【案例篇】为什么设置了 ulimit 但 nofile 限制仍不生效?

原创 已于 2025-11-27 22:05:14 修改 · 1.7k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #bash #nofile #ulimit #性能优化

于 2025-06-09 22:29:55 首次发布

目录

OpenSSH升级后ulimit -n值变小的排查与解决案例

一、问题背景

分享一个运维工作中有趣的案例。

按照安全部的要求,需要修复服务器主机OpenSSH安全漏洞,将测试开发环境中所有Linux服务器的OpenSSH从8.0p1版本升级至9.9p2。升级完成后,运维人员在日常巡检中发现,通过SSH登录服务器后执行ulimit -n命令,返回的可打开文件描述符上限值从原来的655350下降到1024这是什么原因引起的呢?

二、问题现象

如下图: root用户通过ssh登录后,查看ulimit -n
在这里插入图片描述
同样的虚拟机,通过云管理控制台界面登录root用户,再执行ulimit -n 后结果如下
在这里插入图片描述)
同样的用户,登录方式不一样,ulimit -n 的结果差别这么大?

三、排查过程

(一)核查PAM模块配置

由于PAM模块负责管理用户登录时的资源限制,进行如下检查:

  1. 查看/etc/security/limits.conf文件,发现对所有用户的文件描述符限制配置为:
* hard nofile 655350
* soft nofile 655350

配置正确且未被修改

  1. 检查/etc/security/limits.d/目录下的自定义配置文件,未发现异常设置

PAM模块配置正常,排除该因素影响

(二)切入重点,分析 sshd 服务配置

考虑到用户是通过ssh登录后,nofile 数量减少的,所以重点排查与sshd服务相关的配置:

查看sshd进程的limit
[root@ ~]# systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2025-06-06 19:04:19 CST; 2 days ago
     Docs: man:sshd(8)
           man:sshd_config(5)
 Main PID: 6855 (sshd)
    Tasks: 6
   Memory: 34.6M
   CGroup: /system.slice/sshd.service
           ├─ 6855 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
           ├─14700 sshd-session: root [priv]
           ├─14702 sshd-session: root@pts/0
           ├─14703 -bash
           ├─14825 systemctl status sshd
           └─14826 less

执行systemctl status sshd,获得Main PID为 6855

那么如何查看进程的limit的状态呢,可以通过/proc

在这里插入图片描述
如上图:sshd服务的进程nofile的Soft Limit就是1024

因为sshd服务本身的限制,所以通过sshd登录的用户也限制文件描述符大小是1024。

关于软限制和硬限制的说明,在我之前的文章: 被 ulimit 玩脱的那些血泪史 中有过介绍

  • 软限制(soft):当前实际生效的限制,用户可通过 ulimit 命令自行调整(需不超过硬限制)。
  • 硬限制(hard):软限制的上限,通常由系统管理员设置,普通用户无法超越。
分析sshd服务limit限制的原因
  1. 首先想到的是查看sshd服务的配置文件,其中最主要关注的配置就是“UsePAM”。
    在这里插入图片描述

如上图所示,UsePAM配置是关闭的,而升级openssh之前这部分配置是开启的,当前的sshd服务因为没有开启UsePAM的功能,所以没有使得/etc/security/limits.conf 的配置生效 !

那似乎解决方法已经很清楚了,我们可以把UsePAM 改成 yes,然后重启下sshd服务。说干就干!

现在/etc/ssh/sshd_config 文件已修改,也执行了systemctl restart sshd,然后我们重新ssh登录服务器,看看效果。
在这里插入图片描述
哎哎哎,这不对啊,明明已经开启了PAM模块了啊,咋还是1024呢,这不合理啊!

