BX2580 M1 und ESXi 6.5 u3: CIM sperrt ESXi root-Account

PRIMERGY, SPARC Enterprise Server, PRIMEFLEX, PRIMEPower, BS2000

Moderator: ModTeam

imperial69
Posts: 1
Joined: Thu Jul 22, 2021 14:33
Product(s): BX900 / PRIMERGY BX2580 M1/M2 / PRIMERGY RX2540 M4

BX2580 M1 und ESXi 6.5 u3: CIM sperrt ESXi root-Account

Postby imperial69 » Wed Aug 04, 2021 10:26

Hallo Community,

ich brauche mal das gesammelte Wissen hier, denn ich habe ein recht spezielles Problem (siehe Titel).

Es geht um PRIMERGY BX2580 M1 mit ESXi 6.5 u3 (aktuell Build 17477841) installiert mit Fujitsu-VMvisor-Installer-6.5-13932383-v430-1.

Im vCenter bekommen wir sporadisch die Meldung:

"Remote access for ESXi local user account 'root' has been locked for 900 seconds after x failed login attempts."

Stopped man den CIM-Service auf dem entsprechenden Host, hören die Events auf. Mit gestartetem Service fängt es irgendwann wieder an (Tage?). Wir nutzen den Service für das Hardwaremonitoring (ServerView), d.h. dauerhaft deaktivieren ist keine Option. Das wurde durch VMware geraten und an den Hersteller verwiesen.

Wir haben natürlich versucht, den Verursacher zu finden und da wird es interessant:

Code: Select all

pam_tally2 --user root
Login Failures Latest failure From
root 1 07/21/21 08:54:04 unknown


Das Datum ist exemplarisch.
Mit der Quelle "unknown" kommen wir nicht weiter. Also haben wir im hostd.log nach "password" u.ä. gesucht. Dort findet man keine abgelehnten Logins!?

Code: Select all

less /var/log/hostd.log |grep -i 'password'
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user root from 127.0.0.1
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user root from 127.0.0.1
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user userx from xxx.xxx.xxx.xxx
Accepted password for user userx from xxx.xxx.xxx.xxx


Den anderen User (userx) und dessen IP habe ich mal "maskiert", das ist unser Hardwaremonitoring. Und benutzt auch nicht den betroffenen root-Acccount sondern einen Extra-User.

Danach habe ich geschaut, ob es zum fraglichen Zeitpunkt noch andere IP-Adressen im rhttpproxy.log gibt: Nichts...

Auf den Servern werden ja mit dem Fujitsu-ISO ein paar CIM-Provider installiert. Einer von denen sollte es doch sein, wenn es diese Abhängigkeit zum CIM-Service gibt?

Zum ISO gehören lt. Hersteller:
LSI SMI-S Provider lsiprovider 500.04.V0.71-0004
VMware Compatibility Guide – CIM Provider Emulex CIM Provider emulex-cim-provider 11.2.156.19-01
Emulex CNA CIM Provider brcm-cim-provider 11.2.1153.20-01
Qlogic CIM Provider qlogic-adapter-provider 1.6.96-1045108
Fujitsu CIM Provider svscimprovider 9.10-02.65 VMware Compatibility Guide – CIM Provider
Fujitsu RAID Core Provider raid0 9.10.02-01

Aktuell bei uns installiert sind die Versionen:
lsiprovider
LSI Provider for ESX Server
500.04.V0.71-0004

emulex-cim-provider
Emulex CIM Providers for ESX Server
12.0.257.4-01OEM.650.0.0.4598673

brcm-cim-provider
Emulex CNA CIM Providers for ESX Server
12.0.1114.0-01OEM.650.0.0.4598673

qlogic-adapter-provider
QLogic Adapter CIM provider for VMware ESXi5.5
1.6.96-1045108

svscimprovider
ServerView CIM Provider for the system monitoring
9.30-02.65

raid0
Fujitsu Primergy raid provider for ESX Server
9.02.02-01

Habt ihr sowas schon mal gesehen?
Wie würdet ihr weiter vorgehen?

Eventuelle Fehler möge man mir verzeihen, bin neu hier!

Vielen Dank im Voraus an Alle!

Return to “Server Produkte”

Who is online

Users browsing this forum: No registered users and 1 guest

cron