系统资源管理是运维中绕不开的话题——尤其是当某个进程失控，一口气吃光所有资源时，服务器卡顿、服务崩溃，甚至整个系统都跟着遭殃。这时候，ulimit 就是一道简单却有效的防火墙。这个内置在 shell 里的命令，能精细地限制单个进程或用户能调用的资源，避免“一颗老鼠屎坏了一锅粥”。下面就来拆解一下，怎么用它堵住潜在的系统风险。

先说最常见的隐患：文件描述符泄漏。每个打开的文件、socket、管道都会消耗一个文件描述符，如果进程不释放，很快就会堆到系统上限。用 ulimit -n 可以直接限定每个用户能持有的最大文件描述符数量，比如 ulimit -n 4096，超过这个数的新请求就会被拒绝，而不是继续耗尽资源。

ulimit -n 

进程数量也是一个容易被忽视的坑。一个用户 fork 出成千上万个进程，CPU 调度会瞬间爆炸。通过 ulimit -u 限制最大进程数，可以防止这类“进程冲击波”:

ulimit -u 

内存方面同样需要边界。有些程序会无节制地申请虚拟内存，直到触发 OOM killer。用 ulimit -v 能卡死虚拟内存的上限（以 KB 为单位），比如限制为 1GB 就写 ulimit -v 1048576，超过就会申请失败，而不是把整台机器拖垮。

ulimit -v 

CPU 时间也不可放任不管。如果一个进程陷入死循环，会无限占用 CPU 核心。用 ulimit -t 可以设置 CPU 时间的秒数上限，比如 ulimit -t 30，进程运行 30 秒后就会收到 SIGXCPU 信号，被强制终止。

ulimit -t 

还有一种资源常被忽略：输出大小。某些日志程序或数据导出脚本会疯狂写磁盘，直到分区爆满。用 ulimit -o 限制文件输出的最大值（同样以 KB 为单位），可以提前截断。

ulimit -o 

这些限制默认只在当前 shell 会话中生效，退出就失效。要想长久生效，最直接的办法是把对应的 ulimit 命令写入用户的 shell 配置文件，比如 .bashrc 或 .bash_profile。例如设置文件描述符上限为 1024，就在配置文件中加上：

ulimit -n 1024

需要留意的是，ulimit 只对当前 shell 及其启动的子进程有效，并不能约束系统上其他用户的进程。如果需要更细粒度、更全局的资源控制，可以配合 cgroups 或 systemd 的单元限制来使用——但作为日常轻量级防护，ulimit 已经足够胜任。