| CORE(5) | Руководство программиста Linux | CORE(5) |
core - файла дампа памяти процесса
Для определённых сигналов действием по умолчанию является завершение процесса и создание дампа памяти процесса — дискового файла, содержащего образ памяти процесса на момент завершения. Этот образ может быть использован в отладчике (например, gdb(1)) для исследования состояния программы на момент её завершения. Список сигналов, которые приводят к созданию дампа памяти процесса, можно найти в signal(7).
Процесс может установить свой программный предел ресурса RLIMIT_CORE в максимальное значение по размеру файла дампа, который будет создан, если процесс получит сигнал "дампа памяти"; подробней смотрите в getrlimit(2).
Есть несколько обстоятельств, при которых файл дампа памяти не создаётся:
Также, дамп память может не содержать часть адресного пространства процесса, если в madvise(2) указан флаг MADV_DONTDUMP.
В системах, использующих systemd(1) в качестве init, файлы дампа могут помещаться в каталог, задаваемый systemd(1). Подробности смотрите далее.
По умолчанию, файлу с дампом памяти присваивается имя core, но с помощью файла /proc/sys/kernel/core_pattern (начиная с Linux 2.6 и 2.4.21) можно задать шаблон, который будет использован для именования файлов дампов памяти. Шаблон может содержать описатели %, которые заменяются на следующие значения при создании файла дампа:
Одиночный в конце шаблона отбрасывается от имени файла дампа вместе с символом после %, отличным от перечисленных ранее. Все остальные символы в шаблоне вставляются в имя файла дампа как есть. Шаблон может содержать символы '/', которые интерпретируются как разделители для имён каталогов. Максимальный размер получаемого имени файла дампа равен 128 байтам (64 байта для ядер до версии 2.6.19). Значение по умолчанию в этом файле равно "core". Для обратной совместимости, если /proc/sys/kernel/core_pattern не содержит %p и значение в /proc/sys/kernel/core_uses_pid (смотрите далее) не равно нулю, то к имени файла дампа будет добавлен .PID.
Пути рассматриваются согласно активным настройкам для падающего процесса. Имеется в виду пространство имён монтирования падающего процесса (смотрите mount_namespaces(7)), его текущий рабочий каталог (находимый с помощью getcwd(2)) и его корневой каталог (смотрите chroot(2)).
Начиная с версии 2.4, Linux также предоставляет более примитивный метод управления именем файла дампа памяти. Если файл /proc/sys/kernel/core_uses_pid содержит значение 0, то файл дампа памяти просто называется core. Если в этом файле содержится ненулевое значение, то к имени файла дампа добавится ID процесса (в виде core.PID).
Начиная с Linux 3.6, если значение в /proc/sys/fs/suid_dumpable равно 2 («suidsafe»), то шаблон должен быть или абсолютным путём (начинаться с символа '/'), или каналом, как описано далее.
Начиная с версии 2.6.19, Linux поддерживает альтернативный синтаксис файла /proc/sys/kernel/core_pattern. Если первым символом в этом файле будет символ канала (|), то оставшаяся строка воспринимается как командная строка пользовательской программы (или сценария), которую нужно запустить. Вместо записи файла на диск дамп памяти передаётся в стандартный ввод программы. Отметим следующие моменты:
При отправке дампов памяти через канал в программу пользовательского пространства может быть полезным для собирающей программы получать данные о падающем процессе из каталога процесса /proc/[pid]. Для безопасного выполнения ядро должно дождаться завершения собирающей программы, и не удалять файлы падающего процесса /proc/[pid]. Это, в свою очередь, создаёт возможность того, что неправильно работающая собирающая программа может заблокировать очистку упавшего процесса просто никогда не завершаясь.
Начиная с Linux 2.6.32, для защиты от этого можно использовать файл /proc/sys/kernel/core_pipe_limit. Значением файла задаётся количество одновременно падающих процессов, которые можно передавать через канал программе из пространства пользователя параллельно. Если это значение превышено, то для выходящих за это ограничение падающих процессов ядро пишет сообщение в лог, а дампы памяти не передаёт.
Значение файла 0 является специальным. Оно означает, что параллельно можно пересылать бесконечное количество процессов, но ожидание при это не происходит (т. е., собирающей программе не гарантируется доступ к /proc/<crashing-PID>). Значение по умолчанию для файла равно 0.
Начиная с версии 2.6.23, в Linux появился файл /proc/[pid]/coredump_filter, который определяет какие сегменты памяти записываются в файл дампа памяти при отклике на событие создания дампа памяти процесса с соответствующим ID процесса.
Значение в файле является битовой маской типов отображений памяти (см. mmap(2)). Если бит в маске установлен, то выполняется дамп отображения памяти соответствующего типа; иначе дамп не выполняется. Биты в этом файле имеют следующее значение:
По умолчанию, установлены следующие биты: 0, 1, 4 (если включён параметр настройки ядра CONFIG_CORE_DUMP_DEFAULT_ELF_HEADERS) и 5. Данное значение может быть изменено при запуске системы через параметр загрузки coredump_filter.
Значения этого файла отображается в шестнадцатеричной системе счисления (то есть значение по умолчанию выглядит как 33).
Для страниц ввода-вывода, отображённых в память, таких как фрейм-буфер, дамп никогда не выполняется, а виртуальные страницы DSO (vdso(7)) попадают в дамп всегда, независимо от значения coredump_filter.
