【答案】应助回帖

beefly《西太平洋大学现代英汉词典》[bi:fli]牛肉一般地

11楼2012-03-10 23:51:31

cenwanglai

荣誉版主 (知名作家)

老和山猥琐派九段

计算强帖: 4
应助: 46 (小学生)
贵宾: 8.842
金币: 7440.4
散金: 9654
红花: 118
沙发: 23
帖子: 5306
在线: 1961.4小时
虫号: 537452
注册: 2008-04-01
性别: GG
专业: 理论和计算化学
管辖: 仿真模拟

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

这个注意挺好的～～

12楼2012-03-11 08:16:14

04nylxb

木虫 (正式写手)

应助: 33 (小学生)
金币: 2321.9
散金: 46
红花: 4
帖子: 824
在线: 262.6小时
虫号: 817223
注册: 2009-07-28
性别: GG
专业: 工程热物理相关交叉领域

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

哈哈，赞同，这样便于管理。在每个人申请使用集群之前，先跟他强调下禁止非pbs递交，然后管理员可以随时上去查看下，如果发现违规，有相应的处罚措施：kill任务+禁止一段时间（三个月或半年）继续登录，并进行公告。

集中精力发文章

13楼2012-03-11 11:49:49

风间的记忆

铁杆木虫 (著名写手)

应助: 77 (初中生)
金币: 6530.5
散金: 20
红花: 10
帖子: 1170
在线: 1897.4小时
虫号: 1069274
注册: 2010-08-04
性别: GG
专业: 计算机软件

引用回帖:

8楼: Originally posted by zhangguangping at 2012-03-10 01:12:11:
一种是直接禁止所有的用户的任何登陆，修改每一个计算节点的/etc/security/access.conf文件
该文件的每一行由如下三个字段构成，中间使用冒号分割：
权限 : 用户 : 来源
权限字段可以是”+”(即允许访问),”-” ...

看了PAM
做的是和SSH的联动
难道谁没知道RSSH嘛？

九州浩淼，任其东西，明日何在，但随我意。

14楼2012-03-12 09:37:56

zhangguangping

木虫 (著名写手)

计算强帖: 6
应助: 71 (初中生)
贵宾: 0.031
金币: 1973.1
散金: 9059
红花: 79
帖子: 2681
在线: 2128.8小时
虫号: 529624
注册: 2008-03-20
性别: GG
专业: 原子和分子物理

引用回帖:

14楼: Originally posted by 风间的记忆 at 2012-03-12 09:37:56:
看了PAM
做的是和SSH的联动
难道谁没知道RSSH嘛？

现在不都是用ssh的吗？还有用rsh的吗？具体对于rsh怎么弄，这个还不知道呢！应该和ssh差不多。

弘德明志博学笃行

15楼2012-03-12 10:06:34

zhangguangping

木虫 (著名写手)

计算强帖: 6
应助: 71 (初中生)
贵宾: 0.031
金币: 1973.1
散金: 9059
红花: 79
帖子: 2681
在线: 2128.8小时
虫号: 529624
注册: 2008-03-20
性别: GG
专业: 原子和分子物理

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

对于计算中心可以，但是对于自己的小组，这样不得最人吗？本来这个活就是出力不讨好的活，这么一弄，得罪的更多了。这个政策倒是很霸道，很强劲！

弘德明志博学笃行

16楼2012-03-12 10:09:03

abbott

金虫 (著名写手)

不要用QQ问我东西

计算强帖: 1
应助: 16 (小学生)
金币: 1071.6
散金: 2787
红花: 10
帖子: 1015
在线: 105.2小时
虫号: 452267
注册: 2007-11-05
性别: GG
专业: 计算机硬件技术

引用回帖:

9楼: Originally posted by yanrding at 2012-03-10 15:49:41:
可以简单地写一个脚本，定期查看各节点的任务运行情况，
发现cpu使用超过比如90%的进程，就查一下是否是pbs提交的任务。

查到几次，给一个惩罚措施，大家就都不敢了吧。

我和你的想法一样;

处理原则是,
发现当前用户如果不在running 序列中,
但是居然还在计算节点上运行东西,
直接删除此用户在该节点上的所有进程, 并删除其所有计算文件,
然后mail警告.
禁止登录3小时.

Chemistry[]==[]Chem[]is[]try!!!

