版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

北京石油化工学院2026年研究生招生接收调剂公告

返回列表

beefly

专家顾问 (职业作家)

地沟油冶炼专家

专家经验: +458
计算强帖: 1
应助: 88 (初中生)
金币: 13045.7
散金: 27307
红花: 300
帖子: 4673
在线: 927.1小时
虫号: 408372
注册: 2007-06-21
性别: GG
专业: 理论和计算化学
管辖: 计算模拟

我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

赞一下

回复此楼

beefly《西太平洋大学现代英汉词典》[bi:fli]牛肉一般地

11楼2012-03-10 23:51:31

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

cenwanglai

荣誉版主 (知名作家)

老和山猥琐派九段

计算强帖: 4
应助: 46 (小学生)
贵宾: 8.842
金币: 7440.4
散金: 9654
红花: 118
沙发: 23
帖子: 5306
在线: 1961.4小时
虫号: 537452
注册: 2008-04-01
性别: GG
专业: 理论和计算化学
管辖: 仿真模拟

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

这个注意挺好的～～

赞一下

回复此楼

12楼2012-03-11 08:16:14

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

04nylxb

木虫 (正式写手)

应助: 33 (小学生)
金币: 2321.9
散金: 46
红花: 4
帖子: 824
在线: 262.6小时
虫号: 817223
注册: 2009-07-28
性别: GG
专业: 工程热物理相关交叉领域

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

哈哈，赞同，这样便于管理。在每个人申请使用集群之前，先跟他强调下禁止非pbs递交，然后管理员可以随时上去查看下，如果发现违规，有相应的处罚措施：kill任务+禁止一段时间（三个月或半年）继续登录，并进行公告。

赞一下

回复此楼

集中精力发文章

13楼2012-03-11 11:49:49

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

风间的记忆

铁杆木虫 (著名写手)

应助: 77 (初中生)
金币: 6530.5
散金: 20
红花: 10
帖子: 1170
在线: 1897.4小时
虫号: 1069274
注册: 2010-08-04
性别: GG
专业: 计算机软件

引用回帖:

8楼: Originally posted by zhangguangping at 2012-03-10 01:12:11:
一种是直接禁止所有的用户的任何登陆，修改每一个计算节点的/etc/security/access.conf文件
该文件的每一行由如下三个字段构成，中间使用冒号分割：
权限 : 用户 : 来源
权限字段可以是”+”(即允许访问),”-” ...

看了PAM
做的是和SSH的联动
难道谁没知道RSSH嘛？

赞一下

回复此楼

九州浩淼，任其东西，明日何在，但随我意。

14楼2012-03-12 09:37:56

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

zhangguangping

木虫 (著名写手)

计算强帖: 6
应助: 71 (初中生)
贵宾: 0.031
金币: 1973.1
散金: 9059
红花: 79
帖子: 2681
在线: 2128.8小时
虫号: 529624
注册: 2008-03-20
性别: GG
专业: 原子和分子物理

引用回帖:

14楼: Originally posted by 风间的记忆 at 2012-03-12 09:37:56:
看了PAM
做的是和SSH的联动
难道谁没知道RSSH嘛？

现在不都是用ssh的吗？还有用rsh的吗？具体对于rsh怎么弄，这个还不知道呢！应该和ssh差不多。

赞一下

回复此楼

弘德明志博学笃行

15楼2012-03-12 10:06:34

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

zhangguangping

木虫 (著名写手)

计算强帖: 6
应助: 71 (初中生)
贵宾: 0.031
金币: 1973.1
散金: 9059
红花: 79
帖子: 2681
在线: 2128.8小时
虫号: 529624
注册: 2008-03-20
性别: GG
专业: 原子和分子物理

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

对于计算中心可以，但是对于自己的小组，这样不得最人吗？本来这个活就是出力不讨好的活，这么一弄，得罪的更多了。这个政策倒是很霸道，很强劲！

赞一下

回复此楼

弘德明志博学笃行

16楼2012-03-12 10:09:03

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

abbott

金虫 (著名写手)

不要用QQ问我东西

计算强帖: 1
应助: 16 (小学生)
金币: 1071.6
散金: 2787
红花: 10
帖子: 1015
在线: 105.2小时
虫号: 452267
注册: 2007-11-05
性别: GG
专业: 计算机硬件技术

引用回帖:

9楼: Originally posted by yanrding at 2012-03-10 15:49:41:
可以简单地写一个脚本，定期查看各节点的任务运行情况，
发现cpu使用超过比如90%的进程，就查一下是否是pbs提交的任务。

查到几次，给一个惩罚措施，大家就都不敢了吧。

我和你的想法一样;

处理原则是,
发现当前用户如果不在running 序列中,
但是居然还在计算节点上运行东西,
直接删除此用户在该节点上的所有进程, 并删除其所有计算文件,
然后mail警告.
禁止登录3小时.

