牵着老婆满街逛

严以律己,宽以待人. 三思而后行.
GMail/GTalk: yanglinbo#google.com;
MSN/Email: tx7do#yahoo.com.cn;
QQ: 3 0 3 3 9 6 9 2 0 .

为什么不能在SSH(Secure Shell)登录中设置ulimit值?

解决方法:

相关版本:红帽企业Linux

现象:

如果你在文件/etc/security/limits.conf中设定了值。 可是如果用户是通过ssh登录到系统的话。 设置将不会生效。 如果用户是通过telnet或者是本地登录的话,那么设置是生效的。

解决方法:

这个问题因该归结于SSH登录采取的方式。 当一个用户通过SSH登录, SSH守护进程会创建一个新的进程去处理这个连接。这样的话, 这个进程的上下文就会被这个用户使用。 应为普通用户无法增加他们的ulimit限制。所以即使在文件/etc/security/limits.conf中有较高的数值也不能被激活生效。 这是因为调用的程序,如sshd。限制了修改属性的权限。

这个问题目前有两个解决方法。第一步需要对SSHD服务器进行设置修改。另一步是用户每一次登陆时都需要运行命令。


1. 修改SSH守护进程的配置文件/etc/ssh/sshd_config,关闭特权隔离。修改如下

      #UsePrivilegeSeparation yes 

把它改成。

      UsePrivilegeSeparation no

并且修改

      #PAMAuthenticationViaKbdInt no 

修改之后如下

      PAMAuthenticationViaKbdInt yes 

关闭这些选项会带来一些安全风险。但那也只是在SSH守护进程的漏洞被发现并且被利用的情况下才会出现。关闭之后就意味着sshd不会创建非特权子进程去处理进站连接。如果漏洞存在而且被利用,则有人可以控制sshd进程,而这个进程是以root身份运行的。到目前还没有已知的弱点,如果你经常使用 up2date升级你的系统的话,那么任何漏洞都会在发现之后被迅速的修正。


要使改动生效,需要重新启动SSHD.

         # service sshd restart

设置改动之后,当用户通过SSH登陆之后,这些会话的最大打开文件数参数会按照/etc/security/limits.conf文件被设置。不需要额外的操作。


2. 使用 “su - $USER”来设置最大打开文件数。在用户通过ssh登陆之后,使用如下命令

         su - $USER

用户被要求再次输入密码,上述的操作将会使ulimit被正确的设定。用户将需要在每次登陆时运行 su - $USER 。 才能正确设置文件限制。


注意: 这个问题已经在SSH 3.8版本中得到了解决。 并且红帽企业Linux的后续产品将会采用这个版本

posted on 2006-12-17 00:45 杨粼波 阅读(989) 评论(0)  编辑 收藏 引用


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理