- PR -

opensshでセキュリティレベルを落とさないでpam_limits.soを有効にしたい

1
投稿者投稿内容
武澤
常連さん
会議室デビュー日: 2004/09/27
投稿数: 31
投稿日時: 2006-12-27 12:10
こんにちは。武澤です。

いま、RedHatES3にてsshでlimits.confが有効にならなくて調査しているのですが、
有効な手段を見つけることができず、お知恵をお貸しください。

やりたいこと
ulimitで表示されるopen filesを大きくしたい(例:4096)

やってみたこと
/etc/security/limits.confにnofileで4096を追加
* soft nofile 4096
* hard nofile 4096
telentやsuなら問題なく設定が可能でしたが、sshだとNG。
そこで/etc/ssh/sshd_configを「UsePrivilegeSeparation no」としたらsshでも
期待したことが出来ました。

しかし、これではroot特権で動いてしまうのでセキュリティ的によろしくありません。
root特権モードを分離したままで、limits.confを有効にする方法はないでしょうか?

以上、よろしくお願いします。m(__)m
武澤
常連さん
会議室デビュー日: 2004/09/27
投稿数: 31
投稿日時: 2006-12-27 13:08
武澤です。

環境について補足です。

ssh関連のパッケージは以下のバージョンになっています。
$ rpm -qa openssh
openssh-3.6.1p2-33.30.3
$ rpm -qa openssl
openssl-0.9.7a-33.12

以下は、/etc/pam.d/sshdの内容です。
# cat sshd
#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session required pam_limits.so
session optional pam_console.so

このほか足りない情報があれば、ご指摘願います。
武澤
常連さん
会議室デビュー日: 2004/09/27
投稿数: 31
投稿日時: 2006-12-27 15:37
利用しているPAMのバージョンを書いていませんでした。
利用しているpamバージョンは以下となっています。
$ rpm -qa pam
pam-0.75-62

以上、よろしくお願い致します。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2007-01-04 16:51
こんにちは。
非rootでは、リソースのハードリミットを上げることはできません。
なので、予め sshサーバ自体のリソース制限値を上げておく必要があると思います。
多分、/etc/sysconfig/sshd 辺りに ulimit コマンドを記述しておけば良いのではないでしょうか。( ulimit -Hn 4096 と ulimit -Sn 4096 とか )
武澤
常連さん
会議室デビュー日: 2004/09/27
投稿数: 31
投稿日時: 2007-01-09 16:42
angelさん、こんにちは。
すいません、返事が遅れてしまいました。

なるほど、やはりrootでないとだめなんですね。
sshdだとsshd経由でログインしてくるユーザ全体に適用してしまうので、できれば避けたいと思っています。

rootでしかできないということで、最後の手段としてsudoでパスワードなしの設定で今回やりたいコマンドのシェル(この中でulimitする)を用意するという力技で逃げようかと思います。
・・・かっこ悪いですが。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2007-01-09 17:25
> sshdだとsshd経由でログインしてくるユーザ全体に適用してしまうので、できれば避けたいと思っています。

sshd本体のリミットを上げておいて、pam_limits.so で下げる、というのは如何でしょうか?
下げる分には root特権は必要ないですから、できそうだと思うのですが。
武澤
常連さん
会議室デビュー日: 2004/09/27
投稿数: 31
投稿日時: 2007-01-09 17:36
angelさん、こんにちは。

なるほど、そういう方法がありましたか!!
angelさんがおっしゃったやり方で試してみたいと思います。
ありがとうございました。

※どうやら、頭が固くなっていたようです。>自分
1

スキルアップ/キャリアアップ(JOB@IT)