table of contents
core(5) | File Formats Manual | core(5) |
ИМЯ¶
core - файла дампа памяти процесса
ОПИСАНИЕ¶
The default action of certain signals is to cause a process to terminate and produce a core dump file, a file containing an image of the process's memory at the time of termination. This image can be used in a debugger (e.g., gdb(1)) to inspect the state of the program at the time that it terminated. A list of the signals which cause a process to dump core can be found in signal(7).
Процесс может установить свой программный предел ресурса RLIMIT_CORE в максимальное значение по размеру файла дампа, который будет создан, если процесс получит сигнал "дампа памяти"; подробней смотрите в getrlimit(2).
Есть несколько обстоятельств, при которых файл дампа памяти не создаётся:
- •
- У процесса нет прав на запись файла дампа (по умолчанию файл дампа называется core или core.pid, где pid — ID процесса из которого делается дамп, и создаётся в текущем рабочем каталоге. Подробней об именовании смотрите далее). Запись файла дампа завершается ошибкой, если каталог, в котором он создаётся, недоступен для записи, или если файл с таким же именем уже существует и недоступен для записи или это необычный файл (например, это каталог или символьная ссылка).
- •
- Существует файл (обычный, доступный на запись) с именем, которое будет использовано для дампа памяти, но есть более одной жёсткой ссылки на этот файл.
- •
- Файловая система, где должен быть создан файл дампа, переполнена, закончились иноды, она смонтирована только для чтения, достигнут предел пользовательской квоты.
- •
- Каталог, в котором должен быть создан файл дампа, не существует.
- •
- The RLIMIT_CORE (core file size) or RLIMIT_FSIZE (file size) resource limits for the process are set to zero; see getrlimit(2) and the documentation of the shell's ulimit command (limit in csh(1)). However, RLIMIT_CORE will be ignored if the system is configured to pipe core dumps to a program.
- •
- The binary being executed by the process does not have read permission enabled. (This is a security measure to ensure that an executable whose contents are not readable does not produce a—possibly readable—core dump containing an image of the executable.)
- •
- Процесс выполняет программу с установленными битом set-user-ID (set-group-ID), который принадлежит пользователю (группе) не совпадающей с ID реального пользователя (группы) процесса или процесс выполняется программу, имеющую файловые мандаты (смотрите capabilities(7)). Однако посмотрите описание операции prctl(2) PR_SET_DUMPABLE, и описание файла /proc/sys/fs/suid_dumpable в proc(5).
- •
- Файл /proc/sys/kernel/core_pattern пуст и /proc/sys/kernel/core_uses_pid содержит 0 (эти файлы описаны ниже). Заметим, что если /proc/sys/kernel/core_pattern пуст и /proc/sys/kernel/core_uses_pid содержит 1, то файлы дампа будет иметь имена в виде .pid, а такие файлы не показываются при использовании ls(1) с параметром -a.
- •
- (начиная с Linux 3.7) Ядро настроено без параметра CONFIG_COREDUMP.
Также, дамп память может не содержать часть адресного пространства процесса, если в madvise(2) указан флаг MADV_DONTDUMP.
В системах, использующих systemd(1) в качестве init, файлы дампа могут помещаться в каталог, задаваемый systemd(1). Подробности смотрите далее.
Именование файлов дампов памяти¶
По умолчанию, файлу с дампом памяти присваивается имя core, но с помощью файла /proc/sys/kernel/core_pattern (начиная с Linux 2.6 и 2.4.21) можно задать шаблон, который будет использован для именования файлов дампов памяти. Шаблон может содержать описатели %, которые заменяются на следующие значения при создании файла дампа:
- %%
- Одиночный символ %.
- %c
- Программный предел размера файла дампа рухнувшего процесса (начиная с Linux 2.6.24).
- %d
- Dump mode—same as value returned by prctl(2) PR_GET_DUMPABLE (since Linux 3.7).
- %e
- The process or thread's comm value, which typically is the same as the executable filename (without path prefix, and truncated to a maximum of 15 characters), but may have been modified to be something different; see the discussion of /proc/pid/comm and /proc/pid/task/tid/comm in proc(5).
- %E
- Pathname of executable, with slashes ('/') replaced by exclamation marks ('!') (since Linux 3.0).
- %g
- Numeric real GID of dumped process.
- %h
- Имя узла (как nodename, возвращаемое uname(2)).
- %i
- TID нити, из-за которой возник дамп, по отношению к пространству имён PID, в котором располагается нить (начиная с Linux 3.18).
- %I
- TID нити, из-за которой возник дамп, по отношению к начальному пространству имён PID (начиная с Linux 3.18).
- %p
- PID процесса, с которого делается дамп, так как он видится в пространстве имён PID, котором расположен процесс.
