龙空技术网

Linux下使用ulimit需要避开的一些坑,你知道吗?

高老师讲Linux 301

前言:

而今姐妹们对“nginx1100漏洞风格”大致比较关注,你们都需要剖析一些“nginx1100漏洞风格”的相关知识。那么小编在网络上收集了一些有关“nginx1100漏洞风格””的相关资讯,希望你们能喜欢,兄弟们一起来了解一下吧!

下面总结了一下,在工作中使用 ulimit的一些注意事项。

1、ulimit的生效规则

在设置进程的资源限制的时候,需要同时设置软限制和硬限制,超出软规则的限制会进行警告,但是不能超过硬规则的限制。

一般线上服务器应用,推荐在/etc/security/limits.conf文件中进行资源的设置,设置完成后,要保证设置生效,需要退出当然ssh登录的终端,再次登录后,ulimit资源设置就已经生效了,但是这还没有结束,要让系统上的应用也能生效的话,必须在新的终端下重启应用系统服务,这样,之前的设置才能生效,这个非常重要。

需要注意的是,如果你在命令行执行了类似下面的设置,那么,仅仅在当前shell环境下是有效的,退出这个shell后,所有设置将失效。

[root@tomcatserver ~]#ulimit -n 1000000[root@tomcatserver ~]#ulimit -u unlimited

因此,推荐将配置写到limits.conf配置文件中。

2、nofile与noproc

上面我们已经介绍了,nofile用来设置最大打开句柄数、noproc用来设置最大用户进程数,这两个优化选项是最经常用到的,对待这两个参数的设置,需要特别注意的是:

nofile不能设置过大,比如设置为unlimited就会报错,看如下操作:

[root@centos7.9 ~]# ulimit -n unlimited

-bash: ulimit: open files: 无法修改 limit 值: 不允许的操作

这个问题是由内核导致的,在linux kernel 2.6.25之前通过ulimit -n设置每个进程的最大打开文件句柄数不能超过1024*1024,也就是1048576,要提高这个值,只能重新编译内核,而在linux kernel 2.6.25之后,内核提供了一个sys接口可以修改这个最大值,可以通过修改/proc/sys/fs/nr_open的值来动态提高最大打开文件句柄数。

看下面的一个操作过程:

[root@centos7.9 ~]# cat /proc/sys/fs/nr_open1048576[root@centos7.9 ~]# ulimit -n 1048576[root@centos7.9 ~]# ulimit -n1048576[root@centos7.9 ~]# ulimit -n 1048577

-bash: ulimit: open files: 无法修改 limit 值: 不允许的操作

[root@centos7.9 ~]# echo 1100000 > /proc/sys/fs/nr_open[root@centos7.9 ~]# ulimit -n 1048577[root@centos7.9 ~]# ulimit -n1048577

上面这个操作是在centos7.9系统上完成的,可以看出,修改/proc/sys/fs/nr_open值后,可以扩展最大打开文件句柄数的大小了。

下面再说说noproc这个选项,nproc是操作系统级别对每个用户创建的进程数的限制,在Linux下运行多线程时,每个线程的实现其实是一个轻量级的进程,怎么知道一个用户创建了多少个进程呢,默认的ps命令是不显示全部进程的,需要‘-L' 才能看到所有的进程。

例如,要查看系统所有用户创建的进程数,可使用下面命令组合:

[root@centos7.9 ~]#ps h -Led -o user | sort | uniq -c | sort -n6 zabbix17 gdm69 dbms97 adhost126 mysql149 ccvsdata200 dvtms870 root

根据输出,可以看到当前每个用户启动了多少个进程,如果某个用户启动了过多的进程,就需要注意了。

那么上面时候需要修改这个nproc呢,根据经验,当应用系统日志出现以下情况中的一种时,需要考虑提高nproc的值:

(1). Cannot create GC thread. Out of system resources(2). java.lang.OutOfMemoryError: unable to create new native thread
3、CENTOS/RHEL7中ulimit资源限制问题

我们知道,在CENTOS/RHEL7以后的版本中,物理是系统,还是服务的管理机制都发生了很大变化,主要是使用Systemd替代了之前的SysV,之前介绍的 /etc/security/limits.conf文件仍然可以使用,但是它的作用范围缩小了很多,在CENTOS/RHEL7中这个文件只适用于通过PAM认证登录用户的资源限制,而对于systemd的service的资源限制不生效,所谓systemd的service资源,其实就是在/usr/lib/systemd/system目录下的服务维护管理脚本,这些脚本都已.service结尾,比如,通过yum方式安装了一个nginx服务,那么默认管理nginx服务的脚本为/usr/lib/systemd/system/nginx.service,下面我们来看看通过此脚本来启动nginx服务后,默认的ulimit设置是否生效,请看下面的操作过程:

首先,通过ulimit -a查看系统资源设置,如下图所示,重点看open files 和max user processes两项,可以看到设置的值为655360,已经很大,这是已经优化好的值。

接着,通过systemctl命令启动nginx服务,然后查看nginx某个进程的limit值,如下图所示:

从图中可以看出,上面ulimit的设置并没有在nginx进程中体现出来,也就是,systemctl启动的nginx对limit的设置不生效.

为什么会这样呢,再次打开/etc/security/limits.conf文件,发现了如下内容:

#It does not affect resource limits of the system services.

由此可知,limits.conf文件对systemctl启动的服务是不生效的。

对于systemd service的资源设置,则需修改全局配置,CENTOS/RHEL7版本中,全局配置文件分别是/etc/systemd/system.conf和/etc/systemd/user.conf,同时也会加载/etc/systemd/system.conf.d/.conf和/etc/systemd/user.conf.d/.conf两个对应目录中的所有.conf文件。其中,system.conf是系统全局使用的配置文件,user.conf是用户级别使用的配置文件。

对于一般的sevice,可使用system.conf中的配置即可,也就是在/etc/systemd/system.conf文件中添加如下内容:

DefaultLimitNOFILE=655360DefaultLimitNPROC=655360

需要注意,修改了system.conf后,需要重启系统才会生效。

针对单个Service,也可以直接修改配置文件,并马上生效,这里以nginx为例,编辑/usr/lib/systemd/system/nginx.service文件,找到[Service]段,添加如下配置:

[Service]LimitNOFILE=655360LimitNPROC=655360

要让配置生效,需要运行如下命令:

[root@centos7.9 ~]# systemctl daemon-reload[root@centos7.9 ~]# systemctl restart nginx.service

最后,再查看一下nginx某个进程的limit值,如下图所示:

从图中可以看出,nginx进程对应的文件句柄数和最大进程数设置已经生效.

标签: #nginx1100漏洞风格 #centos66gdm启动 #centos gdm