vncroot登录无响应

使用 VNC 登录云服务器时，输入正确的密码无法登录，会卡在如下图所示界面，稍后会再次提示需要输入账号。

且使用 SSH 远程登录时，会出现报错信息 “Permission denied,please try again”。如下图所示：

可能原因

可能是由于频繁暴力破解导致 /var/log/btmp 日志容量过大。该文件用于记录错误登录的日志，容量过大会导致登录时写入日志异常，造成无法正常登录。如下图所示：

解决思路

参考 处理步骤 查看日志文件 /var/log/btmp 容量是否过大。

核实是否为暴力破解导致，并加固安全策略。

处理步骤

尝试使用 SSH 登录云服务器，详情请参见 使用 SSH 登录 Linux 实例。

登录成功，则执行下一步。

登录失败，则需使用单用户模式，详情请参见 通过控制台进入 Linux 实例单用户模式。

进入 /var/log 查看日志文件 /var/log/btmp 容量。

若日志文件 /var/log/btmp 容量过大，则执行以下命令，对 btmp 日志内容进行清空。清空日志文件后，即可恢复登录。

cat /dev/null > /var/log/btmp

核实帐户锁定是由人为误操作还是暴力破解引起。若是由暴力破解引起，建议选择以下方案加固安全策略：

修改云服务器密码，密码设置为由大写、小写、特殊字符、数字组成的12 - 16位的复杂随机密码。详情请参见 重置实例密码。

删除云服务器中已不再使用的用户。

将 sshd 的默认22端口改为1024 - 65525间的其他非常用端口。详情请参见 修改云服务器远程默认端口。

管理云服务器已关联安全组中的规则，只需放通业务和协议所需端口，不建议放通所有协议及端口。详情请参见 添加安全组规则。

不建议向公网开放核心应用服务端口访问。例如，mysql 及 redis 等。您可将相关端口修改为本地访问或禁止外网访问。

安装云镜、云锁等防护软件，并添加实时告警，以便及时获取异常登录信息。

许多人都有过网络密码被盗的经历，而防范意识不强是造成密码被盗的主要原因之一，有些人使用数字串“12345678”作为密码，还有些人使用密码的英文单词“password”作为密码。实际上，即使对“password”做一些的变动，比如写“p@ssw0rd”，仍然不是安全的密码。

   　　安全密码

黑客们使用的暴力破解软件每秒钟可以尝试800万个密码，如何你的密码过于简单，破解它是分分钟的事 。就在本周三，职业社交网站LinkedIn一亿多用户的密码被黑客拿到网上出售。

那么，如何保证网络账号的安全呢首先，检查一下自己的密码是否强度太低，第二，为每个网站创建容易记住且不一样的密码。即使某个网站用户密码遭大面积泄露，也不会殃及其他网站。

检查已有密码

使用一个简单的词语作为主密码是非常不安全的。“字典攻击”能以极快的速度逐一尝试一种语言中所有词语，所以暴力破解也被称为“穷举法”。黑客们会把盗来的数千万个密码放到暗网上分享或者出售，然后这些密码会被添加到已有的密码破解字典。简单的词语通常会第一步被暴力破解。

就拿 “saxophone”作为例子，如果把它作为密码，用英文字典破解只需一会儿的功夫，即使开头字母用大写(Saxophone)也不会增加太大的破解难度。甚至把里面在字母换成数字，变成“sax0ph0ne”，也不能算安全的密码，黑客可以在一两小时内破解这种密码。然而，增加一个数字会起到很大的作用，破解软件可能需要四天才能破解“saxophone1”。

另外需要强调的一点是，永远不要在网上测试实际密码的强度。

使用长密码

网络安全专家认为，一个安全的密码至少是在12到14个字符以上。14个字符的密码需要猜测811万亿次才能破解，长度才能保证安全，而不是复杂度。相比之下，8位的密码只需要几个小时就能破解。

