Linux如何限制用户同时登录的会话数-linux运维-PHP中文网

限制用户同时登录会话数最直接方法是配置/etc/security/limits.conf并确保pam_limits.so模块在PAM服务中启用，如sshd；2. 添加类似@users hard maxlogins 2的规则可限制组内用户最大并发登录数；3. 需在/etc/pam.d/sshd中添加session required pam_limits.so以使限制生效；4. 该限制提升安全性，防凭证泄露后多会话攻击，也保障系统性能，防止单用户资源滥用；5. limits.conf还可配置nofile、nproc等项，控制文件描述符、进程数等资源；6. 验证时可通过多会话登录测试、查看auth.log日志及ulimit -a命令确认限制是否应用。

linux如何限制用户同时登录的会话数

在Linux系统中，限制用户同时登录的会话数，最直接有效的方法是利用PAM（Pluggable Authentication Modules）机制，特别是通过配置

/etc/security/limits.conf

登录后复制

文件，并确保相关的PAM服务模块被正确加载。这能从系统层面约束用户行为，防止资源滥用或未经授权的访问扩散。

解决方案

要限制用户同时登录的会话数，你需要编辑

/etc/security/limits.conf

登录后复制

文件。这个文件定义了用户和组的资源限制。

首先，打开这个文件：

sudo vim /etc/security/limits.conf

登录后复制

然后，在文件的末尾添加一行或多行规则。例如，如果你想限制所有普通用户（属于

users

登录后复制

组）最多只能同时登录两个会话，可以这样写：

@users hard maxlogins 2

登录后复制

这条规则的含义是：

```
@users
```
登录后复制
: 作用于
```
users
```
登录后复制
组中的所有用户。你也可以指定单个用户名，例如
```
john hard maxlogins 1
```
登录后复制
。
```
hard
```
登录后复制
: 表示这是一个“硬限制”，用户无法自行突破。还有一个
```
soft
```
登录后复制
限制，表示一个建议值，用户可以临时提高到硬限制以下。对于
```
maxlogins
```
登录后复制
，通常我们直接用
```
hard
```
登录后复制
。
```
maxlogins
```
登录后复制
: 这是我们要限制的项，代表最大登录会话数。
```
2
```
登录后复制
: 允许的最大会话数。

配置完

/etc/security/limits.conf

登录后复制

后，一个非常关键且常被忽视的步骤是确保PAM模块

pam_limits.so

登录后复制

在相关的认证服务中被启用。这通常意味着你需要检查并编辑

/etc/pam.d/

登录后复制

目录下的文件，比如

login

登录后复制

、

sshd

登录后复制

或

su

登录后复制

，这取决于你希望限制哪种类型的登录（本地终端、SSH等）。

例如，对于SSH登录，你需要编辑

/etc/pam.d/sshd

登录后复制

：

sudo vim /etc/pam.d/sshd

登录后复制

确保文件中有这样一行（如果没有，就添加它）：

session required pam_limits.so

登录后复制

这行通常放在

session

登录后复制

部分的开头附近。它的作用是告诉PAM，在用户会话建立时，强制应用

/etc/security/limits.conf

登录后复制

中定义的限制。

修改完成后，保存文件。新的限制会在用户下次登录时生效。对于SSH服务，通常不需要重启

sshd

登录后复制

服务，但如果你发现没有生效，尝试重启一下：

sudo systemctl restart sshd

登录后复制

限制用户登录会话数对系统安全和性能有什么影响？

限制用户登录会话数，在我看来，是系统管理中一个看似细微却影响深远的操作，它在安全和性能两方面都有着不可忽视的积极作用。从安全角度看，它像是在账户周围筑起一道额外的屏障。设想一下，如果一个用户的凭据不慎泄露，攻击者可能会尝试通过多个并发会话来快速探测系统，或者同时执行恶意操作。限制会话数能有效遏制这种“多点开花”式的攻击，降低潜在的危害范围。即便账户被攻破，攻击者能控制的“入口”也有限，为我们发现异常和采取补救措施争取了时间。

在性能方面，这更是一个实实在在的考量。我曾遇到过这样的情况：某个开发人员为了方便，在服务器上开了几十个SSH会话，每个会话可能都在运行着一些脚本或占用着少量资源。虽然单个会话的开销不大，但当数量累积起来，就可能导致系统资源（如CPU时间、内存、文件描述符等）被过度消耗，进而影响到其他用户、关键服务，甚至导致系统响应迟缓或不稳定。

maxlogins

登录后复制

的限制就是一道阀门，它能有效防止单个用户因疏忽或误操作而无意中“压垮”系统，确保资源的公平分配和系统的整体健康运行。它不是万能药，但绝对是构建健壮系统的一个基础性且成本低廉的措施。

除了maxlogins，如何通过limits.conf配置其他系统资源限制？

/etc/security/limits.conf

登录后复制

文件远不止

maxlogins

登录后复制

这么简单，它是一个非常强大的工具，可以用来精细地控制用户或组可以使用的各种系统资源。在我日常运维中，除了登录会话数，最常调整的就是文件描述符和进程数，因为它们是很多应用性能瓶颈的常见根源。

