注意：本文相關配置及說明已在 CentOS 6.5 64 位操作係統中進行過測試。其它類型及版本操作係統配置可能有所差異，具體情況請參閱相應操作係統官方文檔。

 

,問題描述

---

,登錄雲服務器, ,ECS ,（,Elastic Compute Server,）, ,Linux ,服務器時，即便輸入了正確的密碼，也無法正常登錄。該問題出現時，,,,管理終端 ,或, ,SSH ,客戶端其中一種方式可以正常登錄，或者兩種方式均無法正常登錄。同時，,secure ,日誌中出現類似如下錯誤信息：

Your account is Locked. Maximum amount of failed attempts was reached.

,問題原因

---

,多次連續錯誤輸入密碼，觸發係統, ,PAM ,認證模塊策略限製，導致用戶被鎖定。

,處理辦法

---

,pam_tally2 ,模塊可用於賬戶策略控製。要解決此問題，請進行如下配置檢查：

1. 通過 SSH 客戶端或 管理終端 登錄服務器。
2. 通過 cat 等指令查看異常登錄模式，對應的 PAM 配置文件。說明如下：

   文件	功能說明
   /etc/pam.d/login	控製台（管理終端）對應配置文件
   /etc/pam.d/sshd	登錄對應配置文件
   /etc/pam.d/system-auth	係統全局配置文件

   注：每個啟用了 PAM 的應用程序，在 /etc/pam.d 目錄中都有對應的同名配置文件。例如，login 命令的配置文件是 /etc/pam.d/login，可以在相應配置文件中配置具體的策略。
    

3. ,檢查前述配置文件中，是否有類似如下配置信息：

   auth        requeired    pam_tally2.so  deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10

   ,相關參數簡要說明:

   • ,deny=5     ,表示連續 5 次錯誤輸入密碼，則賬戶會被鎖定。

   • ,lock_time=30   表示鎖定 ,30 秒。

   • ,unlock_time=10 ,表示賬戶被鎖後，,10秒後自動解鎖。

   • ,even_deny_root       ,表示, ,root ,用戶在認證出錯時，同樣也會被鎖定。
     注意：, 該策略啟用後，一旦用戶被鎖定，隻能等待解鎖，或者使用單用戶模式重新引導係統嚐試解鎖用戶。

   • ,root_unlock_time=10     ,表示如果是, ,root ,用戶被鎖定，則鎖定, 10 ,秒。
      

4. ,相關策略可以提高服務器的安全性。請用戶基於安全性和易用性權衡後，再確定是否需要修改相關配置。

5. ,可以使用如下指令解鎖被鎖定的非,root,用戶（,alicloud,是待解鎖用戶名）： 

   pam_tally2 --user alicloud --reset

    

6. ,如果需要修改相關策略配置，在繼續之前建議進行文件備份。
7. ,使用, vi ,等編輯器，按需修改相關參數值，或者整個刪除或注釋（在最開頭添加, # 號）整行配置。比如：

   # auth        requeired    pam_tally2.so  deny=5 lock_time=30 even_deny_root root_unlock_time=10

8. 嚐試重新登錄服務器。

,如果還有問題，可以參閱,雲服務器 ECS Linux SSH 無法登錄問題排查指引做進一步排查分析。

更多信息

---

• ,PAM ,（,Pluggable Authentication Modules ,） ,是由 ,Sun ,提出的一種認證機製。它通過提供一些動態鏈接庫和一套統一的 ,API,，將係統提供的服務和該服務的認證方式分開。使得係統管理員可以靈活地根據需求，給不同的服務配置不同的認證方式，而無需更改服務程序，同時也便於向係統中添加新的認證手段。
• ,pam_tally2 ,與 ,pam_tally ,模塊都可以用於賬戶鎖定策略控製。兩者的區別是前者增加了自動解鎖時間的功能。
• ,更多相關信息，可以參閱 ,linux-pam.org ,官方文檔 ,pam_tally2 - login counter (tallying) module
  注意：截至 2016 年 5 月 14 日，上述鏈接正確無誤。如果您發現該鏈接已失效，請提供反饋，阿裏雲員工會複查並更新該鏈接。

 

 

,如果問題還未能解決，請聯係售後技術支持,。