ulimit 是一个用于控制 shell 进程资源使用的命令行工具。通过限制用户或进程可以使用的资源,可以提高 Ubuntu 系统的安全性。以下是一些使用 ulimit 提升系统安全性的方法:
限制打开文件描述符的数量: 每个进程可以打开的文件描述符数量是有限的。通过限制这个数量,可以防止恶意进程消耗过多的文件描述符,导致系统资源耗尽。
ulimit -n 1024
这条命令将每个进程可以打开的最大文件描述符数量限制为 1024。
限制进程数: 可以限制用户在一定时间内可以启动的进程数量,以防止滥用。
ulimit -u 50
这条命令将用户可以同时运行的最大进程数限制为 50。
限制CPU时间: 可以限制进程可以使用的CPU时间,以防止某个进程占用过多的CPU资源。
ulimit -t 3600
这条命令将进程可以使用的最大CPU时间限制为 1小时(3600秒)。
限制内存使用: 可以限制进程可以使用的最大内存量,以防止内存耗尽攻击。
ulimit -v 512000
这条命令将进程可以使用的最大虚拟内存量限制为 512MB。
限制堆栈大小: 可以限制进程的堆栈大小,以防止缓冲区溢出攻击。
ulimit -s 8192
这条命令将进程的堆栈大小限制为 8MB。
上述 ulimit 设置在当前 shell 会话结束后会失效。为了使这些设置在系统重启后仍然有效,可以将它们添加到用户的 shell 配置文件中,例如 .bashrc 或 .profile。
例如,编辑 .bashrc 文件:
nano ~/.bashrc
然后在文件末尾添加以下内容:
ulimit -n 1024
ulimit -u 50
ulimit -t 3600
ulimit -v 512000
ulimit -s 8192
保存并退出编辑器,然后重新加载配置文件:
source ~/.bashrc
如果希望对所有用户生效,可以将这些设置添加到 /etc/security/limits.conf 文件中。编辑该文件:
sudo nano /etc/security/limits.conf
然后在文件末尾添加以下内容:
* soft nofile 1024
* hard nofile 1024
* soft nproc 50
* hard nproc 50
* soft core 0
* hard core 0
* soft data 512000
* hard data 512000
* soft stack 8192
* hard stack 8192
保存并退出编辑器。这些设置将对所有用户生效。
/etc/security/limits.conf 文件需要 root 权限。通过合理使用 ulimit,可以有效地提升 Ubuntu 系统的安全性。