drjeep's questions

Recentemente atualizamos um servidor SFTP CentOS 7 de alto volume openssh/internal-sftppara o Rocky Linux 8.

No entanto, desde a atualização, estamos enfrentando problemas de tempo limite de login após o servidor estar em execução por 1 a 2 horas. Isso parece estar relacionado ao número de sessões e/ou systemd --userprocessos SFTP abertos.

Após 1-2 horas, novos logins SFTP tornam-se extremamente lentos e começamos a ver essas mensagens no log

Apr 14 12:16:58 sftp sshd[330585]: pam_systemd(sshd:session): Failed to create session: Connection timed out

Às vezes, o problema desaparece se sessões SFTP forem fechadas com rapidez suficiente, mas, na maioria das vezes, precisamos reiniciar o servidor para restaurar o serviço normal.

Seria aconselhável desabilitar, systemd-logindjá que isso não parece necessário para SSH?

ATUALIZAÇÃO
Não tenho certeza se isso é relevante, mas systemctl list-units --state=abandonedretorna centenas de sessões abandonadas.

ATUALIZAÇÃO 2
Após a desativação, pam_systemd.soo sistema voltou a funcionar normalmente. Isso efetivamente desativa systemd-logindas sessões SSH.

Uma redução de 80% na carga do sistema indica uma grande perda de desempenho ao usar systemd-logind.

Isso é normal?!

Desde a atualização do CentOS 7 para o Rocky Linux 8, nosso maxloginslimite de PAM não está mais sendo aplicado para sessões SFTP.

Os usuários do SFTP pertencem ao sftpgrupo e temos isso em/etc/security/limits.d/10-maxlogins.conf

@sftp        -       maxlogins       1

Usamos internal-sftppara sessões SFTP e temos isso em/etc/ssh/sshd_config

Subsystem sftp  internal-sftp -l INFO

Match Group sftp
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no

No entanto, os usuários ainda conseguem abrir > 1 sessão SFTP simultânea. Deveríamos fazer algo diferente no EL8 para impor esses limites?

ATUALIZAÇÃO:
O registro de depuração do PAM está habilitado e é possível verificar se ele está lendo os arquivos de configuração relevantes. No entanto, o limite não é imposto.

Apr 10 16:13:04 sftp-test sshd[40955]: Accepted password for sftptest from 10.3.200.146 port 60976 ssh2
Apr 10 16:13:04 sftp-test sshd[40955]: pam_limits(sshd:session): reading settings from '/etc/security/limits.conf'
Apr 10 16:13:04 sftp-test sshd[40955]: pam_limits(sshd:session): reading settings from '/etc/security/limits.d/10-max-logins.conf'
Apr 10 16:13:04 sftp-test sshd[40955]: pam_limits(sshd:session): checking if sftptest is in group sftp
Apr 10 16:13:04 sftp-test sshd[40955]: pam_limits(sshd:session): process_limit: processing - maxlogins 1 for GROUP
Apr 10 16:13:04 sftp-test sshd[40955]: pam_limits(sshd:session): checking logins for 'sftptest' (maximum of 1)
Apr 10 16:13:04 sftp-test systemd[40960]: pam_unix(systemd-user:session): session opened for user sftptest(uid=1000) by sftptest(uid=0)
Apr 10 16:13:04 sftp-test sshd[40955]: pam_unix(sshd:session): session opened for user sftptest(uid=1000) by sftptest(uid=0)
Apr 10 16:13:26 sftp-test sshd[40986]: Accepted password for sftptest from 10.3.200.146 port 52110 ssh2
Apr 10 16:13:26 sftp-test sshd[40986]: pam_limits(sshd:session): reading settings from '/etc/security/limits.conf'
Apr 10 16:13:26 sftp-test sshd[40986]: pam_limits(sshd:session): reading settings from '/etc/security/limits.d/10-max-logins.conf'
Apr 10 16:13:26 sftp-test sshd[40986]: pam_limits(sshd:session): checking if sftptest is in group sftp
Apr 10 16:13:26 sftp-test sshd[40986]: pam_limits(sshd:session): process_limit: processing - maxlogins 1 for GROUP
Apr 10 16:13:26 sftp-test sshd[40986]: pam_limits(sshd:session): checking logins for 'sftptest' (maximum of 1)
Apr 10 16:13:26 sftp-test sshd[40986]: pam_unix(sshd:session): session opened for user sftptest(uid=1000) by sftptest(uid=0)