linux限制用户资源有五种方法:一、ulimit临时限制当前会话;二、/etc/security/limits.conf永久配置用户级限制;三、systemd服务单元文件限制特定服务;四、确保pam启用pam_limits.so模块;五、切换用户并用ulimit和ps验证生效。
如果您在Linux系统中发现某个用户进程过度消耗CPU、内存或文件描述符等资源,可能已影响系统稳定性与多用户共存能力。以下是限制用户资源的多种具体方法:
一、临时设置当前Shell会话的资源限制
该方法适用于调试、测试或紧急干预场景,仅对当前终端会话及其启动的子进程生效,退出后自动失效。
1、查看当前所有资源限制:执行 ulimit -a 命令。
2、将单个用户可打开的文件数限制为2048:执行 ulimit -n 2048。
3、将单个用户最大进程数限制为512:执行 ulimit -u 512。
4、禁止生成core dump文件:执行 ulimit -c 0。
5、限制堆栈大小为4096 KB:执行 ulimit -s 4096。
二、通过/etc/security/limits.conf永久配置用户级限制
该方法作用于用户登录时建立的PAM会话,适用于所有支持PAM的登录方式(如SSH、图形界面、su等),是生产环境推荐的持久化方案。
1、使用root权限编辑配置文件:sudo vi /etc/security/limits.conf。
2、在文件末尾添加如下行(以用户名“appuser”为例):appuser soft nofile 4096。
3、添加硬限制行:appuser hard nofile 8192。
4、限制该用户最大进程数:appuser soft nproc 1024 和 appuser hard nproc 2048。
5、保存并退出,新登录会话将自动加载配置;已有会话需重新登录才生效。
三、针对特定服务用户(如nginx、mysql)配置systemd资源限制
当服务由systemd管理时,/etc/security/limits.conf对其无效,必须通过systemd服务单元文件显式声明资源约束。
1、查找对应服务的unit文件路径,例如:systemctl show nginx.service | grep FragmentPath。
2、创建覆盖目录:sudo mkdir -p /etc/systemd/system/nginx.service.d。
3、新建限制配置文件:sudo vi /etc/systemd/system/nginx.service.d/limits.conf。
4、写入内容:[Service]\nLimitNOFILE=65536\nLimitNPROC=4096。
5、重载配置并重启服务:sudo systemctl daemon-reload && sudo systemctl restart nginx。
四、通过PAM模块启用limits.conf全局生效
某些发行版默认未启用pam_limits.so,导致limits.conf配置不被读取,需确认PAM配置完整性。
1、检查文件 /etc/pam.d/common-session 是否包含行:session required pam_limits.so。
2、若缺失,以root权限在该文件末尾添加上述行。
3、检查文件 /etc/pam.d/sshd(如使用SSH登录)是否也包含该行。
4、修改后无需重启,新SSH会话即生效;本地TTY登录需确保 /etc/pam.d/login 同样启用。
五、验证限制是否实际生效
避免配置写入但未触发的情况,必须通过目标用户上下文主动验证,而非仅检查配置文件。
1、切换至目标用户:sudo su - appuser。
2、执行 ulimit -n 查看当前打开文件数限制值。
3、执行 ulimit -u 查看当前最大进程数限制值。
4、启动一个测试进程(如 sleep 300 &),再执行 ps -U appuser | wc -l 统计其进程总数,观察是否受控。
5、尝试创建第n+1个进程(如再次运行 sleep 300 &),若返回 bash: fork: retry: Resource temporarily unavailable,说明nproc限制已起效。