但是，很少有人会使用12位以上的密码。这可以理解：长密码很难记住，输入也麻烦。但这个问题其实很好解决，照着下面的步骤做，你一定能创建出自己的安全密码。

用句子做密码

“saxophone ”可能会很快被破解，但是如果改成“IPlayTheSaxophone”(我吹萨克斯)，可能需要两年的时间来破解。再加长一点变成 “EveryDayIPlayTheSaxophone”(我每天吹萨克斯)，则需要几十亿年的时间来破解。不懂英语的话，把中文拼音也能起到一样的效果，比如“WoMeitianYanzouSakesi”。

为了好记，你可以使用**台词、古诗或者儿歌里的句子做密码。也许你还可以更换其中的一个词。总而言之，句子比随机的一串字符好记得多。

在不同网站上使用同一个密码的不同版本

通常的建议是为你登录的每一个网站创建不同的密码。

从长久来看，在你所登录的网站中，可能有一天会有某个网站的密码数据库被黑客攻破，比如几年前的CSDN密码泄露事件，或者你遭受钓鱼攻击，泄露了某个网站的账户密码。如果你使用同样的邮箱和密码注册所有网站，其他网站的账户密码也就同时泄露了。

但是对大多数人来说，要记住一大堆密码是件很困难的事，即使记住这些密码，也有可能会忘记哪个密码是哪个网站的。

解决的办法是给每个网站的密码加上“标签”，比如“EveryDayIPlayTheSaxophone@qq”。如果再把其中的一些字母改成数字或者符号，那就更安全了。这样的密码简单易记，而且，如果一个网站的密码泄露了，黑客不能用来登录你的其他网站账户。

小心使用特殊字符

许多人喜欢把“a”换成“@”，把“o”换成“0”，那样，“saxophone”就变成了“s@x0ph0ne”。问题是，黑客知道有人使用了这种方法，会相应地改变破解方式，破解“s@x0ph0ne”只需不到一个小时。一个著名的例子是，荷兰安全证书提供商NigiNotar员工使用 “production/administrator”(产品管理员)作为用户名，使用“Pr0d@dm1n”作为密码，这个密码被一名21岁的伊朗学生猜到，最终导致这家公司破产。

保持“数字卫生”

不要使用你的狗或者猫的名字或者名字变体作为你的密码，然后还在社交网站上晒它们的照片，叫出它们的名字。高级可持续性威胁(ATP)小组会搜遍互联网寻找个人信息，并用于攻击银行账户。避免使用跟家庭成员和宠物名字或者以往住址有关的密码。

使用密码管理软件

这些软件，比如LastPass，提供了浏览器插件，在你第一次输入某个网站的账号密码时，它会帮你将密码保存到其服务器中，这样可以免除你每次登陆都要重新输入账号密码的烦恼。当你输入弱密码时，它还会提醒你更换成强密码。这些软件还能为你生成强密码。

不过，也有一些对这些软件感到不放心。如果软件账号的主密码被盗了呢这样所有其他网站的账户和密码都泄露了。

把密码写在纸上

如果创建了一个很长的密码，但是担心会忘记，你可以把它写在纸上，并放到家里安全的地方，比如锁在抽屉里。这样要比保存在电脑上安全得多。

最差密码排行榜

1 123456

2 password

3 12345678

4 qwerty

5 12345

6 123456789

7 football

8 1234

9 1234567

10 baseball

11 welcome

12 1234567890

13 abc123

14 111111

15 1qaz2wsx

16 dragon

17 master

18 monkey

19 letmein

20 login

21 princess

22 qwertyuiop

23 solo

24 passw0rd

25 starwars

操作系统：kali linux

使用工具：aircrack-ng，crunch

      闲没事干，研究了下破解wlan，也算有点成就感吧。为了争取通俗易懂，尽量保证能看得懂，如果完全没有linux基础的话还是坐着吧！