오늘 무슨 테스트를 해본다고 만들고 있던 랩 환경이 있었습니다.

외부에서 접속할 필요가 있어서 ESXi 호스트쪽으로 22번 포트를 외부로 오픈해두고 있던 상황이였는데요, 

잘 쓰고 있는데 갑자기 ESXi host client 하고 ssh 쪽으로 root 로 로그인이 안되는 겁니다. 패스워드를 쉬운걸 해놔서 아뿔싸 해킹 당했나보구나 라고 생각해봤습니다. 상단의 라우터쪽에서도 여러가지 외부 아이피들이 찍혀있었구요. 

ESXi 는 다시 밀어야겠구나 하고 생각하고… 해당 호스트에 콘솔로 접근하는 순간..

어라? 원래 알던 패스워드로 접속이 되는것입니다. 그 상태에서 패스워드를 변경하고 다시 접속을 시도해봤지만 되지 않았습니다.

알아봤더니 아래 두가지 파라미터로 인해 root 계정이 lock 이 걸리는 것이였습니다.

  • Security.AccountLockFailures – Maximum allowed failed login attempts before locking out a user’s account. Zero disables account locking.
  • Security.AccountUnlockTime – Duration in seconds to lock out a user’s account after exceeding the maximum allowed failed login attempts.

원래대로라면 Lock 이 걸려도 900초 (15분) 후에 Lock 이 풀려야했겠지만… 열려있던 22번 포트로 지속적인 접근시도가 있어서 풀리질 않았던것 같습니다.

안타깝게도 Lock 이 걸릴 경우 콘솔로 접근해서 푸는 방법 이외에는 다른 방법은 없는것 같습니다. 콘솔로 접근 후 다음 커맨드를 실행하면 됩니다.

pam_tally2 --user root --reset

운영환경에서는 기본적인 보안이 되어있는곳이면 문제가 되지 않겠지만 혹시나 저와 같은 경우가 있다면 참고하시기 바랍니다. 저는 위와 같은 조치후 후속조치로 열려있던 22번 포트를 막았습니다.

아니 막았다기 보다는 설정했던 port forwarding 을 지웠죠

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다