tencent cloud

Cloud Virtual Machine

最新情報とお知らせ
製品情報
パブリックイメージの更新情報
OSの公式サポート終了計画
製品に関するお知らせ
製品概要
CVM概要
製品の強み
基本概念
リージョンとゾーン
初心者ガイド
Service Regions and Service Providers
製品の課金
課金概要
課金モデル
課金項目
課金モデルの変更
購入インスタンス
仕様変更の料金説明
料金未払いに関する説明
クイックスタート
カスタム設定によるLinuxインスタンスの購入
カスタム設定によるWindowsインスタンスの購入
ユーザーガイド
操作ガイド一覧
ご利用制限一覧
インスタンス
スポットインスタンス
リザーブドインスタンス
イメージ
ストレージ
バックアップと復元
ネットワーク
セキュリティ
パスワード/キー
監視とアラート
運用管理
便利な機能
サーバー移行
オンライン移行
オフライン移行
移行に関するご相談
トラブルシューティング
CVMインスタンスにログインできない原因や対処法
Windowsインスタンスのログインに関する障害
Linuxインスタンスのログインに関する障害
その他のインスタンスログインに関する障害
インスタンス実行時の障害
Linuxインスタンスのメモリに関する障害
ネットワーク障害
実践チュートリアル
CVMの選定ガイド
環境構築
ウェブサイトの構築
アプリケーションの構築
可視化ページの構築
ローカルファイルをCVMへアップロード
ネットワークパフォーマンステスト
その他の実践チュートリアル
API リファレンス
History
Introduction
API Category
Making API Requests
Region APIs
Instance APIs
Cloud Hosting Cluster APIs
Image APIs
Instance Launch Template APIs
Placement Group APIs
Key APIs
Security Group APIs
Network APIs
Data Types
Error Codes
セキュリティとコンプライアンス
Cloud Access Management(CAM)
ネットワーク
よくあるご質問
リージョンとアベイラビリティゾーンに関するご質問
課金クラス
インスタンスに関するご質問
ストレージに関するご質問
イメージに関するご質問
サーバー移行について
ネットワークに関するご質問
セキュリティに関するご質問
OSに関するご質問
運用と監視に関するご質問
CAMに関するご質問
NTPサービスに関するご質問
適用シナリオに関するご質問
Agreements
CVM Service Level Agreements
Red Hat Enterprise Linux Image Service Agreement
Public IP Service Level Agreement
用語集
ドキュメントCloud Virtual MachineトラブルシューティングLinuxインスタンスのログインに関する障害Linuxのログインに失敗:「Module is unknown」

Linuxのログインに失敗:「Module is unknown」

PDF
フォーカスモード
フォントサイズ
最終更新日: 2025-09-05 17:11:35

現象の説明

VNCを使用してCVMに正常にログインできず、ログインパスワードを入力する前にエラーメッセージ「Account locked due to XXX failed logins」が表示される(下図参照)。



考えられる原因

VNCを使用したログインでは/etc/pam.d/loginというpamモジュールを呼び出して検証を行います。一方、login設定ファイルにはpam_tally2.soモジュールの認証が存在します。pam_tally2.soモジュールの機能は、LinuxユーザーがN回連続して誤ったパスワードを入力してログインを行った場合、自動的にX分間ロック、または永続的にロックを行うものです。このうち永続的なロックは手動で解除する必要があり、これを行わなければロックされたままとなります。
ログインの失敗が設定された試行回数を超えた場合、ログインアカウントは一定の時間ロックされるほか、総当たり攻撃が行われた場合はアカウントがロックされてログインできなくなる可能性もあります。下図は設定されているログイン試行可能回数です。

pam_tally2モジュールのパラメータの説明は以下の表のとおりです。
パラメータ
説明
deny=n
ログイン失敗回数がn回を超えた後はアクセスが拒否されます。
lock_time=n
ログイン失敗後にロックされる時間(秒)。
un lock_time=n
ログイン失敗回数が制限を超えた後、ロック解除に要する時間。
no_lock_time
ログファイル /var/log/faillog 中に .fail_locktime フィールドが記録されていません。
magic_root
rootユーザー(uid=0)がこのモジュールを呼び出した場合、カウンターの数値は増えません。
even_deny_root
rootユーザーのログイン失敗回数がdeny=n回を超えた後はアクセスが拒否されます。
root_unlock_time=n
even_deny_root に対応するオプション。このオプションを設定した場合の、rootユーザーのログイン失敗回数が制限を超えた後のロック時間。

解決方法

1. 処理手順 を参照し、login設定ファイルに入り、pam_limits.soモジュール設定に一時的なコメントを付加します。
2. アカウントがロックされた原因を確認し、セキュリティポリシーを強化します。

処理手順

1. SSHを使用したCVMインスタンスへのログインを試してください。詳細については SSHを使用してLinuxインスタンスにログイン をご参照ください。
ログインに成功した場合は次の手順に進みます。
ログインに失敗した場合は、単一ユーザーモードを使用する必要があります。
2. ログイン成功後、次のコマンドを実行してログ情報を確認します。
vim /var/log/secure
このファイルは一般的にセキュリティに関する情報の記録に用いられ、このうち大部分の記録はユーザーのCVMログインの関連ログです。下図のように、情報の中からpam_tally2のあるエラーメッセージを取得することができます。


3. 順に次のコマンドを実行し、/etc/pam.dに入り、ログの中のpamモジュールエラーのキーワードpam_tally2を検索します。
cd /etc/pam.d
find . | xargs grep -ri "pam_tally2" -l
下図のような情報が表示される場合は、loginファイルにおいてこのパラメータが設定されていることを表します。


4. 次のコマンドを実行し、pam_tally2.soモジュール設定に一時的なコメントを付加します。設定を完了すると、ログインできるようになります。
sed -i "s/.*pam_tally.*/#&/" /etc/pam.d/login
5. アカウントのロックが人為的な誤操作によるものか、総当たり攻撃によるものかを確認します。総当たり攻撃によって起こった場合は、次の方法でセキュリティポリシーを強化することを推奨します。
CVMのパスワードを変更し、大文字、小文字、特殊記号、数字を組み合わせた12~16桁の複雑なランダムパスワードを設定します。詳細については、インスタンスのパスワードをリセット をご参照ください。
CVM内の使われていないユーザーを削除します。
sshdのデフォルトの22ポートを1024~65525の間の他の非常用ポートに変更します。詳細については、CVMリモートデフォルトポートの変更 をご参照ください。
CVMのセキュリティグループに関連付けられているルールを管理し、業務およびプロトコルに必要なポートのみをオープンにし、すべてのプロトコルおよびポートをオープンにはしないことを推奨します。詳細については、セキュリティグループルールの追加 をご参照ください。
mysql、redisなどのパブリックネットワークにコアアプリケーションサービスポートへのアクセスを開放することは推奨しません。 関連するポートをローカルアクセスに変更、または外部ネットワークアクセス禁止にすることができます。
「雲鏡」、「雲鎖」などの保護ソフトウェアをインストールし、リアルタイムアラームを追加して、異常なログイン情報を速やかに取得できるようにします。
前の記事へ: Linuxのログインに失敗:ポートの問題次の記事へ: Linuxのログインに失敗:「Account locked due to XXX failed logins」

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック