1、系統範圍內限定資源使用
通常只需要修改/etc/security/limits.conf,增加相應數據行,重新登錄下用戶即可解決,具體如下所示:
vim /etc/security/limits.conf
* soft nofile 60000
* hard nofile 65535
* soft rss 1000000
* hard rss 1000000
2、細粒度限定資源使用
如需更細粒度的限定資源使用,可在/etc/security/limits.d/*-nproc.conf對指定用戶(以test爲例)進行限定:
vim /etc/security/limits.d/*-nproc.conf
test - nofile 4096 # '-' 代表soft及hard
nginx - nofile 4096
3、限定未生效排查
修改/etc/security/limits.conf後,資源使用限定沒有生效,可從以下幾個方面進行排查:
1、/etc/ssh/sshd_config 中“UsePAM yes”選項是否開啓;
2、/etc/pam.d/system-auth中是否存在“session required pam_limits.so”;
3、/etc/pam.d/login 中是否存在session required /lib64/security/pam_limits.so。
--注:
1)前述第1及2點中,“UsePAM yes”選項開啓,表示啓用pam模塊,/etc/pam.d/sshd中默認已存在session include password-auth配置,include表示password-auth模塊需要通過認證,/etc/pam.d/system-auth裏還應存在session required pam_limits.so,表示使用/etc/security/limits.conf文件中配置;
2)前述第3點中,如使limits.conf文件配置生效,須將pam_limits.so模塊文件加入到啓動文件中,即應在/etc/pam.d/login配置文件中添加session required /lib64/security/pam_limits.so;
3)進行上述排查和修改後,重新登錄用戶就可以生效。