一文搞懂 Linux 下 Ulimit 资源限制

关注

发布于: 2021 年 02 月 21 日

运维系统调优的过程中，必然会遇到的一个问题就是资源限制，在 linux 中，ulimit 命令是用于控制 shell 程序的资源限制，它是 linux 的 shell 内建指令(可以用 type 命令查看命令是内建还是外部)

今天详细介绍下 ulimit，通过对各参数的配置实验，详细了解 ulimit 的每条限制参数的意义及作用

配置及生效

配置及生效问题是最常遇到的，所以放在前面

对于 ulimit 的配置，配置文件在/etc/security/limits.conf 以及 limits.d 下面的文件，CentOS6 中，limits.d 下面通常默认是 90-nproc.conf，CentOS7 中，通常是 20-nproc.conf，nproc 是限制每个用户创建进程数的，所以这部分配置通常是限制用户创建进程数的，至于前面的数字，我们通过源码查看

首先看下当前 root 用户的 nproc 设置

root 用户的 nproc 是没限制的，至于为什么是 3616，我们待会儿最后说，现在分别在 limits.conf 和 20-nproc.conf 中对 root 用户的 nproc 进行修改

重新登录后，查看

可以看到，是 20-nproc.conf 文件中的生效

所以上面的数字，没有特殊的意义，多个配置文件的时候，就是起到了顺序的作用

我们都知道，linux 下 limit 的限制是由 pam_limits.so 来执行的，PAM 下次有机会再讲，我们通过查找/etc/pam.d 下面模块中对 pam_limits.so 的调用，看下有哪些模块调用了该库

pam 中的配置分四列：

第一列代表模块类型

第二列代表控制标记

第三列代表模块路径

第四列代表模块参数

从上面可以看到，调用 pam_limits.so 都是 session 的管理方式，session 的管理方式代表这个模块用来定义用户登陆前，及用户退出后所要进行的操作，如登录连接信息，用户数据的打开与关闭，挂载文件系统等

这也就是为什么通过 ulimit 命令修改的配置，只对当前 session 生效，而如果是通过配置文件修改的 ulimit，则需要重新登录会话才能生效，后面实验我们会看到

硬限制和软限制

ulimits 的限制分为硬限制和软限制，这里并不是硬件的限制和软件的限制的意思，硬限制是可以在任何时候任何进程中设置，但硬限制只能由超级用户，也就是 root 用户进行设置，软限制是内核实际执行的限制，任何进程都可以将软限制设置为任意小于等于对进程限制的硬限制的值，说白了，硬限制是个硬指标，root 用户设置后，其他用户配置的软限制不能超过这个值，硬限制用-H 参数，软限制用-S 参数，如果不指定参数，会同时把两类限制都改掉，比如 root 用户修改 open files 硬参数

接着切换到 nginx 用户，修改 open files 参数，指定的值超过硬限制，提示不允许操作

指定不超过硬限制的值，则可以正常修改

接着修改软限制值小于硬限制

同样 root 用户也没办法将软限制设置为大于硬限制

有些文章中说，普通用户可以缩小硬限制，但是不能扩大硬限制，这边尝试了下

似乎行不通，接着直接不指定参数测试

不指定-H 参数的话，可以将参数值改为小于 root 设置的硬参数值，但是大于的话，就会提示不允许修改

然后测试的过程中你会发现，在普通用户下，修改了不管是硬参数还是软参数，退出当前 session，之后，重新切换到该用户之后，ulimit 参数又变回到配置文件中的设定，这里就又回到上面说的 pam_limits.so 的调用中，sudo 模块中有调用 pam_limits.so 模块，关于用户登录 session，可以看一下之前的一篇文章"我的服务器被登录了吗？"