SSH远程Ulimit不生效
问题描述
操作系统/etc/security/limits.conf文件内容如下:
* soft memlock unlimited
* hard memlock unlimited
使用远程连接工具moba连接到服务器,使用 ulimit -a
查看ulimit值,与 /etc/security/limits.conf
文件配置是一致的。
当使用ssh命令行远程连接时,使用 ulimit -a
查看ulimit值,为默认值,与 /etc/security/limits.conf
文件配置是不一致的。
运维程序远程启动系统时,使用的是ssh连接过去执行,ssh连接中的ulimit值不生效,导致系统无法使用RDMA,因为默认的memlock配置过小。
排查
经过一系列的排查,发现客户环境ssh版本(OpenSSH_8.4p1)与操作系统默认的ssh版本(OpenSSH_7.4p1)不一致,怀疑客户重新编译的版本导致远程ssh登录limit值不生效。
同时/etc/ssh/sshd_config文件的UsePAM值为no,当该项配置为yes后重启sshd服务器,查看系统日志报错如下:
怀疑重新升级编译ssh为加–with-pam(默认不编译这个模块),导致该问题。
解决
建议客户重新编译openssh版本,编译时带上–with-pam参数。客户操作后问题解决。
建议
后续openssh版本升级编译,需要带上–with-pam参数。
扩展
PAM模块介绍
Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制,这种方式下,就算升级本地认证机制,也不用修改程序。
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。
ssh登陆时也会引用到改模块,配置文件为/etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
# Used with polkit to reauthorize users in remote sessions
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare
其中session部分会include包含password-auth配置,/etc/pam.d/password-auth-ac文件内容如下:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
其中pam_limits.so就是创建ssh连接时会调用的so模块,也就是使/etc/security/limits.conf文件生效的核心so。
参考文档
- https://www.cnblogs.com/kevingrace/p/8671964.html
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)