ulimit 是一个用于控制 shell 进程资源使用的命令行工具。在 CentOS 系统中,您可以使用 ulimit 来限制用户或进程的资源使用,从而提高系统的安全性和稳定性。以下是一些使用 ulimit 保护 CentOS 系统的方法:
临时限制资源使用:
您可以在 shell 会话中使用 ulimit 命令临时限制资源使用。例如,以下命令将限制当前 shell 会话中的最大文件大小为 100MB:
ulimit -f 100000
类似的,您可以使用其他选项来限制不同类型的资源,例如:
-u:限制进程数-n:限制打开的文件数-m:限制内存使用量(以 KB 为单位)-t:限制 CPU 时间(以秒为单位)请注意,这些限制仅在当前 shell 会话中生效。当您关闭会话或重新启动系统时,这些限制将被重置。
永久限制资源使用:
要永久限制用户或进程的资源使用,您需要编辑 /etc/security/limits.conf 文件。以下是一个示例配置,用于限制名为 username 的用户的资源使用:
username soft nofile 100
username hard nofile 200
username soft nproc 50
username hard nproc 100
在这个示例中,nofile 限制了用户可以打开的文件数,nproc 限制了用户可以运行的进程数。soft 行表示软限制,用户可以在不超过硬限制的情况下自行调整这些值。hard 行表示硬限制,用户无法超过这个值。
请注意,更改 /etc/security/limits.conf 文件后,新启动的会话将应用这些限制。已经运行的会话不会受到影响。
限制系统范围内的资源使用:
要限制整个系统的资源使用,您可以使用 cgroups(控制组)功能。cgroups 是 Linux 内核的一个功能,允许您将一组进程组织在一起,并为这些进程分配资源限制。要使用 cgroups 限制资源,请按照以下步骤操作:
安装 cgroup-tools 软件包:
sudo yum install cgroup-tools
创建一个新的 cgroup,例如名为 limited_group:
sudo cgcreate -g memory,cpu:/limited_group
为 cgroup 设置资源限制。例如,以下命令将内存限制为 100MB,CPU 时间限制为 50%:
echo 100M | sudo tee /sys/fs/cgroup/memory/limited_group/memory.limit_in_bytes
echo 50000 | sudo tee /sys/fs/cgroup/cpu/limited_group/cpu.cfs_quota_us
echo 100000 | sudo tee /sys/fs/cgroup/cpu/limited_group/cpu.cfs_period_us
将进程添加到 cgroup。例如,要将进程 ID 为 12345 的进程添加到 limited_group,请执行以下命令:
sudo cgclassify -g memory,cpu:limited_group 12345
请注意,cgroups 功能需要 Linux 内核版本 2.6.32 或更高版本。CentOS 7 默认使用的内核版本满足这个要求。
通过以上方法,您可以使用 ulimit 和其他工具来保护 CentOS 系统,防止资源耗尽和其他潜在问题。