为什么不能在SSH(Secure Shell)登录中设置ulimit值?
SuSE上的一些问题,可能需要另参考:http://blog.chinaunix.net/u2/64804/showart.php?id=2026903
相关版本:红帽企业Linux
现象:
如果你在文件/etc/security/limits.conf中设定了值。 可是如果用户是通过ssh登录到系统的话。 设置将不会生效。 如果用户是通过telnet或者是本地登录的话,那么设置是生效的。
解决方法:
这个问题因该归结于SSH登录采取的方式。 当一个用户通过SSH登录, SSH守护进程会创建一个新的进程去处理这个连接。 这样的话, 这个进程的上下文就会被这个用户使用。 应为普通用户无法增加他们的ulimit限制。 所以即使在文件/etc/security/limits.conf中有较高的数值也不能被激活生效。 这是因为调用的程序,如sshd。 限制了修改属性的权限。
这个问题目前有两个解决方法。第一步需要对SSHD服务器进行设置修改。另一步是用户每一次登陆时都需要运行命令。
1. 修改SSH守护进程的配置文件/etc/ssh/sshd_config,关闭特权隔离。修改如下
#UsePrivilegeSeparation yes
把它改成。
UsePrivilegeSeparation no
并且修改
#PAMAuthenticationViaKbdInt no
修改之后如下
PAMAuthenticationViaKbdInt yes
关闭这些选项会带来一些安全风险。但那也只是在SSH守护进程的漏洞被发现并且被利用的情况下才会出现。关闭之后就意味着sshd不会创建非特权子进程去处理进站连接。如果漏洞存在而且被利用,则有人可以控制sshd进程,而这个进程是以root身份运行 的。到目前还没有已知的弱点,如果你经常使用up2date升级你的系统的话,那么任何漏洞都会在发现之后被迅速的修正。
要使改动生效,需要重新启动SSHD.
# service sshd restart
设置改动之后,当用户通过SSH登陆之后,这些会话的最大打开文件数参数会按照/etc/security/limits.conf文件被设置。不需要额外的操作。
2. 使用 “su - $USER”来设置最大打开文件数。在用户通过ssh登陆之后,使用如下命令
su - $USER
用户被要求再次输入密码,上述的操作将会使ulimit被正确的设定。用户将需要在每次登陆时运行 su - $USER 。 才能正确设置文件限制。
注意: 这个问题已经在SSH 3.8版本中得到了解决。 并且红帽企业Linux的后续产品将会采用这个版本
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 2.进程控制
- 2-1.死锁-经典同步问题
- 2-2.进程通信-多线程
- 微服务[学成在线] day17:基于Zuul网关实现路由转发、过滤器
- Delta Lake 学习笔记(一)
- Delta Lake 学习笔记(二)
- Delta Lake 学习笔记(三)
- 4.IP地址与子网划分
- 08-软考的法律条文
- Intellij IDEA必备插件,提高效率的“七种武器”!
- Mongodb分页查询优化下
- MySQL 案例:大表改列的新技巧(Generated Column)
- Spark 2.2 on K8S Dynamic Resource Allocation
- Java中异常处理的9个最佳实践
- Mongodb执行计划