一、/etc/security/limits.conf詳解
/etc/security/limits.conf文件實際是 Linux PAM(插入式認證模塊,Pluggable Authentication Modules)中pam_limits.so的配置文件,而且只針對于單個會話。該設置不會影響系統服務的資源限制。還要注意/etc/security/limits.d/的這個目錄,
/etc/security/limits.conf配置解析
# /etc/security/limits.conf # #This file sets the resource limits for the users logged in via PAM. 該文件為通過PAM登錄的用戶設置資源限制。 #It does not affect resource limits of the system services. #它不影響系統服務的資源限制。 #Also note that configuration files in /etc/security/limits.d directory, #which are read in alphabetical order, override the settings in this #file in case the domain is the same or more specific. 請注意/etc/security/limits.d下按照字母順序排列的配置文件會覆蓋 /etc/security/limits.conf中的 domain相同的的配置 #That means for example that setting a limit for wildcard domain here #can be overriden with a wildcard setting in a config file in the #subdirectory, but a user specific setting here can be overriden only #with a user specific setting in the subdirectory. 這意味著,例如使用通配符的domain會被子目錄中相同的通配符配置所覆蓋,但是某一用戶的特定配置 只能被字母路中用戶的配置所覆蓋。其實就是某一用戶A如果在/etc/security/limits.conf有配置,當 /etc/security/limits.d子目錄下配置文件也有用戶A的配置時,那么A中某些配置會被覆蓋。最終取的值是 /etc/security/limits.d 下的配置文件的配置。 # #Each line describes a limit for a user in the form: #每一行描述一個用戶配置 ##Where: # can be: # - a user name 一個用戶名 # - a group name, with @group syntax 用戶組格式為@GROUP_NAME # - the wildcard *, for default entry 默認配置為*,代表所有用戶 # - the wildcard %, can be also used with %group syntax, # for maxlogin limit # # can have the two values: # - "soft" for enforcing the soft limits # - "hard" for enforcing hard limits 有soft,hard和-,soft指的是當前系統生效的設置值,軟限制也可以理解為警告值。 hard表名系統中所能設定的最大值。soft的限制不能比hard限制高,用-表名同時設置了soft和hard的值。 # - can be one of the following:
- 可以使以下選項中的一個 # - core - limits the core file size (KB) 限制內核文件的大小。 # - data - max data size (KB) 最大數據大小 # - fsize - maximum filesize (KB) 最大文件大小 # - memlock - max locked-in-memory address space (KB) 最大鎖定內存地址空間 # - nofile - max number of open file descriptors 最大打開的文件數(以文件描敘符,file descripter計數) # - rss - max resident set size (KB) 最大持久設置大小 # - stack - max stack size (KB) 最大棧大小 # - cpu - max CPU time (MIN) 最多CPU占用時間,單位為MIN分鐘 # - nproc - max number of processes 進程的最大數目 # - as - address space limit (KB) 地址空間限制 # - maxlogins - max number of logins for this user 此用戶允許登錄的最大數目 # - maxsyslogins - max number of logins on the system 系統最大同時在線用戶數 # - priority - the priority to run user process with 運行用戶進程的優先級 # - locks - max number of file locks the user can hold 用戶可以持有的文件鎖的最大數量 # - sigpending - max number of pending signals # - msgqueue - max memory used by POSIX message queues (bytes) # - nice - max nice priority allowed to raise to values: [-20, 19] max nice優先級允許提升到值 # - rtprio - max realtime pr iority # #
# #* soft core 0 #* hard rss 10000 #@student hard nproc 20 #@faculty soft nproc 20 #@faculty hard nproc 50 #ftp hard nproc 0 #@st
/etc/security/limits.d/目錄
/etc/security/limits.d/目錄
該目錄下默認有*-nproc.conf文件,該文件是用于限制用戶的線程限制。我們也可以在該目錄創建配置文件在/etc/security/limits.d/下,以 .conf 結尾。
centos 7
在CentOS 7版本中為/etc/security/limits.d/20-nproc.conf,
# Default limit for number of user's processes to prevent # accidental fork bombs. # See rhbz #432903 for reasoning. * soft nproc 4096 # 所有的用戶默認可以打開最大的進程數為 4096 root soft nproc unlimited # root 用戶默認可以打開最大的進程數 無限制的。
CentOS 6
在CentOS 6版本中為/etc/security/limits.d/90-nproc.conf
二、 ulimit 如何配置
配置注意事項
注意不能設置nofile不能設置unlimited,noproc可以.