Дочерний процесс, созданный fork(2), наследует значение coredump_filter родителя; значение coredump_filter сохраняется и при execve(2).
Полезно указывать значение coredump_filter в родительской оболочке до запуска программы, например:
$ echo 0x7 > /proc/self/coredump_filter $ ./какая-то_программа
Этот файл есть в системе только, если ядро было собрано с параметром настройки CONFIG_ELF_CORE.
В системах с systemd(1) в качестве init файлы дампа могут помещаться в каталог, определяемый systemd(1). Для этого systemd(1) использует свойство core_pattern, которое позволяет передавать дампы программе по каналу. Это происходит, если файлы дампа передаются по каналу в программу systemd-coredump(8):
$ cat /proc/sys/kernel/core_pattern |/usr/lib/systemd/systemd-coredump %P %u %g %s %t %c %e
В этом случае файлы дампа будут помещаться согласно настройкам systemd-coredump(8), обычно в виде сжатых lz4(1) файлов в каталог /var/lib/systemd/coredump/. Список файлов дампа, записанных systemd-coredump(8), можно получить с помощью coredumpctl(1):
$ coredumpctl list | tail -5 Wed 2017-10-11 22:25:30 CEST 2748 1000 1000 3 present /usr/bin/sleep Thu 2017-10-12 06:29:10 CEST 2716 1000 1000 3 present /usr/bin/sleep Thu 2017-10-12 06:30:50 CEST 2767 1000 1000 3 present /usr/bin/sleep Thu 2017-10-12 06:37:40 CEST 2918 1000 1000 3 present /usr/bin/cat Thu 2017-10-12 08:13:07 CEST 2955 1000 1000 3 present /usr/bin/cat
Информация, показываемая для каждого дампа включает дату и время дампа, PID, UID и GID процесса дампа, номер сигнала, вызвавшего дамп, и путь к исполняемому файлу, который был запущен процессом дампа. Различные параметры coredumpctl(1) позволяют выбрать файл coredump, который нужно записать из расположения systemd(1), в заданный файл. Например, чтобы извлечь дамп для PID 2955, показанного выше, в файл с именем core в текущий каталог, сделайте следующее:
$ coredumpctl dump 2955 -o core
Подробную информацию смотрите в справочной странице coredumpctl(1).
Для отключения в systemd(1) механизма архивирования дампом и восстановления чего-то более обычного поведению Linux, измените работу systemd(1) следующим образом:
# echo "kernel.core_pattern=core.%p" > /etc/sysctl.d/50-coredump.conf # /lib/systemd/systemd-sysctl
Команду gdb(1) gcore можно использовать для получения дампа памяти работающего процесса.
В версии Linux до 26.27 включительно, если для многонитевого процесса (или, точнее, процесса, который делит свою памяти с другим процессом, созданным с флагом CLONE_VM через clone(2)) выполняется дамп памяти, то ID процесса всегда добавляется к имени файла дампа, если ID процесса уже не включён в это имя с помощью %p в /proc/sys/kernel/core_pattern (это, главным образом, полезно когда применяется устаревшая реализация LinuxThreads, где каждая нить процесса имеет свой PID).
Эта программа может использоваться для демонстрации синтаксиса канала в файле /proc/sys/kernel/core_pattern. Следующий сеанс оболочки демонстрирует использование данной программы (при компиляции был создан исполняемый файл с именем core_pattern_pipe_test):
$ cc -o core_pattern_pipe_test core_pattern_pipe_test.c $ su Password: # echo "|$PWD/core_pattern_pipe_test %p UID=%u GID=%g sig=%s" > \ /proc/sys/kernel/core_pattern # exit $ sleep 100 ^\ # type control-backslash Quit (core dumped) $ cat core.info argc=5 argc[0]=</home/mtk/core_pattern_pipe_test> argc[1]=<20575> argc[2]=<UID=1000> argc[3]=<GID=100> argc[4]=<sig=3> Total bytes in core dump: 282624
/* core_pattern_pipe_test.c */
#define _GNU_SOURCE
#include <sys/stat.h>
#include <fcntl.h>
#include <limits.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#define BUF_SIZE 1024
int
main(int argc, char *argv[])
{
int tot, j;
ssize_t nread;
char buf[BUF_SIZE];
FILE *fp;
char cwd[PATH_MAX];
/* Изменяем наш текущий рабочий каталог на тот, что у
упавшего процесса */
snprintf(cwd, PATH_MAX, "/proc/%s/cwd", argv[1]);
chdir(cwd);
/* Записываем вывод в файл "core.info" в этом каталоге */
fp = fopen("core.info", "w+");
if (fp == NULL)
exit(EXIT_FAILURE);
/* Показываем аргументы командной строки, переданные программе
core_pattern */
fprintf(fp, "argc=%d\n", argc);
for (j = 0; j < argc; j++)
fprintf(fp, "argc[%d]=<%s>\n", j, argv[j]);
/* Подсчитываем байты стандартного ввода (дампа памяти) */
tot = 0;
while ((nread = read(STDIN_FILENO, buf, BUF_SIZE)) > 0)
tot += nread;
fprintf(fp, "Total bytes in core dump: %d\n", tot);
fclose(fp);
exit(EXIT_SUCCESS);
}
bash(1), coredumpctl(1), gdb(1), getrlimit(2), mmap(2), prctl(2), sigaction(2), elf(5), proc(5), pthreads(7), signal(7), systemd-coredump(8)
| 2019-03-06 | Linux |