版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

返回列表

beefly

专家顾问 (职业作家)

地沟油冶炼专家

专家经验: +458
计算强帖: 1
应助: 88 (初中生)
金币: 12987.7
散金: 27307
红花: 300
帖子: 4672
在线: 926.9小时
虫号: 408372
注册: 2007-06-21
性别: GG
专业: 理论和计算化学
管辖: 计算模拟

我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

赞一下

回复此楼

beefly《西太平洋大学现代英汉词典》[bi:fli]牛肉一般地

11楼2012-03-10 23:51:31

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

cenwanglai

荣誉版主 (知名作家)

老和山猥琐派九段

计算强帖: 4
应助: 46 (小学生)
贵宾: 8.842
金币: 7440.4
散金: 9654
红花: 118
沙发: 23
帖子: 5306
在线: 1961.4小时
虫号: 537452
注册: 2008-04-01
性别: GG
专业: 理论和计算化学
管辖: 仿真模拟

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

这个注意挺好的～～

赞一下

回复此楼

12楼2012-03-11 08:16:14

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

04nylxb

木虫 (正式写手)

应助: 33 (小学生)
金币: 2321.9
散金: 46
红花: 4
帖子: 824
在线: 262.6小时
虫号: 817223
注册: 2009-07-28
性别: GG
专业: 工程热物理相关交叉领域

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

哈哈，赞同，这样便于管理。在每个人申请使用集群之前，先跟他强调下禁止非pbs递交，然后管理员可以随时上去查看下，如果发现违规，有相应的处罚措施：kill任务+禁止一段时间（三个月或半年）继续登录，并进行公告。

赞一下

回复此楼

集中精力发文章

13楼2012-03-11 11:49:49

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

风间的记忆

铁杆木虫 (著名写手)

应助: 77 (初中生)
金币: 6530.5
散金: 20
红花: 10
帖子: 1170
在线: 1897.4小时
虫号: 1069274
注册: 2010-08-04
性别: GG
专业: 计算机软件

引用回帖:

8楼: Originally posted by zhangguangping at 2012-03-10 01:12:11:
一种是直接禁止所有的用户的任何登陆，修改每一个计算节点的/etc/security/access.conf文件
该文件的每一行由如下三个字段构成，中间使用冒号分割：
权限 : 用户 : 来源
权限字段可以是”+”(即允许访问),”-” ...

看了PAM
做的是和SSH的联动
难道谁没知道RSSH嘛？

赞一下

回复此楼

九州浩淼，任其东西，明日何在，但随我意。

14楼2012-03-12 09:37:56

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

zhangguangping

木虫 (著名写手)

计算强帖: 6
应助: 71 (初中生)
贵宾: 0.031
金币: 1973.1
散金: 9059
红花: 79
帖子: 2681
在线: 2128.8小时
虫号: 529624
注册: 2008-03-20
性别: GG
专业: 原子和分子物理

引用回帖:

14楼: Originally posted by 风间的记忆 at 2012-03-12 09:37:56:
看了PAM
做的是和SSH的联动
难道谁没知道RSSH嘛？

现在不都是用ssh的吗？还有用rsh的吗？具体对于rsh怎么弄，这个还不知道呢！应该和ssh差不多。

赞一下

回复此楼

弘德明志博学笃行

15楼2012-03-12 10:06:34

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

zhangguangping

木虫 (著名写手)

计算强帖: 6
应助: 71 (初中生)
贵宾: 0.031
金币: 1973.1
散金: 9059
红花: 79
帖子: 2681
在线: 2128.8小时
虫号: 529624
注册: 2008-03-20
性别: GG
专业: 原子和分子物理

引用回帖:

11楼: Originally posted by beefly at 2012-03-10 23:51:31:
我知道的几个大型服务器不做任何设置，都是提前警告：一旦发现就杀掉，后果自负

对于计算中心可以，但是对于自己的小组，这样不得最人吗？本来这个活就是出力不讨好的活，这么一弄，得罪的更多了。这个政策倒是很霸道，很强劲！

赞一下

回复此楼

弘德明志博学笃行

16楼2012-03-12 10:09:03

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

abbott

金虫 (著名写手)

不要用QQ问我东西

计算强帖: 1
应助: 16 (小学生)
金币: 1071.6
散金: 2787
红花: 10
帖子: 1015
在线: 105.2小时
虫号: 452267
注册: 2007-11-05
性别: GG
专业: 计算机硬件技术

引用回帖:

9楼: Originally posted by yanrding at 2012-03-10 15:49:41:
可以简单地写一个脚本，定期查看各节点的任务运行情况，
发现cpu使用超过比如90%的进程，就查一下是否是pbs提交的任务。

查到几次，给一个惩罚措施，大家就都不敢了吧。

我和你的想法一样;

处理原则是,
发现当前用户如果不在running 序列中,
但是居然还在计算节点上运行东西,
直接删除此用户在该节点上的所有进程, 并删除其所有计算文件,
然后mail警告.
禁止登录3小时.

赞一下

回复此楼

Chemistry[]==[]Chem[]is[]try!!!

17楼2012-03-12 14:12:39

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

dubo

金虫 (著名写手)

应助: 23 (小学生)
贵宾: 0.779
金币: 569.2
散金: 3220
红花: 31
沙发: 1
帖子: 1821
在线: 349.5小时
虫号: 559371
注册: 2008-05-17
性别: GG
专业: 高分子组装与超分子结构

【答案】应助回帖

★ ★ ★
感谢参与，应助指数 +1
cenwanglai: 金币+3, ★★★很有帮助, 谢谢dubo版主~~ 2012-03-18 12:37:06

关掉登录计算节点权限，只有该用户在某一计算节点有计算任务时，才允许他登录此计算节点

赞一下

回复此楼

18楼2012-03-18 12:13:56

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

dubo

金虫 (著名写手)

应助: 23 (小学生)
贵宾: 0.779
金币: 569.2
散金: 3220
红花: 31
沙发: 1
帖子: 1821
在线: 349.5小时
虫号: 559371
注册: 2008-05-17
性别: GG
专业: 高分子组装与超分子结构

引用回帖:

15楼: Originally posted by zhangguangping at 2012-03-12 10:06:34:
现在不都是用ssh的吗？还有用rsh的吗？具体对于rsh怎么弄，这个还不知道呢！应该和ssh差不多。

恩，是差不多的，记得改一个系统文件就OK了

赞一下

回复此楼

19楼2012-03-18 12:15:55

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

xztjhs

铁虫 (小有名气)

应助: 6 (幼儿园)
金币: 142
散金: 50
红花: 1
帖子: 66
在线: 8.6小时
虫号: 1482159
注册: 2011-11-08
性别: GG
专业: 计算机应用技术

【答案】应助回帖

★ ★ ★ ★ ★ ★ ★ ★ ★ ★
感谢参与，应助指数 +1
cenwanglai: 金币+10, ★★★很有帮助, 非常感谢~~ 2012-04-04 14:26:40

通过PAM限制普通用户绕过torque提交任务到计算节点

在高校集群实施时发现部分用户绕过torque，从管理节点上通过SSH登陆到计算节点，直接运行程序，占用系统资源的现象。该现象严重影响了集群的正常运行。本文提供两个方法来应对这个现象。

方法一：
实现效果：当用户A在计算节点node1上有作业（由torque+maui.d分配的PBS任务）时，可以SSH到node1。当A在node1上无作业时，无法SSH登陆到node1。

1、重新编译torque。
如果是单独安装torque+maui.d，在编译torque时使用如下参数：
./configure  --enable-docs --with-scp --with-pam=yes --enable-syslog --prefix=以/开头的需要安装到的目录
该参数编译出的torque会在/lib64/sscurity/下生成3个含有pbs字样的PAM模块。
编译完成后按正常步骤安装torque和maui.d。（包括在计算节点安装本步骤已编译好的torque）

如果是使用GridView2.0，在安装前需要修改gridview_2_0\scripts\下边的install_torque_gridview.sh文件。
使用vi打开该文件，找到脚本里面的“./configure”行。这三行里面有两行是编译torque的，一行是编译maui的。修改编译torque的那两行，在选项里面添加一个--with-pam=yes 的选项。接下来按正常步骤安装gridview即可。

2、配置PAM（该步骤操作在各计算节点进行，可以在其中一个计算节点修改好access.conf和system-auth文件，然后将这两个文件同步到其它所有计算节点。注意：如果将这两个文件同步给管理节点，将导致普通用户无法登陆到管理节点！！！）
先修改/etc/security/access.conf
在末尾加入一行：
-:ALL EXCEPT root shi:ALL          #除了root以外的用户都调用torque+PAM进行验证。（如果还有其他用户不需要限制，直接在增加一行，将root该为你需要的用户名）

