最近在安装elk进行日志的收集和全文检索服务,发现不使用127.0.0.1的ip时,需要设置linux的open file的数值需要大于等于65536,然后根据提示修改了/etc/security/limits.conf的设置后,关闭ssh后,重新登录,数据没有变化。但发现通过kvm直接登录到linux上后,对应的数值有变化,这说明是sshd的服务的原因。继续查找相关的sshd的资料,终于找到原因。解释如下:
这个问题因该归结于SSH登录采取的方式。 当一个用户通过SSH登录, SSH守护进程会创建一个新的进程去处理这个连接。 这样的话, 这个进程的上下文就会被这个用户使用。 因为普通用户无法增加他们的ulimit限制。 所以即使在文件/etc/security/limits.conf中有较高的数值也不能被激活生效。 这是因为调用的程序,如sshd。 限制了修改属性的权限。(引用其他网友的解释原文)
这个问题目前有两个解决方法。第一步需要对SSHD服务器进行设置修改。另一步是用户每一次登陆时都需要运行命令。
1. 修改SSH守护进程的配置文件/etc/ssh/sshd_config,关闭特权隔离。
(1) 修改参数 UsePrivilegeSeparation 为no;
(2) 修改参数 PAMAuthenticationViaKbdInt 为yes;
(3) 重启sshd服务: service sshd restart;
注意: 关闭这些选项会带来一些安全风险。但那也只是在SSH守护进程的漏洞被发现并且被利用的情况下才会出现。
关闭之后就意味着sshd不会创建非特权子进程去处理进站连接。如果漏洞存在而且被利用,则有人可以控制sshd进程,
而这个进程是以root身份运行 的。到目前还没有已知的弱点,如果你经常使用up2date升级你的系统的话,
那么任何漏洞都会在发现之后被迅速的修正。
2.第二种方式,需要每次手工进行用户切换:
(1)首先su - root 切换至root用户;
(2)然后再su - ssh登录的用户;
通过上面2步的操作也可以将ulimit的数值进行了修改;但每次做这样的操作,非常的麻烦;