SSH 登錄時出現(xiàn)如下錯誤：Maximum amount of failed attempts was reached

注意：本文相關配置及說明已在 CentOS 6.5 64 位操作系統(tǒng)中進行過測試。其它類型及版本操作系統(tǒng)配置可能有所差異，具體情況請參閱相應操作系統(tǒng)官方文檔。

問題描述

登錄 Linux 服務器時，即便輸入了正確的密碼，也無法正常登錄。該問題出現(xiàn)時，管理終端 或 SSH 客戶端其中一種方式可以正常登錄，或者兩種方式均無法正常登錄。同時，secure 日志中出現(xiàn)類似如下錯誤信息：

Your account is Locked. Maximum amount of failed attempts was reached.

問題原因

多次連續(xù)錯誤輸入密碼，觸發(fā)系統(tǒng) PAM 認證模塊策略限制，導致用戶被鎖定。

處理辦法

pam_tally2 模塊可用于賬戶策略控制。要解決此問題，請進行如下配置檢查：

通過 SSH 客戶端或 管理終端 登錄服務器。

通過 cat 等指令查看異常登錄模式，對應的 PAM 配置文件。說明如下：

注：每個啟用了 PAM 的應用程序，在 /etc/pam.d 目錄中都有對應的同名配置文件。例如，login 命令的配置文件是 /etc/pam.d/login，可以在相應配置文件中配置具體的策略。

檢查前述配置文件中，是否有類似如下配置信息：

auth        requeired    pam_tally2.so  deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10

相關參數簡要說明:

deny=5     表示連續(xù) 5 次錯誤輸入密碼，則賬戶會被鎖定。

lock_time=30   表示鎖定 30 秒。

unlock_time=10 表示賬戶被鎖后，10秒后自動解鎖。

even_deny_root       表示 root 用戶在認證出錯時，同樣也會被鎖定。

注意： 該策略啟用后，一旦用戶被鎖定，只能等待解鎖，或者使用單用戶模式重新引導系統(tǒng)嘗試解鎖用戶。

root_unlock_time=10     表示如果是 root 用戶被鎖定，則鎖定 10 秒。

相關策略可以提高服務器的安全性。請用戶基于安全性和易用性權衡后，再確定是否需要修改相關配置。

可以使用如下指令解鎖被鎖定的非root用戶（alicloud是待解鎖用戶名）： 

pam_tally2 --user alicloud --reset

如果需要修改相關策略配置，在繼續(xù)之前建議進行文件備份。

使用 vi 等編輯器，按需修改相關參數值，或者整個刪除或注釋（在最開頭添加 # 號）整行配置。比如：

# auth        requeired    pam_tally2.so  deny=5 lock_time=30 even_deny_root root_unlock_time=10

嘗試重新登錄服務器。