话袋AI笔记

话袋AI笔记, 像聊天一样随时随地记录每一个想法，打造属于你的个人知识库，成为你的外挂大脑

查看详情

下面是一些常见的、非常有用的资源限制项：

nofile
登录后复制
(Number of open files): 这是我最常配置的项之一。它限制了一个用户可以同时打开的最大文件描述符数量。很多高性能应用，比如数据库、Web服务器、消息队列等，都需要打开大量的文件（包括网络套接字）。如果这个限制太低，应用可能会在高峰期崩溃或报错。例如，
```
* hard nofile 65535
```
登录后复制
可以将所有用户的硬性文件描述符限制提高到65535。
nproc
登录后复制
(Number of processes): 限制一个用户可以创建的最大进程数。这对于防止“fork bomb”（一种恶意程序，通过不断创建子进程来耗尽系统资源）非常有效。同时，它也能防止某个用户意外启动了过多程序，导致系统资源耗尽。比如，
```
@developers hard nproc 1024
```
登录后复制
可以限制
```
developers
```
登录后复制
组的用户最多只能运行1024个进程。
as
登录后复制
(Address space): 限制一个用户可以使用的最大虚拟内存空间（以KB为单位）。这有助于防止单个进程或用户消耗过多内存，影响系统稳定性。
core
登录后复制
(Core file size): 限制程序崩溃时生成的
```
core dump
```
登录后复制
文件的大小。设置为
```
0
```
登录后复制
可以禁止生成
```
core dump
```
登录后复制
，这在生产环境中很常见，可以节省磁盘空间并防止敏感信息泄露。
data
登录后复制
(Max data segment size): 限制进程数据段的最大大小。
memlock
登录后复制
(Locked-in-memory address space): 限制进程可以锁定在物理内存中的最大内存量。这对于一些需要低延迟、避免内存交换的应用（如实时系统、数据库缓存）很重要。
rss
登录后复制
(Resident Set Size): 限制进程的驻留集大小，即实际占用的物理内存量。

配置这些限制时，需要根据实际的应用需求和服务器的硬件配置来权衡。过低的限制可能导致应用运行不正常，过高的限制则可能无法达到预期的保护效果。通常我会先设置一个合理的

soft

登录后复制

限制，让用户有弹性，再设置一个严格的

hard

登录后复制

限制作为最终防线。记住，这些限制只对新登录的会话或新启动的进程生效，不会影响当前正在运行的进程。

配置limits.conf后，如何确保限制已正确应用？

配置完

/etc/security/limits.conf

登录后复制

和PAM模块后，最让我感到踏实的就是验证环节。毕竟，配置文件的生效与否，有时会有一些意想不到的“坑”。确保限制正确应用，需要从几个方面进行检查和测试。

第一步，也是最直观的，就是实际测试登录行为。

以你配置了限制的用户身份登录（例如，通过SSH）。
尝试打开多个终端窗口或SSH会话。
当你达到
```
maxlogins
```
登录后复制
设定的限制时，系统应该拒绝新的登录请求，并显示类似“Too many logins for user X”的错误信息。这直接证明了
```
maxlogins
```
登录后复制
限制正在工作。

第二步，检查系统日志。

当用户因为达到
```
maxlogins
```
登录后复制
限制而被拒绝登录时，相关的事件通常会被记录在系统认证日志中。
你可以查看
```
/var/log/auth.log
```
登录后复制
（Debian/Ubuntu）或
```
/var/log/secure
```
登录后复制
（CentOS/RHEL）文件。
使用
```
tail -f /var/log/auth.log
```
登录后复制
（或相应的日志文件）并在尝试登录时观察输出，通常能看到PAM模块拒绝登录的具体原因。

第三步，使用

ulimit

登录后复制

命令验证其他资源限制。

登录到受限制的用户账户。
运行
```
ulimit -a
```
登录后复制
命令。这个命令会显示当前用户的所有资源限制。
虽然
```
maxlogins
```
登录后复制
不会直接显示在这里，但
```
nofile
```
登录后复制
、
```
nproc
```
登录后复制
等其他你在
```
limits.conf
```
登录后复制
中设置的限制值应该会正确反映出来。这能间接确认
```
pam_limits.so
```
登录后复制
模块已经正确加载并应用了
```
limits.conf
```
登录后复制
中的设置。

如果发现限制没有生效，最常见的调试点通常是：

PAM配置问题： 这是头号嫌疑。确保
```
session required pam_limits.so
```
登录后复制
这行代码确实存在于你想要限制的服务的PAM配置文件中（如
```
/etc/pam.d/sshd
```
登录后复制
或
```
/etc/pam.d/login
```
登录后复制
），并且没有被注释掉。一个微小的拼写错误或放在了错误的位置都可能导致它失效。
limits.conf
登录后复制
语法错误：检查文件中的规则是否符合格式，例如
```
domain type item value
```
登录后复制
。一个空格、一个错误的用户名/组名都可能让整条规则无效。
用户/组匹配问题： 确保你配置的
```
domain
```
登录后复制
（用户或组）与实际登录的用户匹配。
服务重启： 对于某些服务，特别是
```
sshd
```
登录后复制
，虽然理论上PAM配置更改后会立即生效，但如果遇到问题，重启服务（
```
systemctl restart sshd
```
登录后复制
）往往能解决。
现有会话： 记住，
```
limits.conf
```
登录后复制
的更改只对新的登录会话生效。已经存在的会话不会受到影响，直到它们退出并重新登录。