17楼2012-03-12 14:12:39

dubo

金虫 (著名写手)

应助: 23 (小学生)
贵宾: 0.779
金币: 569.2
散金: 3220
红花: 31
沙发: 1
帖子: 1821
在线: 349.5小时
虫号: 559371
注册: 2008-05-17
性别: GG
专业: 高分子组装与超分子结构

【答案】应助回帖

★ ★ ★
感谢参与，应助指数 +1
cenwanglai: 金币+3, ★★★很有帮助, 谢谢dubo版主~~ 2012-03-18 12:37:06

关掉登录计算节点权限，只有该用户在某一计算节点有计算任务时，才允许他登录此计算节点

18楼2012-03-18 12:13:56

dubo

金虫 (著名写手)

应助: 23 (小学生)
贵宾: 0.779
金币: 569.2
散金: 3220
红花: 31
沙发: 1
帖子: 1821
在线: 349.5小时
虫号: 559371
注册: 2008-05-17
性别: GG
专业: 高分子组装与超分子结构

引用回帖:

15楼: Originally posted by zhangguangping at 2012-03-12 10:06:34:
现在不都是用ssh的吗？还有用rsh的吗？具体对于rsh怎么弄，这个还不知道呢！应该和ssh差不多。

恩，是差不多的，记得改一个系统文件就OK了

19楼2012-03-18 12:15:55

xztjhs

铁虫 (小有名气)

应助: 6 (幼儿园)
金币: 142
散金: 50
红花: 1
帖子: 66
在线: 8.6小时
虫号: 1482159
注册: 2011-11-08
性别: GG
专业: 计算机应用技术

【答案】应助回帖

★ ★ ★ ★ ★ ★ ★ ★ ★ ★
感谢参与，应助指数 +1
cenwanglai: 金币+10, ★★★很有帮助, 非常感谢~~ 2012-04-04 14:26:40

通过PAM限制普通用户绕过torque提交任务到计算节点

在高校集群实施时发现部分用户绕过torque，从管理节点上通过SSH登陆到计算节点，直接运行程序，占用系统资源的现象。该现象严重影响了集群的正常运行。本文提供两个方法来应对这个现象。

方法一：
实现效果：当用户A在计算节点node1上有作业（由torque+maui.d分配的PBS任务）时，可以SSH到node1。当A在node1上无作业时，无法SSH登陆到node1。

1、重新编译torque。
如果是单独安装torque+maui.d，在编译torque时使用如下参数：
./configure  --enable-docs --with-scp --with-pam=yes --enable-syslog --prefix=以/开头的需要安装到的目录
该参数编译出的torque会在/lib64/sscurity/下生成3个含有pbs字样的PAM模块。
编译完成后按正常步骤安装torque和maui.d。（包括在计算节点安装本步骤已编译好的torque）

如果是使用GridView2.0，在安装前需要修改gridview_2_0\scripts\下边的install_torque_gridview.sh文件。
使用vi打开该文件，找到脚本里面的“./configure”行。这三行里面有两行是编译torque的，一行是编译maui的。修改编译torque的那两行，在选项里面添加一个--with-pam=yes 的选项。接下来按正常步骤安装gridview即可。

2、配置PAM（该步骤操作在各计算节点进行，可以在其中一个计算节点修改好access.conf和system-auth文件，然后将这两个文件同步到其它所有计算节点。注意：如果将这两个文件同步给管理节点，将导致普通用户无法登陆到管理节点！！！）
先修改/etc/security/access.conf
在末尾加入一行：
-:ALL EXCEPT root shi:ALL          #除了root以外的用户都调用torque+PAM进行验证。（如果还有其他用户不需要限制，直接在增加一行，将root该为你需要的用户名）

然后修改/etc/pam.d/system-auth文件。
在末尾加入两行：
account sufficient /lib64/security/pam_pbssimpleauth.so
account required /lib64/security/pam_access.so

通过如上两大步骤的配置就可以达到方法一的目标。

方法二：
实现效果：无论用户A在计算节点node1上有无作业，均不能SSH登陆到node1。

1、修改node1的/etc/security/access.conf
在末尾增加两行如下：
- : ALL EXCEPT root : node0 #禁止从node0过来的root以外的用户登陆。
+ : ALL : ALL #匹配其它默认规则。
2、修改node1的/etc/pam.d/sshd
修改好的例子如下（只改动红色部分）：
#%PAM-1.0
auth    include       common-auth
#auth    required    pam_nologin.so #加#注释该行。
account  required    pam_access.so #本行为新增，调用pam_access.so模块。
account  include       common-account
password include       common-password
session  include       common-session
3、将修改好的access.conf和sshd同步到其它计算节点。（如同步到管理节点，会造成所有普通用户无法登陆的现象。）

通过上述3个步骤，即可达到本法的效果。

总结：
无论是方法一还是方法二，都是通过linux系统自带的PAM功能来实现。限制用户通过某种方式访问本节点。两法的区别在于调用的pam模块。方法一调用的是torque的模块，方法二调用的是ssh的模块。万变不离其中，更多的限制方法等待大家去研究。

非专业，更专注

20楼2012-04-04 13:53:28