sudo pam_unix session 日志刷屏的 pam_limits 与 rsyslog 丢弃

冷炫風刃

发布时间：2026-01-28 18:46:00

705人浏览过

来源于php中文网

原创

pam_limits 触发大量 pam_unix(session) 日志的根本原因是其在会话建立时误配于 auth 段或与 systemd 冲突，导致重复调用并间接触发 pam_unix 记录；应仅限 session 段使用，配合 rsyslog 精准过滤和 systemd 资源配置优化。

sudo pam_unix session 日志刷屏的 pam_limits 与 rsyslog 丢弃

为什么 `pam_limits` 会触发大量 `pam_unix(session)` 日志

根本原因是 pam_limits.so 模块在每次会话建立时（比如 SSH 登录、su 切换、systemd 用户实例启动）都会调用 pam_get_user() 和 pam_get_item()，而某些 PAM 配置下它会间接触发 pam_unix.so 的 session 模块执行——尤其是当 /etc/security/limits.conf 或 /etc/security/limits.d/*.conf 中存在通配符（如 *、%wheel）且未显式禁用 session 类型时。

典型诱因包括：

auth [default=ignore] pam_limits.so 被误写在 auth 段（应只用于 session 段）
使用了旧版兼容配置，如 session required pam_limits.so 但系统同时启用了 pam_systemd.so，导致每个 systemd user session 反复重入 limits 处理
limits.conf 中某条规则含 soft nofile 等字段，而内核或 libc 对该资源检查返回 EPERM，pam_unix 将失败记录为 session open error

如何定位刷屏日志是否真由 `pam_limits` 引起

别猜，直接查日志上下文和模块调用链：

用 journalctl -u sshd -n 100 --no-pager | grep -A2 -B2 "pam_unix\|pam_limits" 看相邻行是否出现 pam_limits: set limit: nofile=65536 后紧跟 pam_unix(sshd:session): session opened for user xxx
检查 PAM 配置加载顺序：grep -r "pam_limits\.so" /etc/pam.d/，重点关注 sshd、common-session、system-auth 中的段类型（auth/account/session）
临时注释掉所有 pam_limits.so 行，重启 sshd 并观察日志是否停止刷屏（验证用，勿长期保留）

用 `rsyslog` 过滤丢弃特定 `pam_unix session` 日志

不推荐全局关闭 pam_unix 日志，而是精准匹配丢弃。关键在于利用 msg 字段中稳定出现的字符串（不是 PID 或时间戳），例如：

艾绘

艾绘：一站式绘本创作平台，AI智能绘本设计神器！

下载

if $programname == 'sshd' and $msg contains 'pam_unix(sshd:session): session opened for user' then stop
if $programname == 'su' and $msg contains 'pam_unix(su:session): session opened for user' then stop

注意点：

必须放在 /etc/rsyslog.d/ 下独立文件（如 10-pam-discard.conf），且文件名需以数字开头确保加载优先级高于默认规则
stop 是 rsyslog v8+ 语法；v7 用 ~，但建议升级或确认版本：rsyslogd -v | head -1
不要匹配太宽，比如只写 contains 'pam_unix' 会误杀认证失败等真正需告警的日志
修改后必须 sudo systemctl restart rsyslog，否则不生效

`pam_limits` 安全与功能的平衡写法

既要限制资源，又不能制造日志噪音，核心是：只在必要位置加载，且避免重复触发。

删掉所有 auth 和 account 段中的 pam_limits.so —— 它只应在 session 段生效
在 /etc/pam.d/common-session 中写成：session [success=ok default=ignore] pam_limits.so，用 [success=ok] 让成功时不继续后续模块，减少冗余调用
若用 systemd，确认 /etc/systemd/logind.conf 中 UserTasksMax 和 LimitNOFILE 已设好，可酌情减少 pam_limits 负担
对容器或 CI 环境，直接在 /etc/security/limits.d/00-nofile.conf 中加 * soft nofile 65536 即可，无需动 PAM 主配置

最易被忽略的是：systemd 用户会话（systemd --user）会绕过传统 PAM session 链，此时 pam_limits 根本不生效，得靠 systemd-logind 或 user.conf 控制——刷屏日志却可能还来自它试图 fallback 的残留逻辑。

requests 如何在重试时保留原 Session 的所有 cookie 和 header

requests.Session() 复用连接池的真实性能提升与限制条件

sqlalchemy 2.x 如何写异步 session + 事务上下文管理器

Python pytest fixture 的生命周期

Python爬虫反爬策略教程_模拟请求与验证码处理技巧

相关标签:

session ai unix 为什么 red for Session Error 字符串 default ssh

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：ss -m 显示 TCP 内存占用巨大但进程 RSS 正常的 orphaned socket 清理下一篇：在多线程中不加锁使用 collections.deque 是否安全

作者最新文章

Linux 孤儿进程为何不会成为问题？

2026-01-27 19:12

Win11 系统 C 盘满了如何清理？Win11 系统 C 盘清理方法说明

2026-01-27 19:16

Python 字符串操作的底层成本

2026-01-27 19:21

net.ipv4.tcp_tw_recycle 废弃后的 SO_REUSEADDR 与端口复用风险

2026-01-27 19:30

Python 内置类型缓存机制详解

2026-01-27 19:32

Python 带参数装饰器的实现方式

2026-01-27 19:32

Linux 配置变更如何避免事故？

2026-01-27 19:35

Python 对象 ID 与内存地址的对应关系

2026-01-27 19:41

MySQL thread_cache_size 与 connection pool 的合理配置

2026-01-27 19:47

PostgreSQL CTE 递归深度过大导致的 max_recursive_iterations 报错

2026-01-27 19:52

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

session失效的原因

session失效的原因有会话超时、会话数量限制、会话完整性检查、服务器重启、浏览器或设备问题等等。详细介绍：1、会话超时：服务器为Session设置了一个默认的超时时间，当用户在一段时间内没有与服务器交互时，Session将自动失效；2、会话数量限制：服务器为每个用户的Session数量设置了一个限制，当用户创建的Session数量超过这个限制时，最新的会覆盖最早的等等。

315

2023.10.17