系统资源管理是运维中绕不开的话题——尤其是当某个进程失控,一口气吃光所有资源时,服务器卡顿、服务崩溃,甚至整个系统都跟着遭殃。这时候,ulimit 就是一道简单却有效的防火墙。这个内置在 shell 里的命令,能精细地限制单个进程或用户能调用的资源,避免“一颗老鼠屎坏了一锅粥”。下面就来拆解一下,怎么用它堵住潜在的系统风险。

先说最常见的隐患:文件描述符泄漏。每个打开的文件、socket、管道都会消耗一个文件描述符,如果进程不释放,很快就会堆到系统上限。用 ulimit -n 可以直接限定每个用户能持有的最大文件描述符数量,比如 ulimit -n 4096,超过这个数的新请求就会被拒绝,而不是继续耗尽资源。
ulimit -n
进程数量也是一个容易被忽视的坑。一个用户 fork 出成千上万个进程,CPU 调度会瞬间爆炸。通过 ulimit -u 限制最大进程数,可以防止这类“进程冲击波”:
ulimit -u
内存方面同样需要边界。有些程序会无节制地申请虚拟内存,直到触发 OOM killer。用 ulimit -v 能卡死虚拟内存的上限(以 KB 为单位),比如限制为 1GB 就写 ulimit -v 1048576,超过就会申请失败,而不是把整台机器拖垮。
ulimit -v
CPU 时间也不可放任不管。如果一个进程陷入死循环,会无限占用 CPU 核心。用 ulimit -t 可以设置 CPU 时间的秒数上限,比如 ulimit -t 30,进程运行 30 秒后就会收到 SIGXCPU 信号,被强制终止。
ulimit -t
还有一种资源常被忽略:输出大小。某些日志程序或数据导出脚本会疯狂写磁盘,直到分区爆满。用 ulimit -o 限制文件输出的最大值(同样以 KB 为单位),可以提前截断。
ulimit -o
这些限制默认只在当前 shell 会话中生效,退出就失效。要想长久生效,最直接的办法是把对应的 ulimit 命令写入用户的 shell 配置文件,比如 .bashrc 或 .bash_profile。例如设置文件描述符上限为 1024,就在配置文件中加上:
ulimit -n 1024
需要留意的是,ulimit 只对当前 shell 及其启动的子进程有效,并不能约束系统上其他用户的进程。如果需要更细粒度、更全局的资源控制,可以配合 cgroups 或 systemd 的单元限制来使用——但作为日常轻量级防护,ulimit 已经足够胜任。
