ulimit 是一个用于控制 shell 进程资源使用的命令行工具。通过限制进程的资源使用,可以提高系统安全性。以下是一些建议:
限制打开文件描述符的数量:
打开文件描述符的数量可能会影响到系统的性能。通过限制每个用户或进程可以打开的文件描述符数量,可以防止恶意用户耗尽系统资源。例如,要将每个用户的最大文件描述符数量限制为 1024,可以在 /etc/security/limits.conf 文件中添加以下行:
* soft nofile 1024
* hard nofile 1024
限制进程数:
通过限制每个用户或进程可以创建的进程数量,可以防止恶意用户创建大量进程来消耗系统资源。例如,要将每个用户的最大进程数限制为 512,可以在 /etc/security/limits.conf 文件中添加以下行:
* soft nproc 512
* hard nproc 512
限制 CPU 时间:
通过限制进程可以使用的最大 CPU 时间,可以防止恶意用户运行耗时的任务来影响其他用户的操作。例如,要将每个用户的最大 CPU 时间限制为 1 小时,可以在 /etc/security/limits.conf 文件中添加以下行:
* soft cpu 1:00:00
* hard cpu 1:00:00
限制内存使用:
通过限制进程可以使用的内存数量,可以防止恶意用户运行内存密集型任务来消耗系统资源。例如,要将每个用户的最大内存使用量限制为 512 MB,可以在 /etc/security/limits.conf 文件中添加以下行:
* soft as 512M
* hard as 512M
限制输出长度:
通过限制进程可以创建的输出长度,可以防止恶意用户生成过长的输出来消耗磁盘空间。例如,要将每个用户的最大输出长度限制为 1 MB,可以在 /etc/security/limits.conf 文件中添加以下行:
* soft core 1M
* hard core 1M
请注意,这些设置可能需要 root 权限才能生效。在修改 /etc/security/limits.conf 文件后,需要重新登录或重启系统以使更改生效。
