SSH远程Ulimit不生效

2023-05-16

SSH远程Ulimit不生效

问题描述

操作系统/etc/security/limits.conf文件内容如下：


* soft memlock unlimited

* hard memlock unlimited

使用远程连接工具moba连接到服务器，使用 ulimit -a 查看ulimit值，与 /etc/security/limits.conf 文件配置是一致的。

当使用ssh命令行远程连接时，使用 ulimit -a 查看ulimit值，为默认值，与 /etc/security/limits.conf 文件配置是不一致的。

运维程序远程启动系统时，使用的是ssh连接过去执行，ssh连接中的ulimit值不生效，导致系统无法使用RDMA，因为默认的memlock配置过小。

排查

经过一系列的排查，发现客户环境ssh版本(OpenSSH_8.4p1)与操作系统默认的ssh版本(OpenSSH_7.4p1)不一致，怀疑客户重新编译的版本导致远程ssh登录limit值不生效。
同时/etc/ssh/sshd_config文件的UsePAM值为no，当该项配置为yes后重启sshd服务器，查看系统日志报错如下：
在这里插入图片描述

怀疑重新升级编译ssh为加–with-pam(默认不编译这个模块)，导致该问题。

解决

建议客户重新编译openssh版本，编译时带上–with-pam参数。客户操作后问题解决。

建议

后续openssh版本升级编译，需要带上–with-pam参数。

扩展

PAM模块介绍

Linux-PAM（即linux可插入认证模块）是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说，不用(重新编写)重新编译一个包含PAM功能的应用程序，就可以改变它使用的认证机制，这种方式下，就算升级本地认证机制,也不用修改程序。

PAM使用配置/etc/pam.d/下的文件，来管理对程序的认证方式.应用程序调用相应的配置文件，从而调用本地的认证模块.模块放置在/lib/security下，以加载动态库的形式进，像我们使用su命令时，系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。

ssh登陆时也会引用到改模块，配置文件为/etc/pam.d/sshd

#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

其中session部分会include包含password-auth配置，/etc/pam.d/password-auth-ac文件内容如下：

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

其中pam_limits.so就是创建ssh连接时会调用的so模块，也就是使/etc/security/limits.conf文件生效的核心so。

参考文档

https://www.cnblogs.com/kevingrace/p/8671964.html

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

SSH

ulimit