我有一台安装了 ESXi 6.5 的 SuperMicro 服务器。它运行良好,直到最近我发现无法登录。检查日志文件显示有东西试图以“root”身份登录,但没有成功,并反复锁定用户名。
从安全角度来说,我并不太担心——该设备只能在本地网络内访问,而且我们办公室很小。我们还生产执行网络扫描的软件。最可能的原因是,某个软件被指示(错误地)使用某个无效的用户名和密码组合来轮询我的设备。
日志文件显示以下内容:
xxx 次登录尝试失败后,ESXi 本地用户帐户“root”的远程访问将被锁定 120 秒。
令人愤怒的是,由于某种原因,日志文件没有显示尝试登录的设备的 IP 地址,这让我很难将有问题的设备扔出窗外。
我是不是漏掉了什么?有没有办法通过前端管理界面(因为我自然被锁定在瘦客户端之外,而 vSphere 也已经过时了)找出谁试图登录我的设备?
答案1
如果登录失败是通过 vSphere Client 或任何其他使用基于 Web 的 API(端口 443)(如 PowerCLI 等)的方式发生的,那么您可以找到类似以下日志条目
拒绝接受来自 [ipaddress] 的用户 [username] 的密码
在日志文件 /var/log/hostd.log 中。使用类似以下 shell 命令查找它们
grep Rejected /var/log/hostd.log
如果通过 ssh 登录失败(如果此服务正在运行且不受内置防火墙的限制,这是绝对不行的),那么你会发现类似的条目
错误:PAM:来自 [ipaddress] 的 [用户名] 身份验证失败
在日志文件 /var/log/auth.log 中。使用类似 shell 命令查找它们
grep failure /var/log/auth.log