwort vergessen haben, dann führt kein Weg an der Neuinstallation des Hosts vorbei.

    Auf der DCUI aktiviert man dann die ESXi-Shell. Sie erlaubt es, sich interaktiv mit dem Host zu verbinden und Befehle abzusetzen. Um festzustellen, wie viele fehlgeschlagene Anmelde­versuche es gegeben hat, setzt man folgendes Kommando ab:

    pam_tally2 --user root

    Zahl der fehlgeschlagenen Anmeldeversuche für das root-Konto anzeigen mit pam_tally2

    Für das Zurücksetzen des Passwort-Locks verwendet man dann

    pam_tally2 --user root –reset

    Kontosperren vermeiden

    Tools wie ILO, IDRAC oder solche, die IPMI nutzen, können der Auslöser des Problems sein, aber auch Monitoring-Software. Wenn solche Programme einen Host permanent kontaktieren, aber nicht richtig konfiguriert sind, dann ist die Zahl der ungültigen Anmeldungen schnell erreicht.

    Fernwartungs-Software kann mitunter für die Kontosperre verantwortlich sein.

    Unversehens zu Kontosperren kann es auch kommen, wenn das Management-Netzwerk aus einem öffentlichen Netz­werk erreichbar ist. In diesem Fall setzt man sich Brute-Force-SSH-Bot-Angriffen aus, die dann eine vom Nutzer nicht bemerkte Kontosperre auslösen.

    Soll der Host aus einem öffentlichen Netzwerk oder per Remote-Steuerung erreichbar sein, kann es helfen, die integrierte Firewall so konfigurieren, dass nur der Datenverkehr von vertrauens­würdigen Netzwerken akzeptiert wird.

    Mit den folgenden Befehlen kann nur das Netzwerk a.b.c.d / e auf den vSphere-Webclient und SSH zugreifen.

    Ansonsten kann man alternativ SSH deaktivieren oder warten, bis die Sperre abläuft.

    Keine Kommentare