講講 Linux 下的一些資源限制 - 網安 - 專業的網絡安全產業、社區、知識平臺

前言

在我們寫程序的時候往往都沒有注意到一些系統資源的臨界值，然而這些臨界值在有的時候會把我們害的很慘，比如一個忘掉關閉的文件描述符，比如malloc竟然會返回錯誤，又或者是爆棧，我們該如何解決或者說預防這些問題呢？

以下實驗僅在本機的系統環境下生效：

用戶層面資源限制

ulimit 命令可以查看用戶層面的系統資源限制。這是在 /etc/security/limits.conf 的描述:

-----------------------------------------------------

該文件為通過PAM登錄的用戶設置資源限制。

它不會影響系統服務的資源限制。

還要注意 /etc/security/limits.d 目錄中的配置文件，以字母順序閱讀的內容，請覆蓋此設置域相同或更具體的情況下使用文件。

例如，這意味著在此處設置通配符域的限制可以使用配置文件中的通配符設置覆蓋子目錄，但此處的用戶特定設置只能被覆蓋在子目錄中具有特定于用戶的設置。

-----------------------------------------------------

所以 ulimit 的確是觀察用戶層面的資源限制。

我們可以通過 ulimit -a 查看我們所有的資源上限：

只說其中我們比較關注的那些：

-s 棧大小:8MB

-u 進程上限:30000多

-n 文件描述符上限:1024

同時你可以用ulimit -Ha或ulimit -Sa查看硬限制和軟限制，硬限制是指對資源節點和數據塊的絕對限制，由 root 用戶設置硬限制。雖然其他用戶可以降低硬限制，但只有 root 用戶可以增加硬限制。至于軟限制，網上資料也沒有說什么，大概就是非root用戶不能超過軟限制，但是非root用戶可以做的是將其軟限制增加到其硬限制。

我們的服務器程序可能有打開超過1024個文件描述符，有沒有辦法修改這些資源的上限呢？

E.g. ulimit -n 1024可以修改系統對文件描述符的限制，不過是臨時當前的shell生效的,如果你使用which ulimit你會發現ulimit是一個shell built-in command的腳本。

我們應該修改 /etc/security/limits.conf 去讓我們的修改永久生效。(需要重新啟動,可能有直接加載配置的方法，暫時不知道)

實驗1. 修改文件描述符上限

在/etc/security/limits.conf中添加以下片段：

重啟后，然后查看一下資源是否真的被修改了:

說明修改成功。那么現在我們測試下我們的程序能否打開這么多個文件描述符？做個小測試，下面就是打開10240個臨時文件，這里我們期待錯誤 EFILE：

接著我們看一下結果：

在修改之前是ulimit的默認值是1024,然后測試出的最大打開文件描述符的數量是1001,現在是修改為10240后可以打開10217個文件描述符，實驗成功。然后我們能打開的總數為什么不是剛好10240呢？這個問題是因為程序自身打開了一些文件或是加載了一些動態庫,stdin/stdout/stderr,以及 /etc/ld.so.cache，/usr/lib/libm.so.6，/usr/lib/libstdc++.so.6...

實驗2. 修改棧空間上限

同樣還是在/etc/security/limits.conf添加這樣兩句：