カーネルのバージョンやシステムの構成や実行するタイミングなどの変動要因により、結果が異なる場合がありますことを予めご了承ください。 0.3 自己紹介:熊猫の Linux との関わりについて OSレベルでのセキュリティ強化 2003年4月から2012年3月までは、 TOMOYO Linux という Linux システム向けのアクセス制御モジュールの開発に携わってきました。バッファオーバーフロー脆弱性やOSコマンドインジェクション脆弱性を撲滅できない状況で、当初は SELinux という難解なアクセス制御モジュールしかありませんでした。 TOMOYO Linux のメインライン化にまつわる苦労話は、セキュリティ&プログラミングキャンプ2011の講義資料を参照していただければと思います。 TOMOYO Linux から始まって AKARI や CaitSith に至るまでの変遷は、セキュリティ・
引数 リソースを示すオプションを複数同時に指定した場合は,あとに指定したオプションが有効になります。 -H ハードリミットを設定または出力します。-Hと-Sオプションを同時に指定した場合は,あとに指定したオプションが有効になります。 -S ソフトリミットを設定または出力します。-Hと-Sオプションを同時に指定した場合は,あとに指定したオプションが有効になります。 -a すべてのリソースの上限値を出力します。 -c コアダンプのファイルサイズ上限をblock単位で設定または出力します。 -d データ領域サイズの上限をKB単位で設定または出力します。 -f シェルまたはシェルから起動したプロセスが書き込むファイルの,ファイルサイズの上限をblock単位で設定または出力します。 -l ロックされる物理メモリのメモリサイズの上限をKB単位で設定または出力します。 -m 使用される物理メモリのメモリ
Chris's Wiki :: blog/linux/ReplacingNetstatNotBad もはや Linux で ifconfig や netstat といった昔からある(つまり Unix 由来の)ネットワークツールを非推奨にして、ss や ip といったものに置き換えているという話をワタシが知ったのは……記憶を辿ると、どうやら山形浩生経由らしい。 この方針に対し、古手のシステム管理者には、なんで安定して動いているものを置き換えなければならないのかとイライラする向きもあるのだが、それが必要な理由について解説している。 まず一つには、/proc 配下のいろんなファイルを読む ifconfig や netstat は、iproute2 の一部であり netlink ソケットを利用する ss や ip よりもコマンドの実行が非効率というのがある。これが大規模なシステムだと問題になるとい
(Last Updated On: 2016年2月24日)24GBのファイルをコピーしようとしてエラーになり??な話です。大きなファイルを使いそうなファイルシステムにはXFSを利用していたので気が付きませんでした。 sshfsでマウント先のファイルシステムにコピーしようとしたら16GBでエラー、クラッシュした為と思いますが勝手にumountされました。sshfsの制限かな?とscpにしても同じ、4GBにsplitしてコピー後にcatしても16GBちょうどでエラーなのでググるとKernel 2.4の制限が出てきました。 http://www.ussg.iu.edu/hypermail/linux/kernel/0403.3/1673.html Depends upon the block size. Block size file size 1 kb 16 GB 2 kb 256 GB 4
Section: Linux Programmer's Manual (2) Updated: 2012-07-13 Index JM Home Page roff page 名前 pivot_root - root ファイルシステムを変更する 書式 int pivot_root(const char *new_root, const char *put_old); 注: このシステムコールには glibc のラッパー関数は存在しない。「注意」の節を参照。 説明 pivot_root() は呼び出し元のプロセスの root ファイルシステムを put_old ディレクトリに移動し、 new_root を呼び出し元のプロセスの新しい root ファイルシステムにする。 pivot_root() の典型的な利用法は、システムの起動中にシステムが一時的な root ファイルシステム (例えば i
ユニットファイルには、ユニットを説明し、その動作を定義する設定ディレクティブが含まれます。複数の systemctl コマンドがバックグラウンドでユニットファイルと連携します。詳細な調整を行うには、システム管理者がユニットファイルを手動で編集または作成する必要があります。表10.2「systemd のユニットファイルの場所」 には、システムにユニットファイルが保存される 3 つのメインディレクトリーが記載されています。/etc/systemd/system/ ディレクトリーは、システム管理者が作成またはカスタマイズするユニットファイル用に予約されます。 ユニットファイル名は、以下のフォーマットを使用します。 unit_name.type_extension unit_name はユニットの名前を表し、type_extension はユニットタイプを識別します。ユニットタイプの完全なリストは
概要 Linuxでストレージデバイスのラベルを確認・変更する。 確認環境 Slackware Linux 14.1 デバイスの確認 lsblkで対象デバイスを確認。 % lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 596.2G 0 disk ├─sda1 8:1 0 25G 0 part ├─sda2 8:2 0 250.1G 0 part /mnt/sda2 ├─sda3 8:3 0 317G 0 part / └─sda4 8:4 0 4.1G 0 part [SWAP] sdb 8:16 1 59.8G 0 disk └─sdb1 8:17 1 59.8G 0 part /run/media/akio/Plamo5.1x64 sdc 8:32 0 1.8T 0 disk └─sdc1 8:33 0 1.8T 0 pa
