linux中修改用户进程可打开文件数限制的方法，供大家学习参考。

一、修改用户进程可打开文件数限制
在Linux平台上，无论编写客户端程序还是服务端程序，在进行高并发TCP连接处理时，最高的并发数量都要受到系统对用户单一进程同时可打开文件数量 的限制(这是因为系统为每个TCP连接都要创建一个socket句柄，每个socket句柄同时也是一个文件句柄)。可使用ulimit命令查看系统允许 当前用户进程打开的文件数限制：
[speng@as4 ~]$ ulimit -n
1024
这表示当前用户的每个进程最多允许同时打开1024个文件，这1024个文件中还得除去每个进程必然打开的标准输入，标准输出，标准错误，服务器监听 socket，进程间通讯的unix域socket等文件，那么剩下的可用于客户端socket连接的文件数就只有大概1024-10=1014个左右。 也就是说缺省情况下，基于Linux的通讯程序最多允许同时1014个TCP并发连接。

对于想支持更高数量的TCP并发连接的通讯处理程序，就必须修改Linux对当前用户的进程同时打开的文件数量的软限制(soft limit)和硬限制(hardlimit)。其中软限制是指Linux在当前系统能够承受的范围内进一步限制用户同时打开的文件数；硬限制则是根据系统 硬件资源状况(主要是系统内存)计算出来的系统最多可同时打开的文件数量。通常软限制小于或等于硬限制。

修改上述限制的最简单的办法就是使用ulimit命令：
[speng@as4 ~]$ ulimit -n <file_num>
上述命令中，在<file_num>中指定要设置的单一进程允许打开的最大文件数。如果系统回显类似于“Operation notpermitted”之类的话，说明上述限制修改失败，实际上是因为在<file_num>中指定的数值超过了Linux系统对该用户 打开文件数的软限制或硬限制。因此，就需要修改Linux系统对用户的关于打开文件数的软限制和硬限制。
第一步，修改/etc/security/limits.conf文件，在文件中添加如下行：
* soft nofile 10240
* hard nofile 10240

其中speng指定了要修改哪个用户的打开文件数限制，可用'*'号表示修改所有用户的限制；soft或hard指定要修改软限制还是硬限制；10240则指定了想要修改的新的限制值，即最大打开文件数(请注意软限制值要小于或等于硬限制)。修改完后保存文件。

第二步，修改/etc/pam.d/login文件，在文件中添加如下行：
session required /lib/security/pam_limits.so
这是告诉Linux在用户完成系统登录后，应该调用pam_limits.so模块来设置系统对该用户可使用的各种资源数量的最大限制(包括用户可打开 的最大文件数限制)，而pam_limits.so模块就会从/etc/security/limits.conf文件中读取配置来设置这些限制值。修改 完后保存此文件。

第三步，查看Linux系统级的最大打开文件数限制，使用如下命令：
[speng@as4 ~]$ cat /proc/sys/fs/file-max
12158
这表明这台Linux系统最多允许同时打开(即包含所有用户打开文件数总和)12158个文件，是Linux系统级硬限制，所有用户级的打开文件数限制 都不应超过这个数值。通常这个系统级硬限制是Linux系统在启动时根据系统硬件资源状况计算出来的最佳的最大同时打开文件数限制，如果没有特殊需要，不 应该修改此限制，除非想为用户级打开文件数限制设置超过此限制的值。修改此硬限制的方法是修改/etc/rc.local脚本，在脚本中添加如下行：
echo 22158 > /proc/sys/fs/file-max

这是让Linux在启动完成后强行将系统级打开文件数硬限制设置为22158。修改完后保存此文件。

完成上述步骤后重启系统，一般情况下就可以将Linux系统对指定用户的单一进程允许同时打开的最大文件数限制设为指定的数值。如果重启后用 ulimit-n命令查看用户可打开文件数限制仍然低于上述步骤中设置的最大值，这可能是因为在用户登录脚本/etc/profile中使用 ulimit-n命令已经将用户可同时打开的文件数做了限制。由于通过ulimit-n修改系统对用户可同时打开文件的最大数限制时，新修改的值只能小于 或等于上次ulimit-n设置的值，因此想用此命令增大这个限制值是不可能的。所以，如果有上述问题存在，就只能去打开/etc/profile脚本文 件，在文件中查找是否使用了ulimit-n限制了用户可同时打开的最大文件数量，如果找到，则删除这行命令，或者将其设置的值改为合适的值，然后保存文 件，用户退出并重新登录系统即可。
通过上述步骤，就为支持高并发TCP连接处理的通讯处理程序解除关于打开文件数量方面的系统限制。

