/etc/security/limits.conf工作原理
1、 limits.conf 描述
limits.conf文件實際是Linux PAM(插入式認證模塊,Pluggable Authentication Modules)中 pam_limits.so 的配置文件,突破系統的默認限制,對系統訪問資源有一定保護作用。 limits.conf 和sysctl.conf區別在於limits.conf是針對用戶,而sysctl.conf是針對整個系統參數配置。
2、limits.conf工作原理
limits.conf是 pam_limits.so的 配置文件,然後/etc/pam.d/下的應用程序調用pam_***.so模塊。譬如說,當用戶 訪問服務器,服務程序將請求發送到PAM模塊,PAM模塊根據服務名稱在/etc/pam.d目 錄下選擇一個對應的服務文件,然後根據服務文件的內容選擇具體的PAM模塊進行處理
例如:限制admin用戶登錄到sshd的服務不能超 過2個
在/etc/pam.d/sshd中添加:session required pam_limits.so
在/etc/security/limits.conf中添加:admin - maxlogins 2
注意:查看應用程序能否被PAM支持,用ldd
同理limits.conf要使用就必須保證/etc/pam.d/login 中有下面:
session required pam_limits.so
3、limits.conf文件格式:username|@groupname type resource limit
1)username|@groupname
設置需要被限制的用戶名,組名前面加@和用戶名區別。也可用通配符*來做所有用戶的限制
2)type
類型有soft,hard 和 -,其中soft 指的是當前系統生效的設置值。hard 表明系統中所能設定的最大值。soft 的限制不能比har 限制高。用 - 就表明同時設置了soft 和hard的值
3)resource: 表示要限制的資源
(1)core - 限制內核文件的大小
何謂core文件,當一個程序崩潰時,在進程當前工作目錄的core文件中復制了該進程的存儲圖像。core文件僅僅是一個內存映象(同時加上調試信息),主要是用來調試的。core文件是個二進制文件,需要用相應的工具來分析程序崩潰時的內存映像,系統默認core文件的大小為0,所以沒有被創建。可以用ulimit命令查看和修改core文件的大小,例如:
#ulimit –c
0
#ulimit -c 1000
-c 指定修改core文件的大小,1000指定了core文件大小。也可以對core文件的大小不做限制,如: ulimit -c unlimited
注意:如果想讓修改永久生效,則需要修改配置文件,如 .bash_profile、/etc/profile或/etc/security/limits.conf
(2)date - 最大數據大小
(3)fsize - 最大文件大小
(4)memlock - 最大鎖定內存地址空間
(5)nofile - 打開文件的最大數目
對於需要做許多套接字連接並使它們處於打開狀態的應用程序而言,最好通過使用ulimit -n,或者通過設置nofile參數,為用戶把文件描述符的數量設置得比默認值高一些
(6)rss - 最大持久設置大小
(7)stack - 最大棧大小
(8)cpu - 以分鐘為單位的最多 CPU 時間
(9)noproc - 進程的最大數目
(10)as - 地址空間限制
(11)maxlogins - 此用戶允許登錄的最大數目
注意:要使 limits.conf 文件配置生效,必須要確保 pam_limits.so 文件被加入到啟動文件中。查看 /etc/pam.d/login 文件中有:session required /lib/security/pam_limits.so
4、limits.conf設置
1)暫時生效,適用於通過 ulimit 命令登錄 shell 會話期間
2)永久生效,通過將一個相應的 ulimit 語句添加到由登錄 shell 讀取的文件之一(例如 ~/.profile),即特定於 shell 的用戶資源文件;或者通過編輯 /etc/security/limits.conf