當我們設置了nofile不能設置unlimited后,我們進行 ssh 登錄,是登錄不了的,并且報錯下面的內容。
Dec 1 1457 localhost sshd[1543]: pam_limits(sshd Could not set limit for 'nofile': Operation not permitted
當我們設置的nofile的值可以設置的最大值為 1048576(2**20),設置的值大于該數,就會進行登錄不了。也會顯示上面的登錄錯誤。(親測)
基礎配置
我們不將所有的配置配置在/etc/security/limits.conf而是將配置放在/etc/security/limits.d/下。
比如我們將 nofile的配置放在/etc/security/limits.d/20-nofile.conf,nproc 的配置放在/etc/security/limits.d/20-nproc.conf.
一般我們需要配置的/etc/security/limits.d/20-nofile.conf為。
root soft nofile 65535 root hard nofile 65535 * soft nofile 65535 * hard nofile 65535
/etc/security/limits.d/20-nproc.conf設置為
* - nproc 65535 root soft nproc unlimited root hard nproc unlimited
注意覆蓋點的問題。
示例一:
當/etc/security/limits.conf配置了:
root soft nofile 65538 root hard nofile 65538 * soft nofile 65539 * hard nofile 65539
這個root 用戶的 默認取值是 65538 ,* 統配符雖然在 root 配置后面,但是 root 的配置只能被 root 進行覆蓋。
我們看下這個配置,當這樣配置的時候
root soft nofile 65538 root hard nofile 65538 * soft nofile 65539 * hard nofile 65539 root soft nofile 65539
這個的 root 用戶的取值還是 65538 ,因為雖然root soft nofile 65539會覆蓋我們之前的配置,但是這個配置是不生效的。因為root soft nofile 65539配置的值大于root hard nofile 65538,soft配置的值不能大于hard.
示例二:
當我們在/etc/security/limits.conf配置了:
root soft nofile 65538 root hard nofile 65538 * soft nofile 65539 * hard nofile 65539
然后我們在/etc/security/limits.d/20-nofile.conf配置了:
root soft nofile 65536 root hard nofile 65536 * soft nofile 65540 * hard nofile 65540
最后的取值是會取/etc/security/limits.d/20-nofile.conf里面的值。
配置,只能被特定覆蓋。
/etc/security/limits.d/下文件的相同配置可以覆蓋/etc/security/limits.conf
soft和hard需要都進行設置,才能生效。
nofile不能設置unlimited
nofile可以設置的最大值為 1048576(2**20),設置的值大于該數,就會進行登錄不了。
soft 設置的值 一定要小于或等于 hard 的值。
具體詳細配置根據應用情況進行配置。
三、ulimit 配置后生效
臨時配置
設置可以打開文件的最大數為 65536
ulimit -SHn 65536
重啟后失效。
永久配置
配置到配置文件/etc/security/limits.conf或者/etc/security/limits.d/中。
然后退出當前會話,重新登錄。即可生效,重啟配置也會保留。
三、ulimit 配置后生效
臨時配置
設置可以打開文件的最大數為 65536
ulimit -SHn 65536
重啟后失效。
永久配置
配置到配置文件/etc/security/limits.conf或者/etc/security/limits.d/中。
然后退出當前會話,重新登錄。即可生效,重啟配置也會保留。
配置不生效的問題
2020年3月6日補充
問題
按照上面的配置好了之后,我們進行設置登錄到服務器,我發現是配置沒有生效的,但是我使用 su - root 之后,發現配置是生效的。很怪異。
設備環境:Centos6.