峰回路转,真相往往需要敏锐的👀

其实分析到这里,我也没有头绪了,但是越到这里,越要抓住重点,既然就是sshd服务的问题,那刚才我们重启了sshd服务,我们是不是要检查下,刚才的操作是否生效呢,对了,查询下sshd服务的状态和日志。
在这里插入图片描述
果然,大家也可以看到,sshd在启动过程中竟然报了一个语法错误。

Starting sshd:/etc/ssh/sshd_config line 82: Unsupported option UsePAM

# 通过sshd -t 命令也可以同样发现这个报错。
[root@a ~]# sshd -t
/etc/ssh/sshd_config line 82: Unsupported option UsePAM

这个报错通过查询一些资料,这个报错多半是openssh的编译过程参数少了–with-pam 参数,所以新升级的openssh服务,缺少pam的选项的内容。

(三)找到1024的真相,1024是哪里配置的呢

现在我们已经知道了,因为sshd服务,编译的时候就没有带上–with-pam 参数,同时呢没有开启UsePAM yes 的配置。所以没有使得/etc/security/limits.conf 的配置生效 !

那现在问题来了,为什么当前ssh登录的用户的nofile 就是1024呢。这个1024是哪里配置的呢?

在现代 Linux 系统中,systemd 作为初始化系统和服务管理器,会对进程的 nofile(文件描述符限制)产生多方面影响。

1. systemd全局默认限制

systemd 为所有服务和进程设置了默认的 nofile 限制,该限制由 /etc/systemd/system.conf/etc/systemd/user.conf 控制:

  • system.conf:影响系统服务(如 sshdnginx 等)
  • user.conf:影响用户会话(如通过 SSH 登录的用户进程)

默认配置中通常包含以下参数:

[Manager]
DefaultLimitNOFILE=1024:4096  # 格式为 "软限制:硬限制"

当 system.conf 中 DefaultLimitNOFILE 被注释时,systemd 会使用其内置编译时默认值,而非系统传统的 /etc/security/limits.conf 配置(除非显式继承)。

验证方式:通过 systemctl show --property=DefaultLimitNOFILE 查看 systemd 实际生效的全局默认值,例如:

systemctl show --property=DefaultLimitNOFILE
输出示例:DefaultLimitNOFILE=1024:4096

2. systemd服务特定限制

每个 systemd 服务单元(.service 文件)可通过 LimitNOFILE 参数覆盖全局默认值:

[Service]
LimitNOFILE=65535  # 同时设置软限制和硬限制为 65535
# 或分别设置:LimitNOFILE=soft_limit:hard_limit
查看systemd配置

有了理论依据,我们查看下这台服务器的配置。果然是systemd/system.conf的全局配置影响了,结果和sshd查看的一样。
在这里插入图片描述

四、解决方案

(一)修改systemd配置

为恢复正常的文件描述符限制,进行如下操作:

  1. 编辑/etc/systemd/system.conf文件,将DefaultLimitNOFILE修改为:
DefaultLimitNOFILE=65536
  1. 重新加载systemd配置:
sudo systemctl daemon-reload