二、修改网络内核对TCP连接的有关限制
在Linux上编写支持高并发TCP连接的客户端通讯处理程序时，有时会发现尽管已经解除了系统对用户同时打开文件数的限制，但仍会出现并发TCP连接数增加到一定数量时，再也无法成功建立新的TCP连接的现象。出现这种现在的原因有多种。

第一种原因可能是因为Linux网络内核对本地端口号范围有限制。此时，进一步分析为什么无法建立TCP连接，会发现问题出在connect()调用返 回失败，查看系统错误提示消息是“Can't assign requestedaddress”。同时，如果在此时用tcpdump工具监视网络，会发现根本没有TCP连接时客户端发SYN包的网络流量。这些情况 说明问题在于本地Linux系统内核中有限制。其实，问题的根本原因在于Linux内核的TCP/IP协议实现模块对系统中所有的客户端TCP连接对应的 本地端口号的范围进行了限制(例如，内核限制本地端口号的范围为1024~32768之间)。当系统中某一时刻同时存在太多的TCP客户端连接时，由于每 个TCP客户端连接都要占用一个唯一的本地端口号(此端口号在系统的本地端口号范围限制中)，如果现有的TCP客户端连接已将所有的本地端口号占满，则此 时就无法为新的TCP客户端连接分配一个本地端口号了，因此系统会在这种情况下在connect()调用中返回失败，并将错误提示消息设为“Can't assignrequested address”。有关这些控制逻辑可以查看Linux内核源代码，以linux2.6内核为例，可以查看tcp_ipv4.c文件中如下函数：
static int tcp_v4_hash_connect(struct sock *sk)
请注意上述函数中对变量sysctl_local_port_range的访问控制。变量sysctl_local_port_range的初始化则是在tcp.c文件中的如下函数中设置：
void __init tcp_init(void)
内核编译时默认设置的本地端口号范围可能太小，因此需要修改此本地端口范围限制。

第一步，修改/etc/sysctl.conf文件，在文件中添加如下行：
net.ipv4.ip_local_port_range = 1024 65000
这表明将系统对本地端口范围限制设置为1024~65000之间。请注意，本地端口范围的最小值必须大于或等于1024；而端口范围的最大值则应小于或等于65535。修改完后保存此文件。

第二步，执行sysctl命令：
[speng@as4 ~]$ sysctl -p
如果系统没有错误提示，就表明新的本地端口范围设置成功。如果按上述端口范围进行设置，则理论上单独一个进程最多可以同时建立60000多个TCP客户端连接。
第二种无法建立TCP连接的原因可能是因为Linux网络内核的IP_TABLE防火墙对最大跟踪的TCP连接数有限制。此时程序会表现为在 connect()调用中阻塞，如同死机，如果用tcpdump工具监视网络，也会发现根本没有TCP连接时客户端发SYN包的网络流量。由于 IP_TABLE防火墙在内核中会对每个TCP连接的状态进行跟踪，跟踪信息将会放在位于内核内存中的conntrackdatabase中，这个数据库 的大小有限，当系统中存在过多的TCP连接时，数据库容量不足，IP_TABLE无法为新的TCP连接建立跟踪信息，于是表现为在connect()调用 中阻塞。此时就必须修改内核对最大跟踪的TCP连接数的限制，方法同修改内核对本地端口号范围的限制是类似的：
第一步，修改/etc/sysctl.conf文件，在文件中添加如下行：
net.ipv4.ip_conntrack_max = 10240
这表明将系统对最大跟踪的TCP连接数限制设置为10240。请注意，此限制值要尽量小，以节省对内核内存的占用。

第二步，执行sysctl命令：
[speng@as4 ~]$ sysctl -p
如果系统没有错误提示，就表明系统对新的最大跟踪的TCP连接数限制修改成功。如果按上述参数进行设置，则理论上单独一个进程最多可以同时建立10000多个TCP客户端连接。

三、使用支持高并发网络I/O的编程技术
在Linux上编写高并发TCP连接应用程序时，必须使用合适的网络I/O技术和I/O事件分派机制。

可用的I/O技术有同步I/O，非阻塞式同步I/O(也称反应式I/O)，以及异步I/O。在高TCP并发的情形下，如果使用同步I/O，这会严重阻塞 程序的运转，除非为每个TCP连接的I/O创建一个线程。但是，过多的线程又会因系统对线程的调度造成巨大开销。因此，在高TCP并发的情形下使用同步I /O是不可取的，这时可以考虑使用非阻塞式同步I/O或异步I/O。非阻塞式同步I/O的技术包括使用select()，poll()，epoll等机 制。异步I/O的技术就是使用AIO。