- %P
- initial PID процесса, с которого делается дамп, так как он видится в первоначальном пространстве имён PID, котором расположен процесс (начиная с Linux 3.12).
- %s
- Номер сигнала, вызвавшего создание дампа.
- %t
- Время дампа, выражается в секундах с начала эпохи, 1970-01-01 00:00:00 +0000 (UTC).
- %u
- Numeric real UID of dumped process.
A single % at the end of the template is dropped from the core filename, as is the combination of a % followed by any character other than those listed above. All other characters in the template become a literal part of the core filename. The template may include '/' characters, which are interpreted as delimiters for directory names. The maximum size of the resulting core filename is 128 bytes (64 bytes before Linux 2.6.19). The default value in this file is "core". For backward compatibility, if /proc/sys/kernel/core_pattern does not include %p and /proc/sys/kernel/core_uses_pid (see below) is nonzero, then .PID will be appended to the core filename.
Пути рассматриваются согласно активным настройкам для падающего процесса. Имеется в виду пространство имён монтирования падающего процесса (смотрите mount_namespaces(7)), его текущий рабочий каталог (находимый с помощью getcwd(2)) и его корневой каталог (смотрите chroot(2)).
Since Linux 2.4, Linux has also provided a more primitive method of controlling the name of the core dump file. If the /proc/sys/kernel/core_uses_pid file contains the value 0, then a core dump file is simply named core. If this file contains a nonzero value, then the core dump file includes the process ID in a name of the form core.PID.
Since Linux 3.6, if /proc/sys/fs/suid_dumpable is set to 2 ("suidsafe"), the pattern must be either an absolute pathname (starting with a leading '/' character) or a pipe, as defined below.
Передача дампов памяти в программу через канал¶
Since Linux 2.6.19, Linux supports an alternate syntax for the /proc/sys/kernel/core_pattern file. If the first character of this file is a pipe symbol (|), then the remainder of the line is interpreted as the command-line for a user-space program (or script) that is to be executed.
Since Linux 5.3.0, the pipe template is split on spaces into an argument list before the template parameters are expanded. In earlier kernels, the template parameters are expanded first and the resulting string is split on spaces into an argument list. This means that in earlier kernels executable names added by the %e and %E template parameters could get split into multiple arguments. So the core dump handler needs to put the executable names as the last argument and ensure it joins all parts of the executable name using spaces. Executable names with multiple spaces in them are not correctly represented in earlier kernels, meaning that the core dump handler needs to use mechanisms to find the executable name.
Instead of being written to a file, the core dump is given as standard input to the program. Note the following points:
- •
- Программа должна быть задана абсолютным именем файла (или путём относительно корневого каталога, /), и имя должна сразу следовать за символом «|».
- •
- В аргументах командной строки могут быть описатели %, перечисленные ранее. Например, чтобы передать PID процесса, для которого делается дамп, укажите в аргументе %p.
- •
- Создаваемый процесс для запуска программы будет выполняться с правами группы и пользователя root.
- •
- При выполнении с правами root не делается никаких исключений по обходу безопасности. А именно, LSM (например, SELinux) работает как обычно и может не дать обработчику доступ к информации упавшего процесса через /proc/pid.
- •
- Путь к программе рассматривается с учётом начального пространства имён монтирования, так как она всегда выполняется в нём. На это не влияют настройки (например, корневой каталог, пространство имён монтирования, текущий рабочий каталог) падающего процесса.
- •
- Процесс выполняется в начальных пространствах имён (PID, монтирования, пользовательском и т. д.), а не в пространствах имён падающего процесса. Он может использовать описатели, например %P, для нахождения правильного каталога /proc/pid и, если нужно, протестировать/войти в пространства имён падающего процесса.
- •
- Процесс запускается с корневым каталогом, равным своему текущему рабочему каталогу. Если нужно, то возможно изменить его на рабочий каталог выполняющего дамп процесса воспользовавшись значением описателя %P для изменения расположения выполняющего дамп процесса через /proc/pid/cwd.
- •
- Программе можно передать аргументы командной строки (начиная с Linux 2.6.24), отделяя их пробелами (максимальный размер строки 128 байт).
- •
- Ограничение RLIMIT_CORE не применяется к файлам дампа, которые передаются по каналу в программу через этот механизм.
/proc/sys/kernel/core_pipe_limit¶
При отправке дампов памяти через канал в программу пользовательского пространства может быть полезным для собирающей программы получать данные о падающем процессе из каталога процесса /proc/pid. Для безопасного выполнения ядро должно дождаться завершения собирающей программы, и не удалять файлы падающего процесса /proc/pid. Это, в свою очередь, создаёт возможность того, что неправильно работающая собирающая программа может заблокировать очистку упавшего процесса просто никогда не завершаясь.
