# limits.conf 限制著**用戶**可以使用的最大文件數，最大線程，最大內存等資源使用量。 ## limits.conf工作原理 limits.conf是 pam_limits.so的 配置文件，然后/etc/pam.d/下的應用程序調\*\*pam_***.so模塊**。譬如說，當用戶訪問服務器，服務程序將請求發送到PAM模塊，PAM模塊根據服務名稱在/etc/pam.d目 錄下選擇一個對應的服務文件，然后根據服務文件的內容選擇具體的PAM模塊進行處理 ### 例如 ~~~ 限制admin用戶登錄到sshd的服務不能超 過2個 　　在/etc/pam.d/sshd中添加：session required pam_limits.so 　　在/etc/security/limits.conf中添加：admin - maxlogins 2 　　注意：查看應用程序能否被PAM支持，用ldd 　　同理limits.conf要使用就必須保證/etc/pam.d/login 中有下面：session required pam_limits.so ~~~ ### limits.conf文件格式 ~~~ username|@groupname　　 type 　　 resource 　　 limit ~~~ * username|@groupname 設置需要被限制的用戶名，組名前面加@和用戶名區別。也可用通配符*來做所有用戶的限制 * type 類型有soft，hard 和 -，其中soft 指的是當前系統生效的設置值。hard 表明系統中所能設定的最大值。soft 的限制不能比har 限制高。用 - 就表明同時設置了soft 和hard的值 * resource 表示要限制的資源 * core - 限制內核文件的大小 何謂core文件,當一個程序崩潰時，在進程當前工作目錄的core文件中復制了該進程的存儲圖像。core文件僅僅是一個內存映象（同時加上調試信息），主要是用來調試的。core文件是個二進制文件，需要用相應的工具來分析程序崩潰時的內存映像，系統默認core文件的大小為0，所以沒有被創建。可以用ulimit命令查看和修改core文件的大小，例如： ~~~ #ulimit –c #ulimit -c 1000 　　-c 指定修改core文件的大小，1000指定了core文件大小。也可以對core文件的大小不做限制，如： ulimit -c unlimited 　　注意：如果想讓修改永久生效，則需要修改配置文件，如 .bash_profile、/etc/profile或/etc/security/limits.conf ~~~ * * data - 最大數據大小 * size - 最大文件大小 * memlock - 最大鎖定內存地址空間 * nofile - 用戶打開文件的最大數目 * rss - 最大持久設置大小 * stack - 最大棧大小 * cpu - 以分鐘為單位的最多 CPU 時間 * noproc - 進程的最大數目 * as - 地址空間限制 * maxlogins - 此用戶允許登錄的最大數目 >[info]注意：要使 limits.conf 文件配置生效，必須要確保 pam_limits.so 文件被加入到啟動文件中。查看 /etc/pam.d/login 文件中有：session required /lib/security/pam_limits.so ## nofile 用戶級別限制 ### 總結 所有進程打開的文件描述符數不能超過/proc/sys/fs/file-max 單個進程打開的文件描述符數不能超過user limit中nofile的soft limit nofile的soft limit不能超過其hard limit nofile的hard limit不能超過/proc/sys/fs/nr_open ### 所有進程打開的文件描述符數 #### 設置file-max ~~~ # 臨時性 echo 1000000 > /proc/sys/fs/file-max # 永久性 執行sysctl -p生效 # 在/etc/sysctl.conf中設置 fs.file-max = 1000000 ~~~ ### 單個進程最大打開文件描述符數 #### 設置nofile ``` # 查看 ulimit -n # 臨時性 注銷重新登錄就失效 ulimit -Sn 設置最大打開文件描述符數的soft limit， 注意soft limit不能大于hard limit（ulimit -Hn可查看hard limit) 另外ulimit -n默認查看的是soft limit，但是ulimit -n 1800000則是同時設置soft limit和hard limit。對于非root用戶只能設置比原來小的hard limit。 ulimit -Hn 查看hard limit # 永久性 設置需要注銷之后重新登錄才能生效 /etc/security/limits.conf中進行設置（需要root權限），可添加如下兩行，表示用戶chanon最大打開文件描述符數的soft limit為1800000，hard limit為2000000。： chanon soft nofile 180000 chanon hard nofile 200000 ``` ### 查看當前系統使用的打開文件描述符數 ~~~ cat /proc/sys/fs/file-nr 5664 0 186405 其中第一個數表示當前系統已分配使用的打開文件描述符數 第二個數為分配后已釋放的（目前已不再使用) 第三個數等于file-max ~~~ # noproc 進程的最大數目 # 使用經驗 修改limits.conf這類限制資源使用的文件，一定要備份配置文件，并進行測試，最好能多開一個終端，在當前終端不可使用的時候，用來執行補救措施。 [修改nofile引發無法登陸][1] 假如hard limit大于nr_open，注銷后無法正常登錄。可以修改nr_open的值： ~~~ echo 2000000 > /proc/sys/fs/nr_open ~~~ ## 如何設置nofile的值？ ulimt -n命令進行測試，如果小于系統允許的最大值，設置成功，大于最大值，系統會報錯提示。 [1]:https://www.cnblogs.com/micmouse521/p/8116329.html