問題原因
主要是 Centos6 的原因,我們排查到 sshd 服務的 PAM 模塊是沒有開啟的,而/etc/security/limits.conf文件實際是 Linux PAM(插入式認證模塊,Pluggable Authentication Modules)中pam_limits.so的配置文件,我們沒有開啟 PAM 模塊,最終也就沒有讀取到/etc/security/limits.conf的內容。而 su 進行切換的時候使用的是 終端tty登陸(默認使用PAM模塊),
解決辦法
在/etc/ssh/sshd_config將UsePAM no更改為UsePAM yes, 然后重啟 sshd 服務。
四、ulimit 常用命令
-Suse the `soft' resource limit # 設置軟限制 -Huse the `hard' resource limit # 設置硬限制 -aall current limits are reported# 顯示所有的配置。 -bthe socket buffer size # 設置socket buffer 的最大值。 -cthe maximum size of core files created # 設置core文件的最大值. -dthe maximum size of a process's data segment # 設置線程數據段的最大值 -ethe maximum scheduling priority (`nice') # 設置最大調度優先級 -fthe maximum size of files written by the shell and its children # 創建文件的最大值。 -ithe maximum number of pending signals # 設置最大的等待信號 -lthe maximum size a process may lock into memory #設置在內存中鎖定進程的最大值 -mthe maximum resident set size -nthe maximum number of open file descriptors # 設置最大可以的打開文件描述符。 -pthe pipe buffer size -qthe maximum number of bytes in POSIX message queues -rthe maximum real-time scheduling priority -sthe maximum stack size -tthe maximum amount of cpu time in seconds -uthe maximum number of user processes # 設置用戶可以創建的最大進程數。 -vthe size of virtual memory # 設置虛擬內存的最大值 -xthe maximum number of file locks
查看配置
查看所有的配置
ulimit -a
查看配置的最大打開文件數
ulimit -n
更改配置
ulimit -SHn 65536
五、systemd 相關的limit
最近一次故障中才發現的問題,就是我們通過systemd 管理的服務,文件最大打開數是1024(軟限制),硬限制是4096. 但是我們的/etc/security/limits.conf和/etc/security/limits.d/20-nofile.conf設置的值都不是1024。
引申出來,我們的systemd 管理的服務有單獨的limit 限制。
systemd 管理的服務limit 配置取決于以下三個位置:
系統服務的默認全局配置/etc/systemd/system.conf
用戶服務默認全局配置/etc/systemd/user.conf
單個系統服務的配置/usr/lib/systemd/system/*.conf
問題一 如何查看現有系統服務的Limit
systemctl show sshd
[root@djx128 ~]# systemctl show sshd |grep '^Limit' LimitCPU=18446744073709551615 LimitFSIZE=18446744073709551615 LimitDATA=18446744073709551615 LimitSTACK=18446744073709551615 LimitCORE=18446744073709551615 LimitRSS=18446744073709551615 LimitNOFILE=4096 LimitAS=18446744073709551615 LimitNPROC=11222 LimitMEMLOCK=65536 LimitLOCKS=18446744073709551615 LimitSIGPENDING=11222 LimitMSGQUEUE=819200 LimitNICE=0 LimitRTPRIO=0 LimitRTTIME=18446744073709551615
如果是已經運行的服務,可以通過基于進程進行查看,cat /proc/pid/limits
[root@djx128 ~]# cat /proc/943/limits Limit Soft Limit Hard Limit Units Max cpu time unlimited unlimited seconds Max file size unlimited unlimited bytes Max data size unlimited unlimited bytes Max stack size 8388608 unlimited bytes Max core file size 0 unlimited bytes Max resident set unlimited unlimited bytes Max processes 11222 11222 processes Max open files 1024 4096 files Max locked memory 65536 65536 bytes Max address space unlimited unlimited bytes Max file locks unlimited unlimited locks Max pending signals 11222 11222 signals Max msgqueue size 819200 819200 bytes Max nice priority 0 0 Max realtime priority 0 0 Max realtime timeout unlimited unlimited us
問題二 一個服務,如何調整 Limit 限制
改全局配置/etc/systemd/system.conf
改全局配置如何生效?這個需要注意。
方法一:直接重啟主機
方法二:執行systemctl daemon-reexec, 然后重啟服務即可。
daemon-reexec 和 daemon-reload 相比。https://serverfault.com/questions/805745/reboot-or-systemctl-daemon-reload-for-changes-to-etc-systemd-system-conf/805751
方法三:使用prlimit調整。
prlimit --pid 13134 --nofile=1024:4096
更改單服務配置(推薦)
增加LimitNOFILE配置
vim /usr/lib/systemd/system/mariadb.service [Service] LimitNOFILE=32768
重新加載配置
systemctl daemon-reload
重啟服務
systemctl restart mariadb
六、 擴展
如何查看當前運行進程的limit 限制
cat /proc/進程號/limits
如何更改當前的進程的最大文件數限制
getrlimit, setrlimit, prlimit - get/set resource limits
https://man7.org/linux/man-pages/man1/prlimit.1.html
prlimit --pid 13134 --nofile=1024:4096
審核編輯:黃飛
-
Linux
+關注
關注
87文章
11295瀏覽量
209347 -
進程
+關注
關注
0文章
203瀏覽量
13960
原文標題:Linux中Limit相關內容設置大全(值得收藏)
文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論