(二)验证修复效果

  1. 重启sshd服务:
sudo systemctl restart sshd

在这里插入图片描述

  1. 通过SSH重新登录服务器,执行ulimit -n,显示值恢复为65536,与本地控制台结果一致

在这里插入图片描述

五、经验总结

  1. 系统性排查:遇到资源限制类问题时,应从用户配置、PAM模块、服务管理工具systemd等多个层面进行系统性排查。
  2. 查看服务的 nofile 限制
systemctl show nginx.service | grep LimitNOFILE
# 输出示例:LimitNOFILE=65535:65535
  1. 检查运行中进程的限制
cat /proc/PID/limits | grep "Max open files"
# 输出示例:Max open files            65535                65535                files
  1. 优先级规则 systemd 的限制配置遵循 特定 > 全局 的优先级:
  • 服务单元文件(如 /lib/systemd/system/nginx.service)中的 LimitNOFILE
  • 服务覆盖文件(如 /etc/systemd/system/nginx.service.d/override.conf)中的 LimitNOFILE
  • /etc/systemd/system.conf 中的 DefaultLimitNOFILE
  • 系统默认值(通常为 1024:4096)
SSH远程Ulimit不生效
十五十六
06-28 2629
SSH远程Ulimit不生效 问题描述 操作系统/etc/security/limits.conf文件内容如下: * soft memlock unlimited * hard memlock unlimited 使用远程连接工具moba连接到服务器,使用 ulimit -a 查看ulimit值,与 /etc/security/limits.conf 文件配置是一致的。 当使用ssh命令行远程连接时,使用 ulimit -a 查看ulimit值,为默认值,与 /etc/security/limits.
nproc、nofile 对于systemctl 服务设置不生效
u011618288的博客
07-19 2023
nproc、nofile 对于systemctl 服务设置不生效背景排查过程解决方法扩展nproc、nofile的含义如果超过限制值,出现的错误描述nprocnofile配置并生效配置查看命令 背景 在一次mq集群运维过程中,broker不能正常启动,报错(Too many open files) 排查过程 看到这个错误首先想到的解决方法是修改系统文件最大连接数的限制,但是通过命令查看当前系统连接数已经为比较大的值(655350)。接着判断是不是配置没有生效,或者是当前进程的配置获取的并不是系统的全局配置,
Centos 7 中的ulimit -n 65535 对进程的文件句柄限制不生效??
爷来辣的博客
03-26 6017
Centos 7 中的ulimit -n 65535 对进程的文件句柄限制不生效?? 转载自 https://www.cnblogs.com/linuxk/p/11989559.html 今日闲来无事,就看群里大佬吹牛逼了,偶然一条技术疑问提出来了,神奇啊,作为广大老司机技术交流群体竟然还有这么深入的研究? 大佬问:这个文件句柄限制怎么设置了/etc/security/limits.conf对进程...
systemd管理的程序pam认证里面的ulimit不生效
qq_57093716的博客
02-28 344
systemd管理的程序pam认证里面的ulimit不生效
Linux - ulimit命令详解与修改不生效
Yonx
08-30 1万+
一、抛异常 首先抛个异常:java.io.FileNotFoundException: (*********)Too many open files。 原因是由于linux限制了一次会话中,程序最大同时打开文件数目。 使用命令查看: ulimit -n //默认值为1024 临时修改(退出会话失效): ulimit -n XXXX 永久修改(修改/etc/security/limits.conf文件,设置用户最大打开文件数 ):文件末尾添加如下,具体大小建议65536 * ...
ulimit -n修改之后不生效
Superjixuefei的博客
06-11 6131
下图open files值1024在正常的生产环境中是远远不够的,所以我们需要扩大这个值,可以使用ulimit -n 数值 来实现,但是这种修改方式重启服务器会失效,想要永久保存必须写进配置文件中,配置文件的路径为/etc/security/limits.conf,书写格式为: soft nofile 30000 hard nofile 30000 其中30000就是我们需要更改的值 正常情况下改完配置文件保存退出,然后重新进入系统就会生效,今天我要讲的就是另外我遇到的不生
Linux系统资源限制ulimit命令的详尽解读
!...# 1. Linux系统资源限制概述 在现代计算机系统中,资源限制是一种关键机制,它允许系统管理员和用户控制对于...Linux通过多种方法实现资源限制,其中最常用的就是ulimit命令。 Linux的资源限制是通过内核的控制组(c
Linux系统中的用户限制ulimit命令应用与最佳实践
