通过Web浏览器登录资源,报Code:C_515错误怎么办?
问题现象
通过Web浏览器登录Linux或Windows主机资源,报登录错误,提示“运维资源过程中遇到一个错误,请重试或联系管理员(Code:C_515)”。
可能原因
- 原因一:密码输入错误次数超过Linux主机登录安全防护次数上限,导CBH的IP被加入“/etc/hosts.deny”文件名单。
- 原因二:Linux主机开启了企业主机安全服务(Host Security Service,HSS),多次输入错误密码尝试登录,CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”文件名单。
- 原因三:堡垒机不支持操作系统的SSH算法。(仅针对V3.3.38版本以下堡垒机)。
- 原因四:Windows主机开启了防火墙,导致堡垒机与主机网络无法正常连接。
解除“/etc/hosts.deny”文件限制
- 管理员登录Linux主机。
- 执行以下命令,查看“/var/log/secure”日志,确认主机拒绝云堡垒机IP记录。
cat /var/log/secure
- 执行以下命令,编辑“/etc/hosts.deny”文件,删除云堡垒机的IP。
vim /etc/hosts.deny
- (可选)将CBH的IP加入白名单。
执行以下命令,编辑Linux主机的“/etc/hosts.allow”文件,允许所有IP地址登录,避免影响云堡垒机正常使用。
vim /etc/hosts.allow
解除HSS登录IP限制
- 查看“/etc/sshd.deny.hostguard”文件。
- 管理员登录Linux主机。
- 执行以下命令,查询“/etc/sshd.deny.hostguard”文件。
cat /etc/sshd.deny.hostguard
- 执行以下命令,打开“/etc/sshd.deny.hostguard”文件。
vim /etc/sshd.deny.hostguard
- 确认“/etc/sshd.deny.hostguard”文件中是否有CBH内网IP记录。
- 在HSS管理控制台,解除IP限制。
- 登录HSS管理控制台。
- 选择 ,进入事件管理页面。
- 在“安全告警统计”模块,单击“已拦截IP”,展开已拦截IP列表。
- 找到并勾选CBH内网IP所在行,单击列表左上角“解除拦截”。
- (可选)将CBH加入IP白名单。
在HSS管理控制台,将CBH的IP添加“SSH登录IP白名单”,允许CBH登录到Linux主机。
解除SSH算法限制
- 检查服务器配置文件“/etc/ssh/sshd_config”
- 管理员登录Linux主机。
- 执行以下命令,查询“/etc/ssh/sshd_config”文件。
cat /etc/ssh/sshd_config
- 执行以下命令,打开“/etc/ssh/sshd_config”文件。
vim /etc/ssh/sshd_config
- 修改算法:在HostKeyAlgorithms行后添加如下指令:
ssh-rsa,ssh-dss
若您的默认配置文件中找不到HostKeyAlgorithms行,该步骤指令需要修改为:HostKeyAlgorithms ssh-rsa,ssh-dss
- 使用如下命令,重启SSH服务:
systemctl restart sshd
添加堡垒机IP为白名单
Windows服务器如果是由于开启防火墙导致堡垒机无法正常登录,可在Windows防火墙内添加堡垒机IP为白名单,即可正常登录。