Linuxのログインに失敗:「Account locked due to XXX failed logins」
最終更新日:2025-09-05 17:06:07
現象の説明
VNCを使用してCVMに正常にログインできず、ログインパスワードを入力する前にエラーメッセージ「Account locked due to XXX failed logins」が表示される(下図参照)。
考えられる原因
VNCを使用したログインでは
/etc/pam.d/loginというpamモジュールを呼び出して検証を行います。一方、login設定ファイルにはpam_tally2.soモジュールの認証が存在します。pam_tally2.soモジュールの機能は、LinuxユーザーがN回連続して誤ったパスワードを入力してログインを行った場合、自動的にX分間ロック、または永続的にロックを行うものです。このうち永続的なロックは手動で解除する必要があり、これを行わなければロックされたままとなります。ログインの失敗が設定された試行回数を超えた場合、ログインアカウントは一定の時間ロックされるほか、総当たり攻撃が行われた場合はアカウントがロックされてログインできなくなる可能性もあります。下図は設定されているログイン試行可能回数です。
pam_tally2モジュールのパラメータの説明は以下の表のとおりです。パラメータ | 説明 |
deny=n | ログイン失敗回数がn回を超えた後はアクセスが拒否されます。 |
lock_time=n | ログイン失敗後にロックされる時間(秒)。 |
un lock_time=n | ログイン失敗回数が制限を超えた後、ロック解除に要する時間。 |
no_lock_time | ログファイル /var/log/faillog 中に .fail_locktime フィールドが記録されていません。 |
magic_root | rootユーザー(uid=0)がこのモジュールを呼び出した場合、カウンターの数値は増えません。 |
even_deny_root | rootユーザーのログイン失敗回数がdeny=n回を超えた後はアクセスが拒否されます。 |
root_unlock_time=n | even_deny_root に対応するオプション。このオプションを設定した場合の、rootユーザーのログイン失敗回数が制限を超えた後のロック時間。 |
解決方法
1. 処理手順 を参照し、login設定ファイルに入り、
pam_limits.soモジュール設定に一時的なコメントを付加します。2. アカウントがロックされた原因を確認し、セキュリティポリシーを強化します。
処理手順
1. SSHを使用したCVMインスタンスへのログインを試してください。詳細については SSHを使用してLinuxインスタンスにログイン をご参照ください。
ログインに成功した場合は次の手順に進みます。
ログインに失敗した場合は、単一ユーザーモードを使用する必要があります。
2. ログイン成功後、次のコマンドを実行してログ情報を確認します。
vim /var/log/secure
このファイルは一般的にセキュリティに関する情報の記録に用いられ、このうち大部分の記録はユーザーのCVMログインの関連ログです。下図のように、情報の中から
pam_tally2のあるエラーメッセージを取得することができます。
3. 順に次のコマンドを実行し、
/etc/pam.dに入り、ログの中のpamモジュールエラーのキーワードpam_tally2を検索します。cd /etc/pam.d
find . | xargs grep -ri "pam_tally2" -l
下図のような情報が表示される場合は、
loginファイルにおいてこのパラメータが設定されていることを表します。
4. 次のコマンドを実行し、
pam_tally2.soモジュール設定に一時的なコメントを付加します。設定を完了すると、ログインできるようになります。sed -i "s/.*pam_tally.*/#&/" /etc/pam.d/login
5. アカウントのロックが人為的な誤操作によるものか、総当たり攻撃によるものかを確認します。総当たり攻撃によって起こった場合は、次の方法でセキュリティポリシーを強化することを推奨します。
CVMのパスワードを変更し、大文字、小文字、特殊記号、数字を組み合わせた12~16桁の複雑なランダムパスワードを設定します。詳細については、インスタンスのパスワードをリセット をご参照ください。
CVM内の使われていないユーザーを削除します。
sshdのデフォルトの22ポートを1024~65525の間の他の非常用ポートに変更します。詳細については、CVMリモートデフォルトポートの変更 をご参照ください。
CVMのセキュリティグループに関連付けられているルールを管理し、業務およびプロトコルに必要なポートのみをオープンにし、すべてのプロトコルおよびポートをオープンにはしないことを推奨します。詳細については、セキュリティグループルールの追加 をご参照ください。
mysql、redisなどのパブリックネットワークにコアアプリケーションサービスポートへのアクセスを開放することは推奨しません。 関連するポートをローカルアクセスに変更、または外部ネットワークアクセス禁止にすることができます。
「雲鏡」などの保護ソフトウェアをインストールし、リアルタイムアラームを追加して、異常なログイン情報を速やかに取得できるようにします。
フィードバック