mysyslog.ru » environment

Изучаем top в FreeBSD

constantine.malov — Wed, 08 Dec 2010 13:30:11 +0000

Вообще, все что я тут буду рассказывать есть или в help top (нажми h во время работы top), или есть в man top.
Если тебе лень их читать (что я, конечно же, не одобряю), то эта заметка для тебя, и мне шпаргалка.
Что такое top и зачем он нужен, я писать не буду, поговорим о приятных возможностях.
Еще хочу заметить, что top меняется вместе с системой, что-то добавляется, что-то меняется, что-то исчезает. Все опции здесь взяты для freebsd 7.3, как наиболее надежной в данный момент. И так поехали!

1) Как правило, мы хотим увидеть в top какие-то работающие процессы, которые грузят систему, все остальные только затуманивают нам взгляд.
Так что их лучше отключить! Для этого нужно запустить top с ключем -I, или во время работы нажать i (повторное нажатие вернет все обратно).

2) Такие процессы, как mysql используют потоки, которые top не выводит отдельными строчками, а показывает сколько потоков у данного процесса в поле THR. Можно заставить показывать каждый поток отдельно, для этого нужно запустить top с ключом -H или нажать H в процессе работы.

3) Jail – замечательный механизм изоляции различных окружений на одной машине.
top позволяет определить какому из jail принадлежит процесс при помощи jail id. 0 – это host система, остальные номера смотрим через jls. Или при запуске нужно запустить top с ключом -j, или при работе нажать j.

4) Поиск утилизирующего диск приложения – top помогает и с этой задачей.
Опция -m с параметром io (или m в процессе работы) переводит top в режим отображения IO активности, вместо CPU. Очень полезно.

5) Опция -S показывает системные процессы, полезная опция на загруженных системах.
Например, можно подсмотреть сколько процессора потребляет работа сетевой карты, выглядит это примерно так:

39 root          1 -68    -     0K    16K WAIT    6 117.6H  8.69% irq256: em0

6) Все мы уже привыкли, что процессоров у нас много, ядер в них тоже много и SMP включен, но top упорно показывает всего одну строчку про процессор:

 CPU:  0.4% user,  1.6% nice,  1.4% system,  1.4% interrupt, 95.3% idle

Можно заставить top показывать статистику по каждому ядру/процессору, для этого нужно указать опцию -P.
Возможность была бы совершенно бесполезная, если бы не cpuset! (читайте man cpuset).

7) Частота обновления top задается опцией -s в качестве параметра нужно указать время в секундах. В время работы меняется нажатием s.

Вот и все про top!

Resize partition in FreeBSD with growfs

constantine.malov — Fri, 02 Apr 2010 14:44:18 +0000

It’s hard to say, which partition will grow more during system work at installation time. So in one good day nagios will start alerting you about space shortage! Nowadays it’s not topical problem, but it could happen, as it was with me.Some administrator before me prepared solution for this case. He added one empty partition /mnt/b for cutting space from it in future. So my task was to grow one working partition without data loss.
What we have in the beginning:

df -h
/dev/da1s1a    989M    488M    442M    52%    /mnt/a
/dev/da1s1b    6.8G    4.0K    6.4G     0%    /mnt/b

We want to resize /dev/da1s1a up to 2GB. For this task we need some utils: bsdlabel, newfs, growfs.
First is to unmount partitions.

umount /mnt/a
umount /mnt/b

After this we must change label data on slice /dev/da1s1

bsdlabel -e /dev/da1s1

# /dev/da1s1:
8 partitions:
#        size   offset    fstype   [fsize bsize bps/cpg]
  a:  2097152       16    4.2BSD     2048 16384 28528
  b: 14674629  2097168    4.2BSD     2048 16384 28448
  c: 16771797        0    unused        0     0         # "raw" part, don't edit

After changing it would look like

# /dev/da1s1:
8 partitions:
#        size   offset    fstype   [fsize bsize bps/cpg]
  a:  2048M       16    4.2BSD     2048 16384 28528
  b: *  *   4.2BSD     2048 16384 28448
  c: 16771797        0    unused        0     0         # "raw" part, don't edit

Now it’s time to run growfs. It has key -s for setting new size of partition. One note, growfs works with size in blocks, so for 2GB it would be 4190208 ( 2 * 1024 * 1024 * 1024 / 512 ) because default block size is 512B.

growfs -s 4190208  /dev/da1s1a
newfs -U /dev/da1s1b
mount /dev/da1s1a /mnt/a
mount /dev/da1s1b /mnt/b
df -h
/dev/da1s1a   1.9G 488M  452378    52%    /mnt/a
/dev/da1s1b   5.8G      4K 6674404     0%    /mnt/b

I don’t know any way to resize /dev/da1s1b down, so we just run newfs against it.

