通过 ulimit 命令可以限制进程所能使用的系统资源,如文件大小、进程数、CPU使用时间等,从而保护 Debian 服务器免受攻击。以下是一些关键步骤和配置方法:
使用 ulimit -a 命令可以查看当前系统资源限制的详细信息,包括软限制(soft limit)和硬限制(hard limit)。
临时修改限制:可以使用 ulimit 命令临时修改当前会话的资源限制。例如:
ulimit -n 65536:设置进程可以同时打开的文件描述符的最大数目为 65536。ulimit -u 1024:设置用户可以创建的最大进程数为 1024。ulimit -m 500000:设置进程使用的最大内存大小为 500000KB。ulimit -t 3600:设置进程可以使用的最大 CPU 时间为 3600 秒。永久修改限制:要永久修改资源限制,需要编辑 /etc/security/limits.conf 文件。例如:
username soft nofile 65536
username hard nofile 65536
上述配置将指定 username 用户的文件描述符限制设置为 65536。
在 Systemd 环境下,资源限制需要在 /etc/systemd/system.conf 配置中定义。该配置会影响 1 号进程本身的 limit,所以可以直接检查 /proc/1/limits 来判断是否配置正确。
很多应用会使用 PAM(/etc/security/limits.conf)来覆盖原本的 limit 值。确保在 /etc/security/limits.conf 中定义相关的 limit 值,可以防止某些应用超过预期的资源限制。
ulimit 命令设置的限制对于当前用户和其子进程都是继承的。子进程可以继承父进程的资源限制,但也可以通过自己的 ulimit 命令设置新的限制。ulimit 命令修改资源限制需要对相应的资源有适当的权限。管理员可以设置系统级别的限制,而普通用户可能只能更改自己的进程的限制。通过合理配置 ulimit,可以有效限制进程的资源使用,防止单个进程消耗过多资源,从而提高服务器的稳定性和安全性。