4 votos

limits.conf ulimits no se aplican a los procesos de chroot

Nos permiten a los usuarios ejecutar secuencias de comandos en nuestros servidores. Nuestro modelo de seguridad implica enjaulamiento. Queremos ser capaces de aplicar ulimit restricciones para ellos, y la mejor manera de hacerlo parece ser que en /etc/security/limits.conf

Pero, no parece funcionar. He aquí lo que nos propusimos en limits.conf:

@registered_users    -    priority   7
@registered_users    -    nice       7
*                    -    priority   9
*                    -    nice       9

Y obras en algunos casos:

sudo -u testuser python

Le dará una serpiente pitón proceso con la amabilidad 9 (no 7, molesto)

PERO

sudo chroot --userspec=testuser:registered_users python

da un python proceso con la amabilidad 0.

alguna pista?

Hemos intentado añadir session required pam_limits.so a /etc/pam.d/common-session, fue en vano.

1voto

cmoxiv Puntos 11

La configuración en /etc/security/limits.conf no están trabajando en el interior de la jaula, porque no hay un programa utilizando pam_limits se establecen. Funcionan cuando se utiliza sudo, debido a que sudo la configuración de PAM hace llamar pam_limits.

La respuesta obvia es llamar a algo dentro de él que utiliza pam_limits, como "su", como dicen aquí: https://lists.debian.org/debian-user/2010/09/msg01398.html (aunque tienes que descomentar la línea que utiliza pam_limits en /etc/pam.d/su, porque viene comentada por defecto).

I. e., suponiendo que el chroot en el directorio /srv/chroot, y se desea ejecutar /usr/bin/python, usted podría intentar algo como esto:

sudo chroot /srv/chroot su testuser /usr/bin/python

Creo que sudo de hacer el truco, y también:

sudo chroot /srv/chroot sudo -u testuser /usr/bin/python

Pero yo sólo puedo hablar por "su", que es lo que yo uso en un caso como este. Por favor, pruebe y diga si funciona para usted.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: