通過ulimit提高CentOS系統安全性的核心是限制用戶進程的資源使用�,避免資源濫用和惡意攻擊�����。具體方法如下:
- 限制用戶級資源
- 臨時修改:在當前shell會話中使用
ulimit -n <數值>(如ulimit -n 65535)設置最大文件描述符數等參數�,僅對當前會話有效�。
- 永久修改:編輯
/etc/security/limits.conf文件��,添加如* soft nofile 65535(軟限制)和* hard nofile 65535(硬限制)��,限制所有用戶的資源使用�,需重新登錄生效�����。
- 限制系統級資源
編輯/etc/sysctl.conf文件�����,設置系統級參數(如fs.file-max=100000)���,通過sysctl -p使配置生效���,控制系統整體的資源上限��。
- 限制服務級資源
對于通過systemd運行的服務(如Nginx)���,在服務配置文件(如/etc/systemd/system/nginx.service.d/limits.conf)中添加[Service] LimitNOFILE=65535等參數�,限制服務進程的資源使用�,重啟服務生效�。
- 輔助安全措施
- 禁用不必要的用戶和用戶組�����,減少潛在攻擊面�����。
- 精簡開機自啟動服務�,降低系統資源占用和漏洞風險���。
- 啟用SELinux�,通過強制訪問控制進一步提升系統安全性���。
注意:需根據實際業務需求調整參數���,避免過度限制導致服務異常�;修改前建議備份配置文件��。
