前言

这两天遇到一个特别复杂的问题，非常有代表性的用户无法登录的问题，所以今天写篇关于这次报错的总结

实践

用户无法登录

1. 非系统性因素

   • 登录使用的用户名称错误
   • 登录使用的用户密码错误

2. 系统用户本身的问题

   • 用户是否配置password（不配置是无法使用密码登录的）

     # 使用root用户修改
     passwd wym

   • 用户的解释器是否是nologin

   • 用户是否被锁住

     # 检查是否存在用户锁（存在！）
     cat /etc/shadow|grep !
     # 解锁所有用户
     grep -v '^ *#' </etc/passwd | awk -F":" '{print $1}' | while IFS= read -r i; do  usermod -U "$i";   done &> /dev/null

3. ssh问题

   • 端口错误

     netstat -lntup|grep sshd
     # 默认端口22
     cat /etc/ssh/sshd_config |grep '^Port'

   • 禁止root登录

     # 如果为no，则拒绝root直接远程登录
     cat /etc/ssh/sshd_config |grep '^PermitRootLogin'

   • ssh服务没有运行

     # 检查端口也可以
     systemctl status sshd

4. 防火墙

   • firewalld

     # 这里仅讨论类rhel的内核，ubuntu/debian内核不考虑
     # 建议直接关闭firewalld，企业更喜欢使用更底层的iptables
     systemctl status firewalld  

   • iptables

     # 检查INPUT与OUPUT（重点关注INPUT）
     iptables -L
     # 检查其默认规则是否是ACCEPT以及已存在的规则是否放行TCP连接（SSH使用TCP）

   • selinux

     # 一般情况下selinux不会导致无法登录，但是如果开启了selinux，建议检查sshd相关文件与进程的selinux标签
     sestatus
     # 检查selinux标签使用命令参考
     ls -Z  # 文件
     ps -eZ  # 进程

5. 网卡配置问题

   • ip

     ip a   # 检查ip是否存在
     ping  x.x.x.x

   • ip冲突

     # 同一个局域网内有多个相同的ip
     arping -I ens33 -c 3 192.168.1.100
     # 检查响应的mac地址
     # tip：在使用xshell时发现，连接时会有连接登录成功的标识，但是却立马失败了，基本上就是ip冲突

6. 堡垒机

   • 严格登录

     # 有的堡垒机要求严格，只能使用某个用户登录

后谈

真实处理问题碰到的问题更多，在堡垒机严格仅允许指定用户通过指定端口登录情况下，主机中不仅锁住了普通用户禁止其登录，而且修改了登录端口，我把这些修改后发现还是不行，最后才被我检查到iptables的默认规则是DROP
解决一个又来一个，少解决一个都没办法登录