文档首页/ 云堡垒机 CBH/ 常见问题/ 故障排除/ 登录资源故障/ 通过Web浏览器登录资源,报Code:C_515错误怎么办?
更新时间:2023-12-05 GMT+08:00

通过Web浏览器登录资源,报Code:C_515错误怎么办?

问题现象

通过Web浏览器登录Linux主机资源,报登录错误,提示“运维资源过程中遇到一个错误,请重试或联系管理员(Code:C_515)”

可能原因

  • 原因一:密码输入错误次数超过Linux主机登录安全防护次数上限,导CBH的IP被加入“/etc/hosts.deny”文件名单。
  • 原因二:Linux主机开启了企业主机安全服务(Host Security Service,HSS),多次输入错误密码尝试登录,CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”文件名单。
  • 原因三:堡垒机不支持操作系统的SSH算法。(仅针对V3.3.38版本以下堡垒机)

解除“/etc/hosts.deny”文件限制

  1. 管理员登录Linux主机。
  2. 执行以下命令,查看“/var/log/secure”日志,确认主机拒绝云堡垒机IP记录。

    cat /var/log/secure

  3. 执行以下命令,编辑“/etc/hosts.deny”文件,删除云堡垒机的IP。

    vim /etc/hosts.deny

  4. (可选)将CBH的IP加入白名单。

    执行以下命令,编辑Linux主机的“/etc/hosts.allow”文件,允许所有IP地址登录,避免影响云堡垒机正常使用。

    vim /etc/hosts.allow

解除HSS登录IP限制

  1. 查看“/etc/sshd.deny.hostguard”文件。

    1. 管理员登录Linux主机。
    2. 执行以下命令,查询“/etc/sshd.deny.hostguard”文件。

      cat /etc/sshd.deny.hostguard

    3. 执行以下命令,打开“/etc/sshd.deny.hostguard”文件。

      vim /etc/sshd.deny.hostguard

    4. 确认“/etc/sshd.deny.hostguard”文件中是否有CBH内网IP记录。

  2. 在HSS管理控制台,解除IP限制。

    1. 登录HSS管理控制台。
    2. 选择入侵检测 > 事件管理,进入事件管理页面。
    3. “安全告警统计”模块,单击“已拦截IP”,展开已拦截IP列表。
    4. 找到并勾选CBH内网IP所在行,单击列表左上角“解除拦截”

  3. (可选)将CBH加入IP白名单。

    在HSS管理控制台,将CBH的IP添加“SSH登录IP白名单”,允许CBH登录到Linux主机。

此外,建议使用云堡垒机纳管主机账户密码,并定期进行账户同步,避免手动输入账户密码错误或未同步僵尸账户,而导致云堡垒机IP被加入黑名单。

解除SSH算法限制

  1. 检查服务器配置文件“/etc/ssh/sshd_config”

    1. 管理员登录Linux主机。
    2. 执行以下命令,查询“/etc/ssh/sshd_config”文件。

      cat /etc/ssh/sshd_config

    3. 执行以下命令,打开“/etc/ssh/sshd_config”文件。

      vim /etc/ssh/sshd_config

  2. 修改算法:在HostKeyAlgorithms行后添加如下指令:

    ssh-rsa,ssh-dss

    若您的默认配置文件中找不到HostKeyAlgorithms行,该步骤指令需要修改为:HostKeyAlgorithms ssh-rsa,ssh-dss

  3. 使用如下命令,重启SSH服务:

    systemctl restart sshd

如果通过上述排查,仍然无法解决问题,请单击管理控制台右上方的“工单”,填写工单信息反馈问题现象,联系技术支持。