然后修改/etc/pam.d/system-auth文件。
在末尾加入两行：
account sufficient /lib64/security/pam_pbssimpleauth.so
account required /lib64/security/pam_access.so

通过如上两大步骤的配置就可以达到方法一的目标。

方法二：
实现效果：无论用户A在计算节点node1上有无作业，均不能SSH登陆到node1。

1、修改node1的/etc/security/access.conf
在末尾增加两行如下：
- : ALL EXCEPT root : node0 #禁止从node0过来的root以外的用户登陆。
+ : ALL : ALL #匹配其它默认规则。
2、修改node1的/etc/pam.d/sshd
修改好的例子如下（只改动红色部分）：
#%PAM-1.0
auth    include       common-auth
#auth    required    pam_nologin.so #加#注释该行。
account  required    pam_access.so #本行为新增，调用pam_access.so模块。
account  include       common-account
password include       common-password
session  include       common-session
3、将修改好的access.conf和sshd同步到其它计算节点。（如同步到管理节点，会造成所有普通用户无法登陆的现象。）

通过上述3个步骤，即可达到本法的效果。

总结：
无论是方法一还是方法二，都是通过linux系统自带的PAM功能来实现。限制用户通过某种方式访问本节点。两法的区别在于调用的pam模块。方法一调用的是torque的模块，方法二调用的是ssh的模块。万变不离其中，更多的限制方法等待大家去研究。

赞一下

回复此楼

非专业，更专注

20楼2012-04-04 13:53:28

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 cenwanglai 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 308求调剂 +4	是Lupa啊 2026-03-09	4/200	2026-03-16 01:21 by Xttdmn
[考研] 本人考085602 化学工程专硕 +7	不知道叫什么！ 2026-03-15	8/400	2026-03-15 20:11 by 棒棒球手
[考研] 东南大学364求调剂 +3	JasonYuiui 2026-03-15	3/150	2026-03-15 18:57 by 无际的草原
[考研] 材料与化工 323 英一+数二+物化，一志愿：哈工大本人本科双一流 +4	自由的_飞翔 2026-03-13	5/250	2026-03-14 19:39 by hmn_wj
[教师之家] 焦虑 +5	水冰月月野兔 2026-03-13	7/350	2026-03-14 15:14 by 农药害害
[考研] 313分生物学求调剂 +6	Yyt杨1 2026-03-09	8/400	2026-03-14 03:00 by JourneyLucky
[考研] 一志愿天津大学，英一数二305分求调剂，四六级已过 +8	小小番的茄 2026-03-09	8/400	2026-03-14 01:53 by JourneyLucky
[考研] 考研材料与化工，求调剂 +8	戏精丹丹丹 2026-03-09	8/400	2026-03-14 01:14 by JourneyLucky
[考研] 318求调剂 +3	李新光 2026-03-10	3/150	2026-03-14 00:21 by JourneyLucky
[考研] 0805，333求调剂 +3	112253525 2026-03-10	3/150	2026-03-13 23:42 by JourneyLucky
[考研] 341求调剂 +4	番茄头--- 2026-03-10	4/200	2026-03-13 23:12 by JourneyLucky
[考研] ［0860］321分求调剂，ab区皆可 +4	宝贵热 2026-03-13	4/200	2026-03-13 22:01 by 星空星月
[考研] 四川大学085601材料工程专硕初试294求调剂 +4	祝我们好在冬天 2026-03-11	4/200	2026-03-13 21:39 by peike
[考研] 333求调剂 +3	球球古力 2026-03-11	3/150	2026-03-13 21:27 by JourneyLucky
[考研] 材料专硕350 求调剂 +4	王金科 2026-03-12	4/200	2026-03-13 16:02 by ruiyingmiao
[考研] 工科278分求调剂 +5	周慢热啊 2026-03-12	7/350	2026-03-13 15:49 by JourneyLucky
[考研] 化工学硕306求调剂 +9	42838695 2026-03-12	9/450	2026-03-13 10:16 by houyaoxu
[考研] 一志愿江南大学085701环境工程专硕总分287求调剂 +5	18266118446 2026-03-09	5/250	2026-03-11 16:51 by 2020015
[基金申请] 提交后的基金本子，已让学校撤回了，可否换口子提交 +3	dut_pfx 2026-03-10	3/150	2026-03-11 08:38 by kudofaye
[考研] 化工0817调剂 +8	灿若星晨 2026-03-10	8/400	2026-03-10 22:44 by 星空星月