Как настроить ведение журнала для ulimits?

Question 1

Вы можете использоватьаудитдля регистрации сбоев соответствующих системных вызовов (syscalls), хотя не все излишества проявляются таким образом. Например, как Хенк ЛангевельдКак было отмечено, превышение RLIMIT_RTTIMEзаставляет ядро послать сигнал.

Давайте возьмем для примераRLIMIT_NOFILEпредел:

Указывает значение, на единицу больше максимального номера дескриптора файла, который может быть открыт этим процессом. Попытки (open(2), pipe(2), dup(2) и т. д.) для превышения этого предела приводит к ошибке EMFILE. (Исторически этот предел был назван RLIMIT_OFILEв BSD.)

Так что вам придется следить, например, openза системным вызовом. Егостраница руководстваговорит:

ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ

open(), openat(), и creat()возвращают новый дескриптор файла или -1, если произошла ошибка (в этом случаеerrnoустановлен соответствующим образом).

ОШИБКИ

open(), openat(), и creat()может завершиться сбоем со следующими ошибками:

EMFILE- Процесс уже открыл максимальное количество файлов.

Это означает, что вам нужно проверить openсистемные вызовы, которые терпят неудачу с EMFILE. На странице руководства предполагается, что openвозвращает -1 и устанавливает errnoзначение EMFILE, но на самом деле происходит следующее:open системный вызоввозвращается -EMFILEиглибк преобразуетпреобразует его в -1 и устанавливает errnoв EMFILE ^* .

Теперь, когда мы с этим разобрались, давайте добавим правило аудита:

[root@h ~]# auditctl -a always,exit -F arch=`uname -m` -S open \
                                    -F uid=ciupicri -F exit=-EMFILE -k "UL-SE"

Давайте проверим пределы:

[ciupicri@h ~]$ ulimit -n 10
[ciupicri@h ~]$ python -c 'from __future__ import print_function; f = [(print(i), open("/etc/passwd")) for i in range(10)]'
0
1
2
3
4
5
6
7
Traceback (most recent call last):
  File "<string>", line 1, in <module>
IOError: [Errno 24] Too many open files: '/etc/passwd'

И проверьте логи:

[root@h ~]# ausearch --start recent -k UL-SE
...
time->Wed Jun 25 21:27:37 2014
type=PATH msg=audit(1403720857.418:63): item=0 name="/etc/passwd" nametype=UNK
NOWN
type=CWD msg=audit(1403720857.418:63):  cwd="/home/ciupicri"
type=SYSCALL msg=audit(1403720857.418:63): arch=40000003 syscall=5 success=no 
exit=-24 a0=8ed72e0 a1=8000 a2=1b6 a3=8f24d11 items=1 ppid=1110 pid=1139 auid=
5000 uid=5000 gid=5000 euid=5000 suid=5000 fsuid=5000 egid=5000 sgid=5000 fsgi
d=5000 tty=pts3 ses=2 comm="python" exe="/usr/bin/python" subj=unconfined_u:un
confined_r:unconfined_t:s0-s0:c0.c1023 key="UL-SE"
...

«Руководство по безопасности» для Red Hat Enterprise Linux 6 содержит«Системный аудит»главу, где вы можете прочитать больше по этой теме.

_{^* Спасибо, перейдите по ссылкеfcheза указание на это.}

Answer

Вы можете использоватьаудитдля регистрации сбоев соответствующих системных вызовов (syscalls), хотя не все излишества проявляются таким образом. Например, как Хенк ЛангевельдКак было отмечено, превышение RLIMIT_RTTIMEзаставляет ядро послать сигнал.

Давайте возьмем для примераRLIMIT_NOFILEпредел:

Указывает значение, на единицу больше максимального номера дескриптора файла, который может быть открыт этим процессом. Попытки (open(2), pipe(2), dup(2) и т. д.) для превышения этого предела приводит к ошибке EMFILE. (Исторически этот предел был назван RLIMIT_OFILEв BSD.)

Так что вам придется следить, например, openза системным вызовом. Егостраница руководстваговорит:

ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ

open(), openat(), и creat()возвращают новый дескриптор файла или -1, если произошла ошибка (в этом случаеerrnoустановлен соответствующим образом).

ОШИБКИ

open(), openat(), и creat()может завершиться сбоем со следующими ошибками:

EMFILE- Процесс уже открыл максимальное количество файлов.

Это означает, что вам нужно проверить openсистемные вызовы, которые терпят неудачу с EMFILE. На странице руководства предполагается, что openвозвращает -1 и устанавливает errnoзначение EMFILE, но на самом деле происходит следующее:open системный вызоввозвращается -EMFILEиглибк преобразуетпреобразует его в -1 и устанавливает errnoв EMFILE ^* .

Теперь, когда мы с этим разобрались, давайте добавим правило аудита:

[root@h ~]# auditctl -a always,exit -F arch=`uname -m` -S open \
                                    -F uid=ciupicri -F exit=-EMFILE -k "UL-SE"

Давайте проверим пределы:

[ciupicri@h ~]$ ulimit -n 10
[ciupicri@h ~]$ python -c 'from __future__ import print_function; f = [(print(i), open("/etc/passwd")) for i in range(10)]'
0
1
2
3
4
5
6
7
Traceback (most recent call last):
  File "<string>", line 1, in <module>
IOError: [Errno 24] Too many open files: '/etc/passwd'

И проверьте логи:

[root@h ~]# ausearch --start recent -k UL-SE
...
time->Wed Jun 25 21:27:37 2014
type=PATH msg=audit(1403720857.418:63): item=0 name="/etc/passwd" nametype=UNK
NOWN
type=CWD msg=audit(1403720857.418:63):  cwd="/home/ciupicri"
type=SYSCALL msg=audit(1403720857.418:63): arch=40000003 syscall=5 success=no 
exit=-24 a0=8ed72e0 a1=8000 a2=1b6 a3=8f24d11 items=1 ppid=1110 pid=1139 auid=
5000 uid=5000 gid=5000 euid=5000 suid=5000 fsuid=5000 egid=5000 sgid=5000 fsgi
d=5000 tty=pts3 ses=2 comm="python" exe="/usr/bin/python" subj=unconfined_u:un
confined_r:unconfined_t:s0-s0:c0.c1023 key="UL-SE"
...

«Руководство по безопасности» для Red Hat Enterprise Linux 6 содержит«Системный аудит»главу, где вы можете прочитать больше по этой теме.

_{^* Спасибо, перейдите по ссылкеfcheза указание на это.}

Question 2

Для этого вам необходимо проверить исходный код ядра.

Пример:

Таймеры ЦП в ядре Linux (posix-cpu-таймеры.c) просто отправит SIGKILL процессу-нарушителю при достижении жесткого предела. Мягкий предел запускает SIGXCPU раз в секунду и сообщение Watchdog.

Для получения более подробной информации вы можете поискать другие лимиты и/или сигналы.

Answer

Для этого вам необходимо проверить исходный код ядра.

Пример:

Таймеры ЦП в ядре Linux (posix-cpu-таймеры.c) просто отправит SIGKILL процессу-нарушителю при достижении жесткого предела. Мягкий предел запускает SIGXCPU раз в секунду и сообщение Watchdog.

Для получения более подробной информации вы можете поискать другие лимиты и/или сигналы.

Как настроить ведение журнала для ulimits?

решение1

решение2

Пример:

Связанный контент