Linux修改资源限制详解

ulimit -a
临时设置，和永久设置
- 1.core file size
- 2.data seg size
- 3.scheduling priority
- 4.file size
- 5.pending signals
- 6.max locked memory
- 7.max memory size
- 8.open files
- 9.pipe size
- 10.POSIX message queues
- 11.real-time priority
- 12.stack size
- 13.cpu time
- 14.max user processes
- 15.virtual memory
- 16.file locks
确保生效
- 1.添加
- 2.检查

参考：https://cloud.tencent.com/developer/article/1661160

ulimit -a

[root@localhost ~]# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 63445
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 65535
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 63445
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

临时设置，和永久设置

1.临时设置
所有值都可以使用ulimit -c,-d,-e,… +数值，临时设置，
eg:设置core file size 为1024，
ulimit -c 1024
2.永久设置
对于ulimit的配置，配置文件在/etc/security/limits.conf以及limits.d下面的文件，
limits.d下面的配置会覆盖limits.conf中相同的配置
CentOS6中，limits.d下面通常默认是90-nproc.conf，
CentOS7中，通常是20-nproc.conf，nproc是限制每个用户创建进程数的

设置格式如下：

limits.conf的格式
<domain>        <type>  <item>  <value>
domain:用户或组名,*表示所有，user@group
type：soft，hard,hard表明系统中所能设定的最大值，soft的限制不能比hard限制高.
item:
详情见：/etc/security/limits.conf，注释

1.core file size

core文件是内存的映像文件，当程序崩溃时，会存储内存的相关信息。主要用于对程序进行调试。

1.查看core文件功能是否打开，0表示未打开，数值大小表示，生成的最大core文件大小，太小会得到一个不完整的core文件
[root@localhost ~]# ulimit -c
0
2.永久设置
echo " * soft core 4194304" >> /etc/security/limits.conf
echo " * hard core 4194304" >> /etc/security/limits.conf

2.data seg size

限制进程使用数据段的大小，一般来说这个限制会影响程序调用brk(系统调用)，sbrk(库函数)调用malloc时，如果发现vm不够了，就会用brk去内核申请，一般设置成，unlimited

3.scheduling priority

限制进程优先级，就是进程的nice值，这个值只对普通用户起作用，对root用户不起作用
默认值0，优先级从高到底为，-20到20

4.file size

限制进程产生的文件大小，默认情况不限制,单位是blocks，一个blocks是1024字节

5.pending signals

限制信号，表示可以被挂起/阻塞的最大信号数量,linux下信号有64种，可以通过kill -l查看
编号为1-31的信号为传统unix支持的信号，是不可靠信号(非实时的)，
编号为32-64的信号是后来扩充的，称作可靠信号(实时信号)
有兴趣的可以了解下linux信号机制

6.max locked memory

限制内存锁定，这个参数同样也是只对普通用户起作用，对root用户不起作用，linux对内存是分页管理的，内存中的数据，当不再需要时，会被从物理内存交换到swap或磁盘上，有需要时会被交换到物理内存，因为内存的换入/换出有一定的性能损耗，所以有时候会需要将数据锁定到物理内存，比如数据库等，或安全角度考虑的，比如用户名、密码等，被交换到swap或磁盘会有泄密的可能，所以一直锁定再内存中

锁定内存的动作由mlock()函数来完成，mlock原型如下：
int mloc(const void *addr, size_t len);

7.max memory size

限制进程使用的最大内存,驻留内存的限制在很多系统里也没有作用

8.open files

限制进程打开文件的最大数量，默认1024

#永久设置
echo -ne '''
root soft nofile 65535
root hard nofile 65535
*soft nofile 65535
*hard nofile 65535
''' >> /etc/security/limits.conf

9.pipe size

管道的缓存不能改变,只能是8*512(bytes),也就是4096个字节

10.POSIX message queues

可以创建使用POSIX消息队列的最大值
POSIX消息队列是linux ipc中很常用的一种通信方式，它通常用来在不同进程间发送特定格式的消息数据

11.real-time priority

限制程序实时优先级的范围,只针对普通用户

12.stack size

限制进程使用堆栈段的大小,会出现堆栈不够用的情况

13.cpu time

限制程序占用CPU的时间

14.max user processes

限制程序可以fork的进程数,只对普通用户有效,会影响并发
这个参数，默认情况下是根据系统的thread-max来定的

15.virtual memory

限制进程使用虚拟内存的大小

16.file locks

文件锁的限制只在2.4内核之前有用

确保生效

1.添加

vi /etc/pam.d/login
####末尾加入
session required /lib64/security/pam_limits.so

2.检查

ulimit -a