为什么不能在SSH(Secure Shell)登录中设置ulimit值？

SuSE上的一些问题，可能需要另参考：http://blog.chinaunix.net/u2/64804/showart.php?id=2026903

相关版本：红帽企业Linux

现象：

如果你在文件/etc/security/limits.conf中设定了值。 可是如果用户是通过ssh登录到系统的话。 设置将不会生效。 如果用户是通过telnet或者是本地登录的话，那么设置是生效的。

解决方法：

这个问题因该归结于SSH登录采取的方式。 当一个用户通过SSH登录， SSH守护进程会创建一个新的进程去处理这个连接。 这样的话， 这个进程的上下文就会被这个用户使用。 应为普通用户无法增加他们的ulimit限制。 所以即使在文件/etc/security/limits.conf中有较高的数值也不能被激活生效。 这是因为调用的程序，如sshd。 限制了修改属性的权限。

这个问题目前有两个解决方法。第一步需要对SSHD服务器进行设置修改。另一步是用户每一次登陆时都需要运行命令。

1. 修改SSH守护进程的配置文件/etc/ssh/sshd_config，关闭特权隔离。修改如下

      #UsePrivilegeSeparation yes

把它改成。

      UsePrivilegeSeparation no

并且修改

      #PAMAuthenticationViaKbdInt no

修改之后如下

      PAMAuthenticationViaKbdInt yes

关闭这些选项会带来一些安全风险。但那也只是在SSH守护进程的漏洞被发现并且被利用的情况下才会出现。关闭之后就意味着sshd不会创建非特权子进程去处理进站连接。如果漏洞存在而且被利用，则有人可以控制sshd进程，而这个进程是以root身份运行 的。到目前还没有已知的弱点，如果你经常使用up2date升级你的系统的话，那么任何漏洞都会在发现之后被迅速的修正。

要使改动生效，需要重新启动SSHD.

         # service sshd restart

设置改动之后，当用户通过SSH登陆之后，这些会话的最大打开文件数参数会按照/etc/security/limits.conf文件被设置。不需要额外的操作。

2. 使用 “su - $USER”来设置最大打开文件数。在用户通过ssh登陆之后，使用如下命令

         su - $USER

用户被要求再次输入密码，上述的操作将会使ulimit被正确的设定。用户将需要在每次登陆时运行 su - $USER 。 才能正确设置文件限制。

注意： 这个问题已经在SSH 3.8版本中得到了解决。 并且红帽企业Linux的后续产品将会采用这个版本