# 1. Linux系统中的用户资源限制概述 ...本章将介绍Linux系统资源限制的基本概念和重要性,为后续章节中深入探讨`ulimit`命令及其在系统调优中的应用奠定基础。 # 2. 理解ulimit命令 ## 2.1 ulimit命令的基础知识
Linux进程资源限制实战指南:ulimit的使用技巧
[Linux进程资源限制实战指南:ulimit的使用技巧](https://kodekloud.com/uploads/db1265/optimized/2X/4/4ef711b084b68ac746c365b18c5903857310752d_2_1024x427.png) # 1. Linux进程资源限制基础 Linux操作系统通过...
为什么突然不能生成segments_1文件了
09-03
我们正在处理一个关于“突然无法生成...echo "* soft nofile 65535" >> /etc/security/limits.conf sysctl -p ``` > **监控建议**:配置Prometheus警报规则,当磁盘使用率>90%或文件描述符>80%阈值时触发通知[^3]
Docker容器回顾之运维●多实例管理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-23 2198
前面我们回顾了docker的一些基本概念即运维操作命令,包括容器的启动原理,镜像,仓库,仓库注册,命令行启动一个容器实例,dockfile文件定义一个独立应用容器,那当我们启动多个容器,甚至想简化多个应用容器的管理,减少命令行的复杂参数,那又该如何管理和操作呢?其实,docker作为成熟的软件,已经给我们提供了这些解决方案,下面让我们看下Docker Compose、Docker Machine、Docker Swarm 集群管理是如何进行的。
ulimit设置无效的解决方法
weixin_33690367的博客
04-10 4272
ulimit这样设置后/etc/security/limits.conflinux对用户有默认的ulimit限制,而这个文件可以配置用户的硬配置和软配置,硬配置是个上限。超出上限的修改就会出“不允许的操作”这样的错误。在limits.conf加上* soft noproc 10240* hard noproc 10240* ...
记录一次 ulimit不生效解决方法
qq_34605417的博客
02-25 2295
记录一次 ulimit不生效解决方法
解决ulimit不生效的问题
宫凯宁的博客
04-17 9181
经常遇到设置ulimit参数之后,使用root 用户su 到普通用户发现ulimit已经生效,但是直接用普通用户ssh登陆却不生效的问题,这主要是ssh配置的问题。 解决方法如下: 首先查看ssh的版本,ssh -V 如果版本是7.3及以下:修改/etc/ssh/sshd_config中 UseLogin的值为yes UseLogin yes后,重启sshd服务service sshd res...
ulimit 设置不生效问题解决
热门推荐
11111
10-30 1万+
在/etc/security/limits.conf 中增加如下配置: hadoop soft nofile 100000 hadoop hard nofile 100000 hadoop soft nproc 100000 hadoop hard nproc 100000 hadoop soft memlock unlimited hadoop hard memlock unlimited ...
ulimit 调整不生效的问题
qielanyu_的博客
03-30 2129
ulimit -u 调整了之后,发现退出登录当前用户,再登录进去,就又变成了原先的小数字。 百度了一圈,一种方案是调/etc/security/limits.conf,另外有的还需要调整ssh的启动参数。都没有生效。尼玛,这么个东西搞来搞去。 终于,在尝试许久之后 发现改/etc/security/limits.d/20-nproc.conf这个文件,可以生效 我在这个文件的最后添加了: tomcat soft nproc 8192 tomcat是我们为了项目发布运...
JAVA ulimit,ulimit 为何不生效
weixin_29895109的博客
03-13 390
首先声明一下环境所用用户及其操作都是通过远程登录,也就是通过 sshd 这个程序最近生产服务器的Java程序总是报 Too many open files发现启动程序的用户 weblogic ulimit 设置并没有生效,执行 ulimit -n 看到的还是 1024.但是系统的配置文件 设置的是 10240,自己的配置文件 .bash_profile 下设置的也是 10240于是试着重新...
ulimits不生效导致数据库启动失败和相关设置说明
老叶茶馆
10-18 1103
*GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源。1. 问题描述在某客户的生产环境GreatSQL数据库紧急重启过程中,发现启动失败--正常启动中 2022-07-16T09:30:27.428609+08:000[Note][MY-010252][Server]Serverhostname(bind-address):'127.0.0.1';po...
ulimit命令不生效
最新发布
09-09