赞一下

回复此楼

Chemistry[]==[]Chem[]is[]try!!!

17楼2012-03-12 14:12:39

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

dubo

金虫 (著名写手)

应助: 23 (小学生)
贵宾: 0.779
金币: 569.2
散金: 3220
红花: 31
沙发: 1
帖子: 1821
在线: 349.5小时
虫号: 559371
注册: 2008-05-17
性别: GG
专业: 高分子组装与超分子结构

【答案】应助回帖

★ ★ ★
感谢参与，应助指数 +1
cenwanglai: 金币+3, ★★★很有帮助, 谢谢dubo版主~~ 2012-03-18 12:37:06

关掉登录计算节点权限，只有该用户在某一计算节点有计算任务时，才允许他登录此计算节点

赞一下

回复此楼

18楼2012-03-18 12:13:56

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

dubo

金虫 (著名写手)

应助: 23 (小学生)
贵宾: 0.779
金币: 569.2
散金: 3220
红花: 31
沙发: 1
帖子: 1821
在线: 349.5小时
虫号: 559371
注册: 2008-05-17
性别: GG
专业: 高分子组装与超分子结构

引用回帖:

15楼: Originally posted by zhangguangping at 2012-03-12 10:06:34:
现在不都是用ssh的吗？还有用rsh的吗？具体对于rsh怎么弄，这个还不知道呢！应该和ssh差不多。

恩，是差不多的，记得改一个系统文件就OK了

赞一下

回复此楼

19楼2012-03-18 12:15:55

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

xztjhs

铁虫 (小有名气)

应助: 6 (幼儿园)
金币: 142
散金: 50
红花: 1
帖子: 66
在线: 8.6小时
虫号: 1482159
注册: 2011-11-08
性别: GG
专业: 计算机应用技术

【答案】应助回帖

★ ★ ★ ★ ★ ★ ★ ★ ★ ★
感谢参与，应助指数 +1
cenwanglai: 金币+10, ★★★很有帮助, 非常感谢~~ 2012-04-04 14:26:40

通过PAM限制普通用户绕过torque提交任务到计算节点

在高校集群实施时发现部分用户绕过torque，从管理节点上通过SSH登陆到计算节点，直接运行程序，占用系统资源的现象。该现象严重影响了集群的正常运行。本文提供两个方法来应对这个现象。

方法一：
实现效果：当用户A在计算节点node1上有作业（由torque+maui.d分配的PBS任务）时，可以SSH到node1。当A在node1上无作业时，无法SSH登陆到node1。

1、重新编译torque。
如果是单独安装torque+maui.d，在编译torque时使用如下参数：
./configure  --enable-docs --with-scp --with-pam=yes --enable-syslog --prefix=以/开头的需要安装到的目录
该参数编译出的torque会在/lib64/sscurity/下生成3个含有pbs字样的PAM模块。
编译完成后按正常步骤安装torque和maui.d。（包括在计算节点安装本步骤已编译好的torque）

如果是使用GridView2.0，在安装前需要修改gridview_2_0\scripts\下边的install_torque_gridview.sh文件。
使用vi打开该文件，找到脚本里面的“./configure”行。这三行里面有两行是编译torque的，一行是编译maui的。修改编译torque的那两行，在选项里面添加一个--with-pam=yes 的选项。接下来按正常步骤安装gridview即可。

2、配置PAM（该步骤操作在各计算节点进行，可以在其中一个计算节点修改好access.conf和system-auth文件，然后将这两个文件同步到其它所有计算节点。注意：如果将这两个文件同步给管理节点，将导致普通用户无法登陆到管理节点！！！）
先修改/etc/security/access.conf
在末尾加入一行：
-:ALL EXCEPT root shi:ALL          #除了root以外的用户都调用torque+PAM进行验证。（如果还有其他用户不需要限制，直接在增加一行，将root该为你需要的用户名）