从I/O事件分派机制来看，使用select()是不合适的，因为它所支持的并发连接数有限(通常在1024个以内)。如果考虑性能，poll()也是 不合适的，尽管它可以支持的较高的TCP并发数，但是由于其采用“轮询”机制，当并发数较高时，其运行效率相当低，并可能存在I/O事件分派不均，导致部 分TCP连接上的I/O出现“饥饿”现象。而如果使用epoll或AIO，则没有上述问题(早期Linux内核的AIO技术实现是通过在内核中为每个I /O请求创建一个线程来实现的，这种实现机制在高并发TCP连接的情形下使用其实也有严重的性能问题。但在最新的Linux内核中，AIO的实现已经得到 改进)。

总结：在开发支持高并发TCP连接的Linux应用程序时，应尽量使用epoll或AIO技术来实现并发的TCP连接上的I/O控制，这将为提升程序对高并发TCP连接的支持提供有效的I/O保证。

只要在ssh的配置文件：sshd_config中添加如下一行即可
Allowusers username@192.168.1.100
上述只允许IP地址是192.168.1.100的机器以username用户登录。

AcceptEnv
只支持SSHv2协议
指定客户端发送的哪些环境变量将会被传递到会话环境中。具体的细节可以参考 ssh_config（5） 中的 SendEnv 配置指令。

该关健字的值是空格分隔的变量名列表（其中可以使用’*'和’?'作为通配符），也可以使用多个AcceptEnv达到同样的目的。需要注意的是，有些环境变量可能会被用于绕过禁止用户使用的环境变量。由于这个原因，该指令应当小心使用默认值：是不传递任何环境变量

AddressFamily
指定sshd（8）应当使用哪种地址族，取值范围：”any”（默认）、”inet”（仅IPv4）、”inet6″（仅IPv6）

AllowGroups
这个指令后面跟着一串用空格分隔的组名列表（其中可以使用”*”和”?”通配符），默认允许所有组登录。如果使用了这个指令，那么将仅允许这些组中的成员登录，而拒绝其它所有组。这里的”组”是指”主组”（primary group），也就是/etc/passwd文件中指定的组。

这里只允许使用组的名字而不允许使用GID。相关的 allow/deny 指令按照下列顺序处理：DenyUsers --> AllowUsers --> DenyGroups-->AllowGroups

AllowTcpForwarding
是否允许TCP转发，默认值为”yes”。
禁止TCP转发并不能增强安全性，除非禁止了用户对shell的访问，因为用户可以安装他们自己的转发器

AllowUsers
这个指令后面跟着一串用空格分隔的用户名列表（其中可以使用”*”和”?”通配符）。默认允许所有用户登录。
如果使用了这个指令，那么将仅允许这些用户登录，而拒绝其它所有用户。
如果指定了 USER@HOST 模式的用户，那么 USER 和 HOST 将同时被检查。
这里只允许使用用户的名字而不允许使用UID。相关的 allow/deny 指令按照下列顺序处理：
DenyUsers -->AllowUsers-->DenyGroups --> AllowGroups

AuthorizedKeysFile
存放该用户可以用来登录的 RSA/DSA 公钥。

该指令中可以使用下列根据连接时的实际情况进行展开的符号：%% 表示’%'、%h 表示用户的主目录、%u 表示该用户的用户名。经过扩展之后的值必须要么是绝对路径，要么是相对于用户主目录的相对路径。默认值是”.ssh/authorized_keys”

Banner
只支持SSHv2协议
将这个指令指定的文件中的内容在用户进行认证前显示给远程用户。默认什么内容也不显示。”none”表示禁用这个特性

ChallengeResponseAuthentication
是否允许质疑-应答（challenge-response）认证。默认值是”yes”。所有login.conf（5） 中允许的认证方式都被支持
 
Ciphers
只支持SSHv2协议
指定SSH-2允许使用的加密算法。多个算法之间使用逗号分隔。可以使用的算法如下：
“aes128-cbc”， “aes192-cbc”， “aes256-cbc”， “aes128-ctr”， “aes192-ctr”， “aes256-ctr”， “3des-cbc”， “arcfour128″， “arcfour256″， “arcfour”， “blowfish-cbc”， “cast128-cbc”

默认值是可以使用上述所有算法

ClientAliveCountMax
只支持SSHv2协议
Sshd（8）在未收到任何客户端回应前最多允许发送多少个”alive”消息。默认值是 3 。
到达这个上限后，sshd（8） 将强制断开连接、关闭会话。
需要注意的是，”alive”消息与 TCPKeepAlive 有很大差异。
“alive”消息是通过加密连接发送的，因此不会被欺骗；而 TCPKeepAlive 却是可以被欺骗的。
如果ClientAliveInterval被设为15 并且将 ClientAliveCountMax 保持为默认值，那么无应答的客户端大约会在45秒后被强制断开

