HPC计算环境中限制普通用户登录节点机

计算节点普通用户登录限制
1、方案说明

基于操作系统提供的安全机制PAM（具体来说是pam_acdess.so）来实现对于普通用户ssh/rsh登录计算节点的限制。

2、配置管理

在操作系统的/etc/pam.d目录中包含了对于各种程序的pam配置，包括sshd和rsh。在相应的服务中启用pam_access.so验证后，然后设置/etc/security/access.conf中访问规则即可。这些规则可以设定该节点允许或者拒绝那些节点的那些用户的访问。
针对于hpc计算的环境，只需要在每个计算节点上设置规则：拒绝“登录节点”和“编译节点”上除root以外的所有用户的登录请求。
2.1 访问规则设置

在所有计算节点（node2-node19）上进行如下设置：

访问规则设置在/etc/security/access.conf配置文件中。
设置如下（增加如下两行）：

- : ALL EXCEPT root : node1 node1为管理节点
+ : ALL : ALL

规则含义：拒绝从node1过来的除了用户root以外的所有用户的登录请求。

2.2 SSH配置示例

在所有计算节点上进行如下设置：

对于ssh服务的配置如下：

Vi /etc/pam.d/sshd

#%PAM-1.0
auth include common-auth
#auth required pam_nologin.so 注释掉这行
account required pam_access.so 增加这行
account include common-account
password include common-password
session include common-session
# Enable the following line to get resmgr support for
# ssh sessions (see /usr/share/doc/packages/resmgr/README)
#session optional pam_resmgr.so fake_ttyname

重启所有节点的sshd服务

/etc/init.d/sshd restart

使用非root用户在管理节点ssh登录计算节点，进行测试。