然后修改/etc/pam.d/system-auth文件。
在末尾加入两行：
account sufficient /lib64/security/pam_pbssimpleauth.so
account required /lib64/security/pam_access.so

通过如上两大步骤的配置就可以达到方法一的目标。

方法二：
实现效果：无论用户A在计算节点node1上有无作业，均不能SSH登陆到node1。

1、修改node1的/etc/security/access.conf
在末尾增加两行如下：
- : ALL EXCEPT root : node0 #禁止从node0过来的root以外的用户登陆。
+ : ALL : ALL #匹配其它默认规则。
2、修改node1的/etc/pam.d/sshd
修改好的例子如下（只改动红色部分）：
#%PAM-1.0
auth    include       common-auth
#auth    required    pam_nologin.so #加#注释该行。
account  required    pam_access.so #本行为新增，调用pam_access.so模块。
account  include       common-account
password include       common-password
session  include       common-session
3、将修改好的access.conf和sshd同步到其它计算节点。（如同步到管理节点，会造成所有普通用户无法登陆的现象。）

通过上述3个步骤，即可达到本法的效果。

总结：
无论是方法一还是方法二，都是通过linux系统自带的PAM功能来实现。限制用户通过某种方式访问本节点。两法的区别在于调用的pam模块。方法一调用的是torque的模块，方法二调用的是ssh的模块。万变不离其中，更多的限制方法等待大家去研究。

赞一下

回复此楼

非专业，更专注

20楼2012-04-04 13:53:28

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 cenwanglai 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 327求调剂 +4	拾光任染 2026-04-05	4/200	2026-04-05 20:16 by 南航~万老师
[考研] 求调剂 +4	chenxrlkx 2026-04-05	6/300	2026-04-05 18:38 by imissbao
[考研] 一志愿南京航空航天大学，080500材料科学与工程学硕 +10	@taotao 2026-03-30	10/500	2026-04-05 17:57 by jj987
[考研] 353求调剂 +10	MayUxw1 2026-04-03	10/500	2026-04-05 09:23 by 无际的草原
[考研] 282电子信息0854专硕调剂 +4	202451007219 2026-04-02	6/300	2026-04-04 21:55 by laoshidan
[考研] 材料调剂 +12	一样YWY 2026-04-02	13/650	2026-04-04 20:49 by 蓝云思雨
[考研] 292求调剂 +11	2022080213 2026-04-04	13/650	2026-04-04 18:38 by macy2011
[考研] 一志愿085404，总分291，四级已过，求调剂 +5	阿俊阿俊阿俊 2026-04-04	7/350	2026-04-04 13:23 by 莲菜就是藕吧
[考研] 334求调剂 +8	曾仰之 2026-04-03	8/400	2026-04-04 11:16 by w_xuqing
[考研] 387求调剂 +4	爱吃片豆土 2026-04-03	5/250	2026-04-04 08:10 by 岸上的一条鱼
[考研] 生物学308分求调剂（一志愿华东师大） +7	相信必会光芒万� 2026-04-02	7/350	2026-04-03 16:48 by rzh123456
[考研] 321求调剂一志愿浙江工业大学生物医药 +5	嘿嘿HC 2026-04-01	6/300	2026-04-02 15:23 by sophie2180
[考研] 材料工程322分 +8	哈哈哈吼吼吼哈 2026-04-01	8/400	2026-04-02 11:53 by 3041
[考研] 材料专硕322分 +11	哈哈哈吼吼吼哈 2026-04-01	11/550	2026-04-02 10:52 by lnilvy
[考研] 348环境工程调剂 +3	吴彦祖24k 2026-04-01	3/150	2026-04-02 09:14 by nanaliuyun
[考研] 求调剂，一志愿南京师范大学计算机专硕，初试373，六级通过， +3	计算机追梦人 2026-04-01	3/150	2026-04-02 07:57 by fxue1114
[考研] 生物学327，求调剂 +5	书上的梅子 2026-04-01	6/300	2026-04-02 06:47 by ilovexiaobin
[考研] 0703一志愿南师大334求调剂 +4	seven7yu 2026-03-30	4/200	2026-04-01 16:10 by oooqiao
[考研] 求调剂生物学 377分 +6	zzll03 2026-03-31	6/300	2026-03-31 17:33 by 唐沐儿
[考研] 生物考研337分求调剂 +4	cgxin 2026-03-30	6/300	2026-03-31 14:18 by 记事本2026