ClientAliveInterval
只支持SSHv2协议
设置一个以秒记的时长，如果超过这么长时间没有收到客户端的任何数据，sshd（8） 将通过安全通道向客户端发送一个”alive”消息，并等候应答。默认值 0 表示不发送”alive”消息

Compression
是否对通信数据进行加密，还是延迟到认证成功之后再对通信数据加密。可用值：”yes”， “delayed”（默认）， “no”

DenyGroups
这个指令后面跟着一串用空格分隔的组名列表（其中可以使用”*”和”?”通配符）。默认允许所有组登录。
如果使用了这个指令，那么这些组中的成员将被拒绝登录。
这里的”组”是指”主组”（primary group），也就是/etc/passwd文件中指定的组。
这里只允许使用组的名字而不允许使用GID。相关的 allow/deny 指令按照下列顺序处理：DenyUsers -> AllowUsers -> DenyGroups -> AllowGroups

DenyUsers
这个指令后面跟着一串用空格分隔的用户名列表（其中可以使用”*”和”?”通配符）。默认允许所有用户登录。
如果使用了这个指令，那么这些用户将被拒绝登录。
如果指定了 USER@HOST 模式的用户，那么 USER 和 HOST 将同时被检查。
这里只允许使用用户的名字而不允许使用UID。相关的 allow/deny 指令按照下列顺序处理：
DenyUsers -> AllowUsers -> DenyGroups -> AllowGroups

ForceCommand
强制执行这里指定的命令而忽略客户端提供的任何命令。这个命令将使用用户的登录shell执行（shell -c）。
这可以应用于 shell 、命令、子系统的完成，通常用于 Match 块中。
这个命令最初是在客户端通过 SSH_ORIGINAL_COMMAND 环境变量来支持的

有关linux文件及目录的suid/guid和t属性，供大家学习参考。

一、
4000---调整用户号
2000---调整组号
1000---粘着置位　

二、suid/guid程序
当一个程序的用户或组被置位的时候，即4000或2000时，可实现某些特殊的功能一般来说，一个运行中的程序为运行这个程序的用户所拥有，但如果该程序是suid/guid程序，则运行的程序则为文件所有者拥有，运行中的程序在程序运行期间拥有文件所有者的全部权限。如果一个普通用户运行了一个属于根用户的带s标志的程序，则该程序不考虑用户权限，自动拥有在系统中读/写任何文件及目录的特权，对于guid程序也是一样的。
最典型的要数/usr/bin/passwd程序了，-r-s--x--x　，可帮助普通用户更改在系统中的密码，利用的就是suid的作用。　但也要严格设置这种权限，避免破坏性。

因为如果你的suid程序是/bin/bash的话，则会导致严重后果，一个普通用户若在某个短时间取得过root权限，他就能设置一个suid程序/binb/bash来取得根特权。
（若拿它来破坏别人的系统，后果自负）
 

这样当攻击者执行了/home/jephe/.backdoor后就得到了根特权，可用id命令显示suid=0

因此一个管理员应定期运行检查程序检查系统内有无异常的suid/guid程序：象下面这样的命令
 

把上面的命令放入cron　job并邮递文件suid-guid-resuilts给管理员邮箱帐号.

三、程序的t属性
粘着位　告诉系统在程序完成后在内存中保存一份运行程序的备份，如该程序常用，可为系统节省点时间，不用每次从磁盘加载到内存。

四、目录的s属性　
目录的S属性使得在该目录下创建的任何文件及目录属于该目录所拥有的组。
例如在apache中为个人设置WEB目录的时候，如果给apache分配的组名为httpd.
则：
#chown　-R　jephe.httpd　~jephe/public_html
#chmod　-R　2770　~jephe/public_html

确保在public_html中创建新的文件或子目录时，新创建的文件设置了组ID。

另外如有两个用户a和b都属于组c,则希望在某目录下a创建的文件也能被b修改，则可设置该目录chmod　+s属性,同时设置a和b的默认umask为770。

五、目录的T属性
设置了目录的T属性后1000，由只有该目录的所有者及root才能删除该目录，如/tmp目录就是drwxrwxrwt

六、文件及目录的三种时间位　
每个Linux文件有三种保存着的时间日期标志。

文件建立时间　（实际上是文件I节点建立时间）　
文件最后访问时间
文件最后修改时间

默认ls　-l时显示的是文件最后修改时间，也可用ls　-l　--time=atime(文件最后访问时间）
ls　-l　--time=ctime（文件建立时间）

可用touch命令改变时间日期标志，从而可隐蔽攻击者对文件放置特洛伊木马后对文件时间的修改

七、可用chattr改变文件及目录的属性
有时你会发现对某个文件即使是root用户也不能修改或添加新内容，那很可能是该文件被用chattr命令设置成不可更改或附加新内容了。你必须先用chattr去掉这些属性再更改内容。