Начиная с Linux 2.6.32, для защиты от этого можно использовать файл /proc/sys/kernel/core_pipe_limit. Значением файла задаётся количество одновременно падающих процессов, которые можно передавать через канал программе из пространства пользователя параллельно. Если это значение превышено, то для выходящих за это ограничение падающих процессов ядро пишет сообщение в лог, а дампы памяти не передаёт.
Значение файла 0 является специальным. Оно означает, что параллельно можно пересылать бесконечное количество процессов, но ожидание при это не происходит (т. е., собирающей программе не гарантируется доступ к /proc/<crashing-PID>). Значение по умолчанию для файла равно 0.
Управление отображениями, записываемыми в дамп памяти¶
Since Linux 2.6.23, the Linux-specific /proc/pid/coredump_filter file can be used to control which memory segments are written to the core dump file in the event that a core dump is performed for the process with the corresponding process ID.
Значение в файле является битовой маской типов отображений памяти (см. mmap(2)). Если бит в маске установлен, то выполняется дамп отображения памяти соответствующего типа; иначе дамп не выполняется. Биты в этом файле имеют следующее значение:
- бит 0
- Выполнять дамп анонимных частных отображений.
- бит 1
- Выполнять дамп анонимных общих отображений.
- бит 2
- Выполнять дамп частных отображений из виртуальной памяти (file-backed).
- бит 3
- Выполнять дамп общих отображений из виртуальной памяти (file-backed).
- бит 4 (начиная с Linux 2.6.24)
- Выполнять дамп заголовков ELF.
- бит 5 (начиная с Linux 2.6.28)
- Выполнять дамп частных огромных страниц.
- бит 6 (начиная с Linux 2.6.28)
- Выполнять дамп общих огромных страниц.
- бит 7 (начиная с Linux 4.4)
- Выполнять дамп частных страниц DAX.
- бит 8 (начиная с Linux 4.4)
- Выполнять дамп общих страниц DAX.
По умолчанию, установлены следующие биты: 0, 1, 4 (если включён параметр настройки ядра CONFIG_CORE_DUMP_DEFAULT_ELF_HEADERS) и 5. Данное значение может быть изменено при запуске системы через параметр загрузки coredump_filter.
Значения этого файла отображается в шестнадцатеричной системе счисления (то есть значение по умолчанию выглядит как 33).
Для страниц ввода-вывода, отображённых в память, таких как фрейм-буфер, дамп никогда не выполняется, а виртуальные страницы DSO (vdso(7)) попадают в дамп всегда, независимо от значения coredump_filter.
Дочерний процесс, созданный fork(2), наследует значение coredump_filter родителя; значение coredump_filter сохраняется и при execve(2).
Полезно указывать значение coredump_filter в родительской оболочке до запуска программы, например:
$ echo 0x7 > /proc/self/coredump_filter $ ./какая-то_программа
Этот файл есть в системе только, если ядро было собрано с параметром настройки CONFIG_ELF_CORE.
Файлы дампа и systemd¶
В системах с systemd(1) в качестве init файлы дампа могут помещаться в каталог, определяемый systemd(1). Для этого systemd(1) использует свойство core_pattern, которое позволяет передавать дампы программе по каналу. Это происходит, если файлы дампа передаются по каналу в программу systemd-coredump(8):
$ cat /proc/sys/kernel/core_pattern |/usr/lib/systemd/systemd-coredump %P %u %g %s %t %c %e
В этом случае файлы дампа будут помещаться согласно настройкам systemd-coredump(8), обычно в виде сжатых lz4(1) файлов в каталог /var/lib/systemd/coredump/. Список файлов дампа, записанных systemd-coredump(8), можно получить с помощью coredumpctl(1):
$ coredumpctl list | tail -5 Wed 2017-10-11 22:25:30 CEST 2748 1000 1000 3 present /usr/bin/sleep Thu 2017-10-12 06:29:10 CEST 2716 1000 1000 3 present /usr/bin/sleep Thu 2017-10-12 06:30:50 CEST 2767 1000 1000 3 present /usr/bin/sleep Thu 2017-10-12 06:37:40 CEST 2918 1000 1000 3 present /usr/bin/cat Thu 2017-10-12 08:13:07 CEST 2955 1000 1000 3 present /usr/bin/cat
Информация, показываемая для каждого дампа включает дату и время дампа, PID, UID и GID процесса дампа, номер сигнала, вызвавшего дамп, и путь к исполняемому файлу, который был запущен процессом дампа. Различные параметры coredumpctl(1) позволяют выбрать файл coredump, который нужно записать из расположения systemd(1), в заданный файл. Например, чтобы извлечь дамп для PID 2955, показанного выше, в файл с именем core в текущий каталог, сделайте следующее:
$ coredumpctl dump 2955 -o core
Подробную информацию смотрите в справочной странице coredumpctl(1).
