解決方法:
相關版本:紅帽企業Linux
現象:
如果你在文件/etc/security/limits.conf中設定了值����。 可是如果用戶是通過ssh登錄到系統的話����。 設置將不會生效。 如果用戶是通過telnet或者是本地登錄的話,那么設置是生效的。
解決方法:
這個問題因該歸結于SSH登錄采取的方式����。 當一個用戶通過SSH登錄�����, SSH守護進程會創建一個新的進程去處理這個連接。這樣的話, 這個進程的上下文就會被這個用戶使用�����。 應為普通用戶無法增加他們的ulimit限制�����。所以即使在文件/etc/security/limits.conf中有較高的數值也不能被激活生效。 這是因為調用的程序�����,如sshd。限制了修改屬性的權限。
這個問題目前有兩個解決方法��。第一步需要對SSHD服務器進行設置修改����。另一步是用戶每一次登陸時都需要運行命令。
1. 修改SSH守護進程的配置文件/etc/ssh/sshd_config,關閉特權隔離��。修改如下
#UsePrivilegeSeparation yes
把它改成�����。
UsePrivilegeSeparation no
并且修改
#PAMAuthenticationViaKbdInt no
修改之后如下
PAMAuthenticationViaKbdInt yes
關閉這些選項會帶來一些安全風險��。但那也只是在SSH守護進程的漏洞被發現并且被利用的情況下才會出現。關閉之后就意味著sshd不會創建非特權子進程去處理進站連接。如果漏洞存在而且被利用,則有人可以控制sshd進程,而這個進程是以root身份運行的。到目前還沒有已知的弱點��,如果你經常使用 up2date升級你的系統的話�����,那么任何漏洞都會在發現之后被迅速的修正����。
要使改動生效����,需要重新啟動SSHD.
# service sshd restart
設置改動之后����,當用戶通過SSH登陸之后,這些會話的最大打開文件數參數會按照/etc/security/limits.conf文件被設置����。不需要額外的操作����。
2. 使用 “su - $USER”來設置最大打開文件數��。在用戶通過ssh登陸之后����,使用如下命令
su - $USER
用戶被要求再次輸入密碼����,上述的操作將會使ulimit被正確的設定。用戶將需要在每次登陸時運行 su - $USER �����。 才能正確設置文件限制�����。
注意: 這個問題已經在SSH 3.8版本中得到了解決��。 并且紅帽企業Linux的后續產品將會采用這個版本