通过Web浏览器登录资源，报Code：C_515错误怎么办？

问题现象

通过Web浏览器登录Linux或Windows主机资源，报登录错误，提示“运维资源过程中遇到一个错误，请重试或联系管理员（Code：C_515）”。

可能原因

• 原因一：密码输入错误次数超过Linux主机登录安全防护次数上限，导CBH的IP被加入“/etc/hosts.deny”文件名单。
• 原因二：Linux主机开启了企业主机安全服务（Host Security Service，HSS），多次输入错误密码尝试登录，CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”文件名单。
• 原因三：堡垒机不支持操作系统的SSH算法。（仅针对V3.3.38版本以下堡垒机）。
• 原因四：Windows主机开启了防火墙，导致堡垒机与主机网络无法正常连接。

解除“/etc/hosts.deny”文件限制

1. 管理员登录Linux主机。
2. 执行以下命令，查看“/var/log/secure”日志，确认主机拒绝云堡垒机IP记录。

   cat /var/log/secure

3. 执行以下命令，编辑“/etc/hosts.deny”文件，删除云堡垒机的IP。

   vim /etc/hosts.deny

4. （可选）将CBH的IP加入白名单。

   执行以下命令，编辑Linux主机的“/etc/hosts.allow”文件，允许所有IP地址登录，避免影响云堡垒机正常使用。

   vim /etc/hosts.allow

解除HSS登录IP限制

1. 查看“/etc/sshd.deny.hostguard”文件。
   1. 管理员登录Linux主机。
   2. 执行以下命令，查询“/etc/sshd.deny.hostguard”文件。

      cat /etc/sshd.deny.hostguard

   3. 执行以下命令，打开“/etc/sshd.deny.hostguard”文件。

      vim /etc/sshd.deny.hostguard

   4. 确认“/etc/sshd.deny.hostguard”文件中是否有CBH内网IP记录。

2. 在HSS管理控制台，解除IP限制。
   1. 登录HSS管理控制台。
   2. 选择“入侵检测 > 事件管理”，进入事件管理页面。
   3. 在“安全告警统计”模块，单击“已拦截IP”，展开已拦截IP列表。
   4. 找到并勾选CBH内网IP所在行，单击列表左上角“解除拦截”。

3. （可选）将CBH加入IP白名单。

   在HSS管理控制台，将CBH的IP添加“SSH登录IP白名单”，允许CBH登录到Linux主机。

此外，建议使用云堡垒机纳管主机账户密码，并定期进行账户同步，避免手动输入账户密码错误或未同步僵尸账户，而导致云堡垒机IP被加入黑名单。

解除SSH算法限制

1. 检查服务器配置文件“/etc/ssh/sshd_config”
   1. 管理员登录Linux主机。
   2. 执行以下命令，查询“/etc/ssh/sshd_config”文件。

      cat /etc/ssh/sshd_config

   3. 执行以下命令，打开“/etc/ssh/sshd_config”文件。

      vim /etc/ssh/sshd_config

2. 修改算法：在HostKeyAlgorithms行后添加如下指令：

   ssh-rsa,ssh-dss

   

   若您的默认配置文件中找不到HostKeyAlgorithms行，该步骤指令需要修改为：HostKeyAlgorithms ssh-rsa,ssh-dss

3. 使用如下命令，重启SSH服务：

   systemctl restart sshd

添加堡垒机IP为白名单

Windows服务器如果是由于开启防火墙导致堡垒机无法正常登录，可在Windows防火墙内添加堡垒机IP为白名单，即可正常登录。