<think> 我们正在解决ulimit命令不生效的问题。用户可能已经尝试过使用`ulimit -s unlimited`或者修改了.bashrc文件,但发现限制并未改变。我们需要系统地分析原因并提供解决方案。 常见原因: 1. 系统安全策略限制(如/etc/security/limits.conf配置) 2. 用户权限不足(非root用户可能无法提高硬限制) 3. 修改的配置文件不正确(如修改了.bashrc但实际使用的是其他shell) 4. 配置未重新加载(需要source或重新登录) 5. 应用程序在子shell中运行(如通过脚本启动,且脚本未设置ulimit) 解决步骤: 1. 检查当前shell的ulimit设置 2. 检查系统全局限制配置文件 3. 检查用户级配置文件(如.bashrc, .profile等)是否配置正确 4. 检查是否在脚本中运行,脚本是否设置ulimit 5. 尝试以root用户修改系统级限制 注意:ulimit的修改分为硬限制和软限制。普通用户只能降低硬限制,提高硬限制需要root权限;而软限制可以提高到不超过硬限制。 详细步骤: </think> ### 一、ulimit命令不生效的核心原因分析 1. **权限不足** 普通用户无法突破系统的硬性限制(hard limit),修改需root权限[^1]。 2. **配置位置错误** 修改了无效的shell配置文件(如误改`.bashrc`但实际使用zsh)。 3. **作用域限制** ulimit仅作用于当前shell进程及其子进程,后台服务或GUI应用需独立配置[^2]。 4. **系统策略限制** `/etc/security/limits.conf`中的全局策略会覆盖用户级设置: ```bash $ cat /etc/security/limits.conf # 可能包含: # * hard stack 8192 ``` --- ### 二、系统级解决方案 #### ✅ 方案1:提升权限修改硬限制 ```bash # 切换到root用户 sudo su - # 查看当前硬限制 ulimit -Hs # 临时提高栈限制 ulimit -Hs unlimited # 永久修改(需编辑系统文件) echo "root hard stack unlimited" >> /etc/security/limits.conf ``` #### ✅ 方案2:修复配置文件路径 根据不同shell选择正确配置文件: | Shell类型 | 配置文件 | 修改命令 | |-----------|-------------------|------------------------------| | Bash | `~/.bashrc` | `echo "ulimit -s unlimited" >> ~/.bashrc` | | Zsh | `~/.zshrc` | `echo "ulimit -s unlimited" >> ~/.zshrc` | | 系统全局 | `/etc/profile` | 需root权限编辑 | #### ✅ 方案3:系统服务独立配置 对systemd服务(如docker/nginx),创建覆盖配置: ```ini # /etc/systemd/system/<服务名>.service.d/override.conf [Service] LimitSTACK=infinity # 关键参数 LimitCORE=infinity ``` 重载服务: ```bash sudo systemctl daemon-reload sudo systemctl restart <服务名> ``` #### ✅ 方案4:绕过系统限制 对需大栈空间的程序(如`urg-full64`),使用`prlimit`工具: ```bash prlimit --stack=unlimited -- <命令> # 示例 prlimit --stack=unlimited -- urg -full64 -dir cov_db ``` --- ### 三、验证与排查流程 1. **验证配置加载** ```bash # 查看当前栈大小(单位KB) ulimit -s # 检查生效的配置文件 grep "ulimit" ~/.*rc /etc/profile /etc/bash.bashrc ``` 2. **层级权限测试** ```mermaid graph LR A[普通用户] -->|ulimit -s unlimited| B{报错?} B -->|是| C[尝试sudo临时修改] C --> D[成功?] D -->|是| E[需root永久配置] D -->|否| F[检查/etc/security/limits.conf] ``` 3. **系统策略检测** ```bash # 检查全局限制策略 sudo grep -r "stack" /etc/security/ # 检查内核强制限制 cat /proc/sys/kernel/threads-max ``` --- ### 四、终极解决方案 当所有方法失效时,直接修改内核参数: ```bash # 编辑/etc/sysctl.conf sudo nano /etc/sysctl.conf # 增加: kernel.threads-max=unlimited vm.max_map_count=268435456 # 立即生效 sudo sysctl -p ``` > ⚠️ 此操作需重启系统,可能影响系统稳定性[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值