資源控管

資源控管
/etc/sysctl.conf
核心設定，系統開機會讀此檔案，並影響到對應的/proc/sys，檔案中會以"."取代/proc/sys/


修改後，要立即執行：sysctl -p

/etc/security/access.conf 
登入權限控制表

每一行由下面三個字段構成，中間使用冒號：
權限 : 用戶 : 來源

+(即允許訪問), -(禁止訪問)；

用戶可以是用戶名、組名以及諸如user@host格式的用戶名，ALL表示任何人，具有多個值時，可以用空格分開。

來源可以是tty名稱（本地登錄時）、主機名、域名（以.開始）,主機ip地址，網絡號（以"."結束）。ALL表示任何主機，LOCAL表示本地登錄。
可以使用EXCEPT操作符來表示除了…之外。

例如：
-:ALL EXCEPT peter root:LOCAL  //除 peter root外，不允許任何人在本機登人
-:wheel :ALL EXCEPT LOCAL .text.com  //除了本機及 .text.com結尾的位址外，不允許wheel群組登入

-:guest1 guest2:ALL //不允許某些使用者登入


/etc/security/limits.conf
限制使用者的某些系統資源

domain type item value

domain(限制的對象)
單獨使用者 user
群組 @group

type(限制的類型)
soft 允許使用者修改超過(設定初始值)，達到此值，降低優先使用權
hard 資源使用上限

item(限制的資源)
core - 可使用最大的核心檔案(KB)
data  可使用最大的資料區段(KB)
fsize  可建立最大的檔案大小(KB)
memlock 可鎖定的最大記憶體(KB)
nofile 最多可同時開啟的檔案
stack 最多可做stack的大小(KB)
cpu 限制 CPU 的總使用時間(minutes)
rss 限制常駐的記憶體大小(kb)
nproc 限制可執行程序的上限
maxsyslogins 限制使用者最大的同時登入次數
as 同時間可開啟的 file descriptors
maxlogins 限制使用者最大的同時登入次數
priority 執行程序的優先權
locks 可鎖定的檔案數

value(限制的大小)

範例：限制 pro1 這個群組，每次僅能有一個使用者登入系統 (maxlogins)
@pro1   hard   maxlogins   1

//--建議的範例：參考 Ubuntu 10.04 系統與伺服器應用  7-14 頁   酆士昌