Изменение размера партиции в FreeBSD через growfs

constantine.malov — Fri, 02 Apr 2010 14:13:21 +0000

Иногда при установке системы не удается предугадать, какие разделы будут расти больше, а какие меньше и в один прекрасный день nagios начинает орать о нехватке места. Вообще задача встречается все реже, так как диски все больше да и все все чаще создается они большой /. Но вот так случилось, что я с ней столкнулся.Причем мой предшественник сделал хитро. Он создал раздел, который никак не использовался, от которого можно было отрезать по кусочку для других разделов.
Вот что у нас было на начальный момент:

df -h
/dev/da1s1a    989M    488M    442M    52%    /mnt/a
/dev/da1s1b    6.8G    4.0K    6.4G     0%    /mnt/b

Я хочу расширить /dev/da1s1a до 2GB. Итак, что нам нужно: bsdlabel, newfs, growfs.
Первым делом нужно отмонтировать разделы.

umount /mnt/a
umount /mnt/b

После чего нужно изменить лейбл на слайсе /dev/da1s1

bsdlabel -e /dev/da1s1

# /dev/da1s1:
8 partitions:
#        size   offset    fstype   [fsize bsize bps/cpg]
  a:  2097152       16    4.2BSD     2048 16384 28528
  b: 14674629  2097168    4.2BSD     2048 16384 28448
  c: 16771797        0    unused        0     0         # "raw" part, don't edit

Меняем это все следующим образом и сохраняем

# /dev/da1s1:
8 partitions:
#        size   offset    fstype   [fsize bsize bps/cpg]
  a:  2048M       16    4.2BSD     2048 16384 28528
  b: *  *   4.2BSD     2048 16384 28448
  c: 16771797        0    unused        0     0         # "raw" part, don't edit

Далее запускаем growfs, для указания нужного размера есть ключ -s, но размер в нем указывается в блоках, а не в байтах. Потому для размера раздела в 2ГБ нужно указать 4190208 ( 2 * 1024 * 1024 * 1024 / 512 )

growfs -s 4190208  /dev/da1s1a
newfs -U /dev/da1s1b
mount /dev/da1s1a /mnt/a
mount /dev/da1s1b /mnt/b
df -h
/dev/da1s1a   1.9G 499818  452378    52%    /mnt/a
/dev/da1s1b   5.8G      4 6674404     0%    /mnt/b

Уменьшить размер раздела нельзя, так что приходится создавать файловую системы заново на /dev/da1s1b.

mtree на страже вашей FreeBSD

constantine.malov — Wed, 31 Mar 2010 14:46:38 +0000

К сожалению в любом программном обеспечение есть уязвимости и дыры, который могут использовать хакеры в свои целях. С момента выхода обновления или security патча до момента исправления в вашей ОС может пройти какое-то время, т.е. это потенциальная возможность получить управление ваши серверов для злоумышленника, который может оставить закладки для будущего использования даже после того, как вы все исправите. Например он может заменить файл su или sudo, даже ps вместе ls могут стать смертельно опасными! Для защиты нужно отслеживать состояние системных файлов (владельцы, права, размер, хеши и т.п.)!
Tripwire – достаточно сложный и тяжелый продукт, конечно можно поставить из портов, но в FreeBSD уже есть утилита, которая прекрасно справится с поставленной задачей.

mtree создает список файлов и их свойств в заданном каталоге. Полученный список может использоваться в дальнейшем для сравнения при помощи mtree текущего состояния файлов с моментом, когда создавался список. Если при сравнении будут найдены несоответствия mtree выведет на консоль информацию о них.

Нужно понимать, что файл со списком должен быть надежно защищен. Если злоумышленник найдет этот файл, то он сможет его изменить и он станет совершенно бесполезен. Для защиты лучше всего файл зашифровать и перенести с сервера на другую машину или еще лучше флешку.

Перейдем непосредственно к созданию списка:

cd /sbin
mtree -c -K uid,gid,mode,flags,size,cksum,md5digest,sha1digest,ripemd160digest > /root/sbin-mtree

Теперь файл /root/sbin-mtree можно использовать для проверки.

cd /sbin
touch test
mtree < /root/sbin-mtree
. changed
        modification time expected Wed Feb 17 14:19:16 2010 found Wed Mar 31 17:11:12 2010
test extra

Как видите, все достаточно просто. Поговорим немного об автоматизации и процессе использования mtree. Написать скрипт проверки не составляет проблемы, выглядеть он будет примерно так:

#!/bin/sh
MTREE_FILES_DIR='/mnt/security'
DIR_LIST='bin sbin etc root usr-bin usr-sbin usr-local-sbin usr-local-bin usr-local-etc boot'

for dir in $DIR_LIST; do
 realdir="/`/bin/echo $dir|/usr/bin/sed 's/-/\//g'`"
 cd $realdir
 mtree_result=`/usr/sbin/mtree 2>/dev/null < $MTREE_FILES_DIR/${dir}-mtree
 if [ "x$?" != "x0" ]; then
   echo $mtree_result | mail admin@mail.domain
 fi
done

Здесь есть важный момент /mnt/security должен монтироваться в read-only по NFS например, так чтобы злоумышленник не мог поменять содержимое файлов.

Для FreeBSD я составил такой список каталогов, конечно же на рабоче системе будут и другие каталоги:
/bin
/sbin
/etc
/root
/usr/bin
/usr/sbin
/usr/local/sbin
/usr/local/bin
/usr/local/etc
/boot

Естественно безопасность добавляет проблем при работе, в данном случае придется при каждом обновлении системы или софта обновлять списки mtree. Но кто сказал, что будет легко?

П.С.
Для написания заметки использовалась глава “Use mtree as a Built-in Tripwire” из книги “BSD hacks”

Как посмотреть окружение запущенного процесса?

constantine.malov — Mon, 23 Nov 2009 12:52:28 +0000

Иногда нужно подсмотреть окружение запущенного процесса, для этого есть несколько способов и утилит.
Linux:
cat /proc/PID/environ

Solaris:
pargs -e PID

FreeBSD:
mount -t procfs none /proc
ps ewwwp PID

Общий подход для всех UNIX систем:
gcore PID
получим core файл
string core.PID