ich brauche mal das gesammelte Wissen hier, denn ich habe ein recht spezielles Problem (siehe Titel).
Es geht um PRIMERGY BX2580 M1 mit ESXi 6.5 u3 (aktuell Build 17477841) installiert mit Fujitsu-VMvisor-Installer-6.5-13932383-v430-1.
Im vCenter bekommen wir sporadisch die Meldung:
"Remote access for ESXi local user account 'root' has been locked for 900 seconds after x failed login attempts."
Stopped man den CIM-Service auf dem entsprechenden Host, hören die Events auf. Mit gestartetem Service fängt es irgendwann wieder an (Tage?). Wir nutzen den Service für das Hardwaremonitoring (ServerView), d.h. dauerhaft deaktivieren ist keine Option. Das wurde durch VMware geraten und an den Hersteller verwiesen.
Wir haben natürlich versucht, den Verursacher zu finden und da wird es interessant:
Code: Select all
pam_tally2 --user root
Login Failures Latest failure From
root 1 07/21/21 08:54:04 unknown
Das Datum ist exemplarisch.
Mit der Quelle "unknown" kommen wir nicht weiter. Also haben wir im hostd.log nach "password" u.ä. gesucht. Dort findet man keine abgelehnten Logins!?
Code: Select all
less /var/log/hostd.log |grep -i 'password'
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user root from 127.0.0.1
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user userx from xxx.xxx.xxx.xxx
Den anderen User (userx) und dessen IP habe ich mal "maskiert", das ist unser Hardwaremonitoring. Und benutzt auch nicht den betroffenen root-Acccount sondern einen Extra-User.
Danach habe ich geschaut, ob es zum fraglichen Zeitpunkt noch andere IP-Adressen im rhttpproxy.log gibt: Nichts...
Auf den Servern werden ja mit dem Fujitsu-ISO ein paar CIM-Provider installiert. Einer von denen sollte es doch sein, wenn es diese Abhängigkeit zum CIM-Service gibt?
Zum ISO gehören lt. Hersteller:
LSI SMI-S Provider lsiprovider 500.04.V0.71-0004
VMware Compatibility Guide – CIM Provider Emulex CIM Provider emulex-cim-provider 11.2.156.19-01
Emulex CNA CIM Provider brcm-cim-provider 11.2.1153.20-01
Qlogic CIM Provider qlogic-adapter-provider 1.6.96-1045108
Fujitsu CIM Provider svscimprovider 9.10-02.65 VMware Compatibility Guide – CIM Provider
Fujitsu RAID Core Provider raid0 9.10.02-01
Aktuell bei uns installiert sind die Versionen:
lsiprovider
LSI Provider for ESX Server
500.04.V0.71-0004
emulex-cim-provider
Emulex CIM Providers for ESX Server
12.0.257.4-01OEM.650.0.0.4598673
brcm-cim-provider
Emulex CNA CIM Providers for ESX Server
12.0.1114.0-01OEM.650.0.0.4598673
qlogic-adapter-provider
QLogic Adapter CIM provider for VMware ESXi5.5
1.6.96-1045108
svscimprovider
ServerView CIM Provider for the system monitoring
9.30-02.65
raid0
Fujitsu Primergy raid provider for ESX Server
9.02.02-01
Habt ihr sowas schon mal gesehen?
Wie würdet ihr weiter vorgehen?
Eventuelle Fehler möge man mir verzeihen, bin neu hier!
Vielen Dank im Voraus an Alle!