Chinaunix首页 | 论坛 | 博客
  • 博客访问: 8139741
  • 博文数量: 594
  • 博客积分: 13065
  • 博客等级: 上将
  • 技术积分: 10324
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-26 16:44
个人简介

推荐: blog.csdn.net/aquester https://github.com/eyjian https://www.cnblogs.com/aquester http://blog.chinaunix.net/uid/20682147.html

文章分类

全部博文(594)

分类: LINUX

2009-08-11 14:09:50

SuSE上的一些问题,可能需要另参考:http://blog.chinaunix.net/u2/64804/showart.php?id=2026903


相关版本:红帽企业Linux

 

现象:

 

如果你在文件/etc/security/limits.conf中设定了值。 可是如果用户是通过ssh登录到系统的话。 设置将不会生效。 如果用户是通过telnet或者是本地登录的话,那么设置是生效的。

 

解决方法:

 

这个问题因该归结于SSH登录采取的方式。 当一个用户通过SSH登录, SSH守护进程会创建一个新的进程去处理这个连接。 这样的话, 这个进程的上下文就会被这个用户使用。 应为普通用户无法增加他们的ulimit限制。 所以即使在文件/etc/security/limits.conf中有较高的数值也不能被激活生效。 这是因为调用的程序,如sshd。 限制了修改属性的权限。

 

这个问题目前有两个解决方法。第一步需要对SSHD服务器进行设置修改。另一步是用户每一次登陆时都需要运行命令。

 

1. 修改SSH守护进程的配置文件/etc/ssh/sshd_config,关闭特权隔离。修改如下

 



      #UsePrivilegeSeparation yes

 

把它改成。

 



      UsePrivilegeSeparation no

 

并且修改

 



      #PAMAuthenticationViaKbdInt no

 

修改之后如下

 



      PAMAuthenticationViaKbdInt yes

 

关闭这些选项会带来一些安全风险。但那也只是在SSH守护进程的漏洞被发现并且被利用的情况下才会出现。关闭之后就意味着sshd不会创建非特权子进程去处理进站连接。如果漏洞存在而且被利用,则有人可以控制sshd进程,而这个进程是以root身份运行 的。到目前还没有已知的弱点,如果你经常使用up2date升级你的系统的话,那么任何漏洞都会在发现之后被迅速的修正。

 

要使改动生效,需要重新启动SSHD.

 



         # service sshd restart

 

设置改动之后,当用户通过SSH登陆之后,这些会话的最大打开文件数参数会按照/etc/security/limits.conf文件被设置。不需要额外的操作。

 

2. 使用 “su - $USER”来设置最大打开文件数。在用户通过ssh登陆之后,使用如下命令

 



         su - $USER

 

用户被要求再次输入密码,上述的操作将会使ulimit被正确的设定。用户将需要在每次登陆时运行 su - $USER 。 才能正确设置文件限制。

 

注意: 这个问题已经在SSH 3.8版本中得到了解决。 并且红帽企业Linux的后续产品将会采用这个版本

阅读(3156) | 评论(0) | 转发(1) |
0

上一篇:limits.conf

下一篇:Ubuntu系统微调

给主人留下些什么吧!~~