计算节点普通用户登录限制
1、方案说明
基于操作系统提供的安全机制PAM(具体来说是pam_acdess.so)来实现对于普通用户ssh/rsh登录计算节点的限制。
2、配置管理
在操作系统的/etc/pam.d目录中包含了对于各种程序的pam配置,包括sshd和rsh。在相应的服务中启用pam_access.so验证后,然后设置/etc/security/access.conf中访问规则即可。这些规则可以设定该节点允许或者拒绝那些节点的那些用户的访问。
针对于hpc计算的环境,只需要在每个计算节点上设置规则:拒绝“登录节点”和“编译节点”上除root以外的所有用户的登录请求。
2.1 访问规则设置
在所有计算节点(node2-node19)上进行如下设置:
访问规则设置在/etc/security/access.conf配置文件中。
设置如下(增加如下两行):
- : ALL EXCEPT root : node1 node1为管理节点
+ : ALL : ALL
规则含义:拒绝从node1过来的除了用户root以外的所有用户的登录请求。
2.2 SSH配置示例
在所有计算节点上进行如下设置:
对于ssh服务的配置如下:
Vi /etc/pam.d/sshd
#%PAM-1.0
auth include common-auth
#auth required pam_nologin.so 注释掉这行
account required pam_access.so 增加这行
account include common-account
password include common-password
session include common-session
# Enable the following line to get resmgr support for
# ssh sessions (see /usr/share/doc/packages/resmgr/README)
#session optional pam_resmgr.so fake_ttyname
重启所有节点的sshd服务
/etc/init.d/sshd restart
使用非root用户在管理节点ssh登录计算节点,进行测试。
