相关版本:红帽企业Linux
现象:
如果你在文件/etc/security/limits.conf中设定了值。 可是如果用户是通过ssh登录到系统的话。 设置将不会生效。 如果用户是通过telnet或者是本地登录的话,那么设置是生效的。
解决方法:
这个问题因该归结于SSH登录采取的方式。 当一个用户通过SSH登录, SSH守护进程会创建一个新的进程去处理这个连接。这样的话, 这个进程的上下文就会被这个用户使用。 应为普通用户无法增加他们的ulimit限制。所以即使在文件/etc/security/limits.conf中有较高的数值也不能被激活生效。 这是因为调用的程序,如sshd。限制了修改属性的权限。
这个问题目前有两个解决方法。第一步需要对SSHD服务器进行设置修改。另一步是用户每一次登陆时都需要运行命令。
1. 修改SSH守护进程的配置文件/etc/ssh/sshd_config,关闭特权隔离。修改如下
#UsePrivilegeSeparation yes
把它改成。
UsePrivilegeSeparation no
并且修改
#PAMAuthenticationViaKbdInt no
修改之后如下
PAMAuthenticationViaKbdInt yes
关闭这些选项会带来一些安全风险。但那也只是在SSH守护进程的漏洞被发现并且被利用的情况下才会出现。关闭之后就意味着sshd不会创建非特权子进程去处理进站连接。如果漏洞存在而且被利用,则有人可以控制sshd进程,而这个进程是以root身份运行的。到目前还没有已知的弱点,如果你经常使用 up2date升级你的系统的话,那么任何漏洞都会在发现之后被迅速的修正。
要使改动生效,需要重新启动SSHD.
# service sshd restart
设置改动之后,当用户通过SSH登陆之后,这些会话的最大打开文件数参数会按照/etc/security/limits.conf文件被设置。不需要额外的操作。
2. 使用 “su - $USER”来设置最大打开文件数。在用户通过ssh登陆之后,使用如下命令
su - $USER
用户被要求再次输入密码,上述的操作将会使ulimit被正确的设定。用户将需要在每次登陆时运行 su - $USER 。 才能正确设置文件限制。
注意: 这个问题已经在SSH 3.8版本中得到了解决。 并且红帽企业Linux的后续产品将会采用这个版本
