通过cgroups、PAM、systemd和ulimit四种方法可限制用户资源使用。首先安装cgroup-tools并创建limiteduser组,设置CPU 50%及内存512MB上限;接着配置PAM模块,在用户登录时自动分配至cgroup;然后利用systemd用户实例,在override.conf中定义CPUQuota和MemoryLimit;最后通过limits.conf设置as软硬限制为512MB,并启用pam_limits.so生效。
如果您需要在多用户环境中防止某个用户占用过多系统资源,从而影响其他用户或关键服务的运行,可以通过配置系统级限制来约束特定用户的CPU和内存使用。以下是实现该目标的具体方法。
本文运行环境:Dell PowerEdge服务器,Ubuntu 24.04
一、使用cgroups限制用户资源
cgroups(Control Groups)是Linux内核提供的功能,可用于限制、记录和隔离进程组的资源使用(如CPU、内存、磁盘I/O等)。通过为特定用户创建cgroup并绑定其会话进程,可有效控制其资源消耗。
1、安装cgroup工具集:sudo apt install cgroup-tools。
2、创建用于限制CPU和内存的cgroup目录:sudo cgcreate -g cpu,memory:/limiteduser。
3、设置CPU使用上限,例如限制为50%:echo 50000 > /sys/fs/cgroup/cpu/limiteduser/cpu.cfs_quota_us(配合cfs_period_us为100000微秒)。
4、设置内存上限,例如限制为512MB:echo 536870912 > /sys/fs/cgroup/memory/limiteduser/memory.limit_in_bytes。
5、将目标用户的进程加入该cgroup,可通过启动时绑定或修改PAM配置自动分配。
二、通过PAM模块集成cgroups
利用PAM(Pluggable Authentication Modules)可以在用户登录时自动将其所属进程分配到指定cgroup中,实现持久化资源控制。
1、确保已安装libcgroup-pam包:sudo apt install libcgroup-pam。
2、编辑PAM配置文件:sudo nano /etc/pam.d/common-session,添加一行:session required pam_cgroup.so。
3、配置用户与cgroup映射关系,在/etc/cgrules.conf中添加规则,例如:username cpu,memory /limiteduser。
4、启用cgrules服务:sudo systemctl start cgred && sudo systemctl enable cgred。
三、使用systemd用户实例进行资源限制
现代Linux发行版使用systemd管理用户会话,可通过systemd的slice机制对用户资源进行精细化控制。
1、创建用户专用的slice配置目录:sudo mkdir -p /etc/systemd/system/user@.service.d。
2、创建覆盖配置文件override.conf:sudo nano /etc/systemd/system/user@.service.d/override.conf。
3、在文件中添加资源限制,例如:
[Service]
CPUQuota=50%
MemoryLimit=512M
4、重新加载systemd配置:sudo systemctl daemon-reexec,新登录的用户将应用此限制。
四、通过ulimit设置用户级资源限制
ulimit命令可用于限制单个用户进程的资源使用,适用于shell级别控制,虽然无法直接限制CPU百分比,但可限制内存大小等关键参数。
1、编辑limits配置文件:sudo nano /etc/security/limits.conf。
2、添加以下行以限制目标用户:
username soft as 536870912
username hard as 536870912
3、上述配置限制地址空间(as)为512MB,soft为警告值,hard为强制上限。
4、确保系统启用PAM limits模块,并在/etc/pam.d/common-session中包含:session required pam_limits.so。