To (persistently) disable the systemd(1) mechanism that archives core dumps, restoring to something more like traditional Linux behavior, one can set an override for the systemd(1) mechanism, using something like:
# echo "kernel.core_pattern=core.%p" > \
/etc/sysctl.d/50-coredump.conf # /lib/systemd/systemd-sysctl
It is also possible to temporarily (i.e., until the next reboot) change the core_pattern setting using a command such as the following (which causes the names of core dump files to include the executable name as well as the number of the signal which triggered the core dump):
# sysctl -w kernel.core_pattern="%e-%s.core"
ПРИМЕЧАНИЯ¶
Команду gdb(1) gcore можно использовать для получения дампа памяти работающего процесса.
В версии Linux до 26.27 включительно, если для многонитевого процесса (или, точнее, процесса, который делит свою памяти с другим процессом, созданным с флагом CLONE_VM через clone(2)) выполняется дамп памяти, то ID процесса всегда добавляется к имени файла дампа, если ID процесса уже не включён в это имя с помощью %p в /proc/sys/kernel/core_pattern (это, главным образом, полезно когда применяется устаревшая реализация LinuxThreads, где каждая нить процесса имеет свой PID).
ПРИМЕРЫ¶
Эта программа может использоваться для демонстрации синтаксиса канала в файле /proc/sys/kernel/core_pattern. Следующий сеанс оболочки демонстрирует использование данной программы (при компиляции был создан исполняемый файл с именем core_pattern_pipe_test):
$ cc -o core_pattern_pipe_test core_pattern_pipe_test.c $ su Password: # echo "|$PWD/core_pattern_pipe_test %p UID=%u GID=%g sig=%s" > \ /proc/sys/kernel/core_pattern # exit $ sleep 100 ^\ # type control-backslash Quit (core dumped) $ cat core.info argc=5 argc[0]=</home/mtk/core_pattern_pipe_test> argc[1]=<20575> argc[2]=<UID=1000> argc[3]=<GID=100> argc[4]=<sig=3> Total bytes in core dump: 282624
Исходный код программы¶
/* core_pattern_pipe_test.c */ #define _GNU_SOURCE #include <sys/stat.h> #include <fcntl.h> #include <limits.h> #include <stdio.h> #include <stdlib.h> #include <unistd.h> #define BUF_SIZE 1024 int main(int argc, char *argv[]) {
ssize_t nread, tot;
char buf[BUF_SIZE];
FILE *fp;
char cwd[PATH_MAX];
/* Change our current working directory to that of the
crashing process. */
snprintf(cwd, PATH_MAX, "/proc/%s/cwd", argv[1]);
chdir(cwd);
/* Write output to file "core.info" in that directory. */
fp = fopen("core.info", "w+");
if (fp == NULL)
exit(EXIT_FAILURE);
/* Display command-line arguments given to core_pattern
pipe program. */
fprintf(fp, "argc=%d\n", argc);
for (size_t j = 0; j < argc; j++)
fprintf(fp, "argc[%zu]=<%s>\n", j, argv[j]);
/* Count bytes in standard input (the core dump). */
tot = 0;
while ((nread = read(STDIN_FILENO, buf, BUF_SIZE)) > 0)
tot += nread;
fprintf(fp, "Total bytes in core dump: %zd\n", tot);
fclose(fp);
exit(EXIT_SUCCESS); }
СМОТРИТЕ ТАКЖЕ¶
bash(1), coredumpctl(1), gdb(1), getrlimit(2), mmap(2), prctl(2), sigaction(2), elf(5), proc(5), pthreads(7), signal(7), systemd-coredump(8)
ПЕРЕВОД¶
Русский перевод этой страницы руководства разработал Azamat Hackimov <azamat.hackimov@gmail.com>, Dmitriy S. Seregin <dseregin@59.ru>, Dmitry Bolkhovskikh <d20052005@yandex.ru>, Katrin Kutepova <blackkatelv@gmail.com>, Yuri Kozlov <yuray@komyakino.ru> и Иван Павлов <pavia00@gmail.com>
Этот перевод является свободной программной документацией; он распространяется на условиях общедоступной лицензии GNU (GNU General Public License - GPL, https://www.gnu.org/licenses/gpl-3.0.html версии 3 или более поздней) в отношении авторского права, но БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ.
Если вы обнаружите какие-либо ошибки в переводе этой страницы руководства, пожалуйста, сообщите об этом разработчику по его адресу электронной почты или по адресу списка рассылки русских переводчиков.
2 мая 2024 г. | Linux man-pages (unreleased) |