というか、勘違いしてたのは私ですがね… orz 気づくきっかけとなった仕事中の電話は以下の通り。 私:「OSが32bitだから、メモリが4GBまでしか無いですよね?」 相手:「は?8GBを認識してるので、好きに使ってください。」 その場は何事も無かったかのようにスルーして、後で調べたところ、こんな情報を発見。 Red Hat Enterprise Linuxの最大メモリ容量 Ver3(x86) : 64GB Ver4(x86) : 64GB Ver5(x86) : 16GB 詳細はこちら。 なんだよー。全然いけるじゃん。 じゃあ、32bitOSの32bitって何の事だよー(泣) と思い、調べてみると更にこんな情報を発見。 注意: 1) 1プロセスが認識可能なメモリは4GBになります。 3) PAE対応のkernelはそうでないkernelを使用した場合よりも、最大で50%の性能低下がありま
rmコマンドで大量のファイルを削除しようとするとjournaldがめっちゃリソース持っていく件— bokko (@cubicdaiya) 2017年8月3日 今時のファイルシステムはみんなジャーナルもってて何かあったときにそこからリカバリする仕組みになってるので、当たり前といえばそうなんだけども。 (TODO: ここにファイルシステムのツリー+ジャーナルのポンチ絵を手描きでも何でも描く) ご本尊のデータのツリーと何らかのWALを1セットで持っておくのはRDBだろうがファイルシステムだろうがそうは変わらない、で、削除についても並行制御をうまくやるために削除フラグをログに入れておいてあとで本尊のデータを整理するというのが基本的な設計になる。そこで私は立ち上がった(TL;DR: 特にオチとかはないです)。 rm -rf が遅いのは人類にとって損失ではないか。もっと速く完了するようにすれば、 rm
数年前に、こういう記事「ulimitが効かない不安を無くす設定」を書きました。しかし、ディストリビューションのバージョンが上がり、デーモン管理が systemd に変わったことで、インターネットのゴミとなりつつあります。 そのため今回は、その次世代バージョン的な内容ということで、systemd の場合はこうしておけば見えない敵と闘うこともなくなるはずです、というものになります。例によって、抑えきれていないパターンがあったら御免なさいです、押忍。 limits設定で目指す所 復習になりますが、limits の設定で困るのはだいたいこういうパターンでしょう。 作業中ユーザーのシェルのlimits設定が思い通りにならない コンソール/SSHログインしてデーモンを再起動したら、limits設定が戻っていた su/sudoを使ってデーモンを再起動したら同上 デーモンをシステムに自動再起動させたら同上
limits.conf に書いても ulimit に効いていない、というのはよくある話です。 ulimit が少なくて困ったことはあっても、多くし過ぎて困ったことはほとんどないでしょうから、ドーンと全条件下でulimit設定を効かせる方法を紹介します。 ulimitが効かない問題 だいたいこんな内容だと思います。 SSHログインだと効かない su すると効かない OS起動時に自動起動したデーモンに効かない 普通はデーモンに効けばよいので、本当に困ったら起動スクリプトに直接書いたりしますが、方法としてはイマイチなのでちょっと工夫をします。 その前に・・・ PAMについて PAMというユーザー認証システムについてはググっていただくとして、よく出てくる /etc/security/limits.conf という設定ファイルは、PAMを通る条件下でしか有効になりません。 ではPAMを通るとはどうい
Section: Linux Programmer's Manual (2) Updated: 2020-11-01 Index JM Home Page roff page 名前 open, openat, creat - ファイルのオープン、作成を行う 書式 #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open(const char *pathname, int flags); int open(const char *pathname, int flags, mode_t mode); int creat(const char *pathname, mode_t mode); int openat(int dirfd, const char *pathname, int flags); int
[目次] [前] [次] Postfix の罠 Postfix にはハマリがちな罠がいくつかある。 main.cf が反映されるタイミング main.cf を変更して、すぐに反映させたければ「postfix reload」コマンドを実行する。 しかし、「postfix reload」コマンドを実行しないと反映されないというわけではない。 Postfix は必要に応じて各種デーモンを起動したり停止したりするが、各デーモンは起動時にその時点の main.cf を読み込んで動作するのである。 postconf コマンドで出力されるパラメータ値も、main.cf を読んでいるだけなので、その値で各デーモンが動作しているとは限らない。 だから、設定を反映させたくない状態で、main.cf を変更してはいけない。 設定を反映したいタイミングで、main.cf を変更し、直後に「postfix relo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く