解決方法:
相關版本:紅帽企業Linux
現象:
如果你在文件/etc/security/limits.conf中設定了值。 可是如果用戶是通過ssh登錄到系統的話��。 設置將不會生效����。 如果用戶是通過telnet或者是本地登錄的話,那么設置是生效的��。
解決方法:
這個問題因該歸結于SSH登錄采取的方式��。 當一個用戶通過SSH登錄�����, SSH守護進程會創建一個新的進程去處理這個連接�����。這樣的話����, 這個進程的上下文就會被這個用戶使用��。 應為普通用戶無法增加他們的ulimit限制��。所以即使在文件/etc/security/limits.conf中有較高的數值也不能被激活生效。 這是因為調用的程序�����,如sshd����。限制了修改屬性的權限。
這個問題目前有兩個解決方法。第一步需要對SSHD服務器進行設置修改��。另一步是用戶每一次登陸時都需要運行命令��。
1. 修改SSH守護進程的配置文件/etc/ssh/sshd_config�����,關閉特權隔離。修改如下
#UsePrivilegeSeparation yes
把它改成��。
UsePrivilegeSeparation no
并且修改
#PAMAuthenticationViaKbdInt no
修改之后如下
PAMAuthenticationViaKbdInt yes
關閉這些選項會帶來一些安全風險��。但那也只是在SSH守護進程的漏洞被發現并且被利用的情況下才會出現�����。關閉之后就意味著sshd不會創建非特權子進程去處理進站連接����。如果漏洞存在而且被利用,則有人可以控制sshd進程��,而這個進程是以root身份運行的��。到目前還沒有已知的弱點��,如果你經常使用 up2date升級你的系統的話,那么任何漏洞都會在發現之后被迅速的修正����。
要使改動生效��,需要重新啟動SSHD.
# service sshd restart
設置改動之后,當用戶通過SSH登陸之后����,這些會話的最大打開文件數參數會按照/etc/security/limits.conf文件被設置��。不需要額外的操作����。
2. 使用 “su - $USER”來設置最大打開文件數����。在用戶通過ssh登陸之后,使用如下命令
su - $USER
用戶被要求再次輸入密碼����,上述的操作將會使ulimit被正確的設定����。用戶將需要在每次登陸時運行 su - $USER ����。 才能正確設置文件限制����。
注意: 這個問題已經在SSH 3.8版本中得到了解決。 并且紅帽企業Linux的后續產品將會采用這個版本