Ограничение ресурсов пользователя

Для ограничения ресурсов, доступных пользователю, используется конфигурационный файл /etc/security/limits.conf. Для включения лимитов необходимо добавить библиотеку РАМ pam_limits.so в соответствующем модуле. Например:

session required pam_limits.so

в файле /etc/pam.d/login.

Для изменения лимитов редактируем файл /etc/security/limits.conf. Формат файла:

<группа/пользователь>   <лимит>(жёсткий/мягкий)    <параметр>      <значение>

Описание параметров:

• core - размер core-файлов (KB);
• data - максимальный размер данных (KB);
• fsize - максимальный размер файла (KB);
• memlock - максимальное заблокированное адресное пространство (KB);
• nofile - максимальное количество открытых файлов;
• rss - максимальный размер памяти для резидент-программ (KB);
• stack - максимальный размер стека (KB);
• cpu - максимальное процессорное время (MIN);
• nproc - максимальное количество процессов;
• as - ограничение адресного пространства (KB);
• maxlogins - максимальное число одновременных регистраций в системе;
• maxsyslogins - максимальное количество учётных записей;
• priority - приоритет запущенных процессов;
• locks - максимальное количество блокируемых файлов пользователем;
• sigpending - максимальное количество сигналов, которые можно передать процессу;
• msgqueue - максимальный размер памяти для очереди POSIX-сообщений (bytes);
• nice - максимальный приоритет, который можно выставить: [-20, 19];
• rtprio - максимальный приоритет времени выполнения;
• chroot - изменить корневой каталог (Debian-specific).

Вместо можно использовать групповой символ «*» (для всех) и групповой символ «%» для wildcast’a групп.

Ограничение полномочий пользователей по использованию виртуальных терминалов

Ограничение полномочий пользователей по использованию виртуальных терминалов можно настроить следующим образом:

Перейдите в сеанс пользователя root:

su -

и добавьте строку в файл /etc/security/limits.conf:

petrov hard maxlogins 2

Добавить строку можно следующей командой:

echo "petrov hard maxlogins 2" >> /etc/security/limits.conf

где petrov - имя пользователя, которому необходимо ограничить число запускаемых виртуальных терминалов.

Затем для ограничения количества запускаемых виртуальных терминалов для группы пользователей добавьте в файл /etc/security/limits.conf следующую строку:

@users hard maxlogins 2

где @users- это название группы пользователей (для обозначения группы перед её названием используется символ '@').

После добавления правила, ограничивающего число сеансов для пользователя petrov равным 2, при попытке открыть 3 сеанс в виртуальном терминале возникает ошибка вида:

Слишком много регистраций в системе для «petrov».
Доступ запрещен

Для ограничения количества допустимых tty (в том числе и отключение их ) для всех пользователей, следует изменить содержимое файла /etc/systemd/logind.conf:

nano  /etc/systemd/logind.conf

раскомментировать строку и указать число 1:

NAutoVTs=1

после перезагрузки доступ к остальным tty будет закрыт, вы увидите только черный экран.

Дата последнего изменения: 08.10.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.