搞懂ulimit资源限制

李俊鹏

发布于 2020-07-07 12:16:41

6K0

发布于 2020-07-07 12:16:41

文章被收录于专栏：运维研习社运维研习社

运维系统调优的过程中，必然会遇到的一个问题就是资源限制，在linux中，ulimit命令是用于控制shell程序的资源限制，它是linux的shell内建指令(可以用type命令查看命令是内建还是外部)

今天详细介绍下ulimit，通过对各参数的配置实验，详细了解ulimit的每条限制参数的意义及作用

配置及生效

配置及生效问题是最常遇到的，所以放在前面

对于ulimit的配置，配置文件在/etc/security/limits.conf以及limits.d下面的文件，CentOS6中，limits.d下面通常默认是90-nproc.conf，CentOS7中，通常是20-nproc.conf，nproc是限制每个用户创建进程数的，所以这部分配置通常是限制用户创建进程数的，至于前面的数字，我们通过源码查看

从源码中可以看到，是先读取limits.conf，接着如果limits.d目录下有配置文件的话，也会读取，所以意味着limits.d下面的配置会覆盖limits.conf中相同的配置，比如我们在limits.conf中设置root用户的nproc，然后在limits.d下面的配置文件中同样设置root用户的nproc，看下效果，nproc对应的是-u，也就是max user processes

首先看下当前root用户的nproc设置

root用户的nproc是没限制的，至于为什么是3616，我们待会儿最后说，现在分别在limits.conf和20-nproc.conf中对root用户的nproc进行修改

重新登录后，查看

可以看到，是20-nproc.conf文件中的生效

所以上面的数字，没有特殊的意义，多个配置文件的时候，就是起到了顺序的作用

我们都知道，linux下limit的限制是由pam_limits.so来执行的，PAM下次有机会再讲，我们通过查找/etc/pam.d下面模块中对pam_limits.so的调用，看下有哪些模块调用了该库

pam中的配置分四列：

第一列代表模块类型

第二列代表控制标记

第三列代表模块路径

第四列代表模块参数

从上面可以看到，调用pam_limits.so都是session的管理方式，session的管理方式代表这个模块用来定义用户登陆前，及用户退出后所要进行的操作，如登录连接信息，用户数据的打开与关闭，挂载文件系统等

这也就是为什么通过ulimit命令修改的配置，只对当前session生效，而如果是通过配置文件修改的ulimit，则需要重新登录会话才能生效，后面实验我们会看到

硬限制和软限制

ulimits的限制分为硬限制和软限制，这里并不是硬件的限制和软件的限制的意思，硬限制是可以在任何时候任何进程中设置，但硬限制只能由超级用户，也就是root用户进行设置，软限制是内核实际执行的限制，任何进程都可以将软限制设置为任意小于等于对进程限制的硬限制的值，说白了，硬限制是个硬指标，root用户设置后，其他用户配置的软限制不能超过这个值，硬限制用-H参数，软限制用-S参数，如果不指定参数，会同时把两类限制都改掉，比如root用户修改open files硬参数

接着切换到nginx用户，修改open files参数，指定的值超过硬限制，提示不允许操作

指定不超过硬限制的值，则可以正常修改

接着修改软限制值小于硬限制

同样root用户也没办法将软限制设置为大于硬限制

有些文章中说，普通用户可以缩小硬限制，但是不能扩大硬限制，这边尝试了下

似乎行不通，接着直接不指定参数测试

不指定-H参数的话，可以将参数值改为小于root设置的硬参数值，但是大于的话，就会提示不允许修改

然后测试的过程中你会发现，在普通用户下，修改了不管是硬参数还是软参数，退出当前session，之后，重新切换到该用户之后，ulimit参数又变回到配置文件中的设定，这里就又回到上面说的pam_limits.so的调用中，sudo模块中有调用pam_limits.so模块，关于用户登录session，可以看一下之前的一篇文章"我的服务器被登录了吗？"

unlimited是多少

通过ulimit -a可以看到当前session的所有ulimit配置中