PAM limits: различия между версиями

Версия от 07:38, 26 мая 2023

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Описание

В Linux для аутентификации пользователей используется подсистема – PAM (Pluggable Authentication Modules). PAM используется везде, где требуется аутентификация пользователя или проверка его прав.

Так же PAM настраивает ограничения (лимиты) пользователей и групп на использование системных ресурсов. Для этого у него есть специальный модуль "Pam Limits", который мы разберем в данной статье.

Настройка лимитов, накладываемых PAM, хранится в специальных файлах конфигурации в каталоге /etc/security/limits.d/.

Обычно в данном каталоге уже находятся конфигурационные файлы:

# ls /etc/security/limits.d/
50-defaults.conf

Для создания новой конфигурации нужно перейти в каталог настройками и создать новый файл:

# cd /etc/security/limits.d/
# mcedit 10-user-limits.conf

Приоритет применения конфигураций идет по убыванию (в Лексикографическом порядке):

от 0 до 9;
от A до Z;
от a до z.

Внимание! При создании новых конфигураций рекомендуется давать название соответствующей цели (области) применения, например, 30-cpu-time-limits.conf

Пример содержимого такого файла:

# <domain>      <type>      <item>      <value>
 *              soft        core        0
 user           hard        rss         10000
@student        soft        nproc       50

В каждом столбце указывается конкретное значение:

domain - область действия
type - тип ограничения
item - параметр, который нужно ограничить
value - значение

domain
	область действия	описание	пример
	все	звездочка	*
	пользователь	имя пользователя	admin
	группа	название группы через символ at	@students
type
	тип ограничения	описание
	soft	мягкое ограничение, не запрещающее, а предупреждающее.
	hard	жёсткое, запрещающее ограничение.

Внимание! Приложение умеющее обрабатывать soft должно выдать предупреждение, о том что его процесс приблизился к лимиту. Если нет, то для такого приложения и soft и hard сработают одинаково, то есть не дадут процессу получить запрашиваемый ресурс.

Значения item
Параметр	English	Комментарий
core	limits the core file size (KB)	размер core-файлов (KB)
data	max data size (KB)	максимальный размер данных (KB)
fsize	maximum filesize (KB)	максимальный размер файла (KB)
memlock	max locked-in-memory address space (KB)	максимальное заблокированное адресное пространство (KB)
nofile	max number of open file descriptors	максимальное количество открытых файлов
rss	max resident set size (KB)	максимальный размер памяти для резидент-программ (KB)
stack	max stack size (KB)	максимальный размер стэка (KB);
cpu	max CPU time (MIN)	максимальное процессорное время (MIN)
nproc	max number of processes	максимальное количество процессов
as	address space limit (KB)	ограничение адресного пространства (KB)
maxlogins	max number of logins for this user	максимальное число одновременных регистраций в системе
maxsyslogins	max number of logins on the system	максимальное количество учётных записей
priority	the priority to run user process with	приоритет запущенных процессов
locks	max number of file locks the user can hold	максимальное количество блокируемых пользователем файлов
sigpending	max number of pending signals	максимальное количество сигналов, которые можно передать процессу
msgqueue	max memory used by POSIX message queues (bytes)	максимальный размер памяти для очереди POSIX-сообщений (bytes)
nice	max nice priority allowed to raise to values: [-20, 19]	максимальный приоритет, который можно выставить: [-20, 19]
rtprio	max realtime priority	максимальный приоритет времени выполнения

Советы по настройке

Запустите все программы, необходимые в работе.

nofile

Примечание:

Вам понадобится утилита lsof:

# apt-get install lsof

Для ориентировочной оценки количества открытых файлов:

 $ lsof -u user | wc -l
 5811

nproc

Для ориентировочной оценки количества запущенных процессов:

 $ ps -e | wc -l

@@ Строка 1: / Строка 1: @@
 {{stub}}
 == Описание ==
-В Linux для аутентификации пользователей используется подсистема – PAM (Pluggable Authentication Modules). PAM используется везде, где требуется аутентификация пользователя или проверка его прав.
+В Linux для аутентификации пользователей используется подсистема – '''PAM''' (''Pluggable Authentication Modules''). PAM используется везде, где требуется аутентификация пользователя или проверка его прав.
-Так же PAM настраивает ограничения (лимиты) пользователей и групп на использование системных ресурсов. Для этого у него есть специальный модуль "Pam Limits", который мы разберем в данной статье.
+Так же PAM настраивает ограничения (лимиты) пользователей и групп на использование системных ресурсов. Для этого у него есть специальный модуль "'''Pam Limits'''", который мы разберем в данной статье.
 Настройка лимитов, накладываемых PAM, хранится в специальных файлах конфигурации в каталоге {{path|/etc/security/limits.d/}}.
@@ Строка 19: / Строка 19: @@
 </syntaxhighlight>
-Приоритет применения конфигураций идет по убыванию(Лексикографический порядок):
+Приоритет применения конфигураций идет по убыванию (в Лексикографическом порядке):
 *от 0 до 9;
 *от A до Z;
@@ Строка 27: / Строка 27: @@
 Пример содержимого такого файла:
-<pre>
+<syntaxhighlight lang="bash">
 # <domain>      <type>      <item>      <value>
   *              soft        core        0
   user           hard        rss         10000
 @student        soft        nproc       50
-</pre>
+</syntaxhighlight>
 В каждом столбце указывается конкретное значение:
@@ Строка 112: / Строка 112: @@
 {{Note|
+Вам понадобится утилита lsof:
 <syntaxhighlight lang="bash">
 # apt-get install lsof