ulimit команда должна сообщить и изменить определенные пределы ресурса. Некоторые оболочки как удар имеют встроенное для ulimit.

Пределы могут быть установлены для каждого процесса индивидуально. Процессы наследовали свои пределы от их родителей. Каждый различает мягкие и жесткие пределы. Жесткие пределы могут быть увеличены только привилегированными процессами, т.е. процессами, которые имеют полномочия суперпользователя или по крайней мере возможность CAT_SYS_RESOURCE. Жесткие пределы могут быть уменьшены любым процессом без специальных полномочий. Мягкие пределы могут быть изменены произвольно с ограничением, которое согласно жесткому пределу не может быть превышено.

Пределы Ресурса предупреждения не являются механизмом защиты. В частности, пределы ресурса являются только умеренно эффективными против атак "отказ в обслуживании" исчерпанием ресурса. Так как пределы ресурса являются отдельными к процессам, они не могут использоваться для ограничения потребления ресурсов для всех процессов отдельного пользователя или группы пользователей. (Существуют исключения к этому, видят ниже). Вместо этого контрольные группы должны использоваться для осуществления общих пределов в расчете на пользователя.

Существуют следующие пределы ресурса:

Пределы памяти

• размер максимальной виртуальной памяти
• максимальный размер сегмента данных
• максимальный размер стека процесса
• максимальный базовый размер файла
• максимальный объем памяти, который может быть заблокирован в RAM
• максимальный объем памяти, который может быть резидентным объектом в RAM

Пределы процесса

• максимальное количество времени процесс может занять ЦП
• максимальный приоритет, который может быть присвоен процессу
• максимальное количество процессов с тем же идентификатором реального пользователя может быть выполнено одновременно
• максимальное количество сигналов, которые могут быть поставлены в очередь для процесса

Linux имеет также пределы для оперативных приоритетов

Файл и пределы IPC

• Максимальное количество файлов процесс может иметь открытый одновременно
• Максимальное количество блокировок процесс может арендовать
• Максимальный размер файлов процесс может создать
• Максимальный размер буфера канала (этот предел является несколько специальным, так как он установлен с fcntl() системный вызов, тогда как все другие пределы устанавливаются с setrlimit())
• Максимальное количество байтов, которые все процессы с тем же идентификатором реального пользователя могут выделить для очередей сообщений POSIX

Используйте выделенное дисковое пространство для ограничения максимального места, которое пользователь может занять в файловой системе.

Введение

Когда пользователь создает файл, или каталог под GNU/Linux или другой подобной Unix операционной системой, набор по умолчанию полномочий установлен командой umask.

Настройте значение по умолчанию umask

Обычно umask установлен в файле:

 /etc/profile 

или для оболочки удара:

~/.bashrc ~/.bash_profile 

для ksh/bash:

 ~/.profile 

для csh:

~/.cshrc 

для определения среды пользователя при входе в систему:

~/.login 

и это установило с добавлением чего-то как в файлах:

umask 022 

Как umask вычисляется?

Команда umask использует восьмеричные значения для определения полномочий файлов и каталогов. Полномочия по умолчанию для файла вычисляются путем вычитания значения 666 как:

666 - 022 = 644 

Это означает, что полномочия файла были бы (rw-r - r-)

Для каталогов полномочия по умолчанию вычисляются следующим образом:

777 - 022 = 755 

Это переводит в полномочия базового каталога (drwx-rw-rw-)

Для получения дополнительной информации о umask вводят в оболочке:

$ man umask 

Ссылка

Статья в Википедии о umask