漏洞公告|Linux 内核本地权限提升漏洞(CVE-2022-0847...
2022年03月07日,国外安全研究员披露了一个Linux内核本地权限提升漏洞CVE-2022-0847。攻击者通过利用此漏洞可进行任意可读文件重写,将普通权限用户提升到root权限。漏洞作者将此漏洞命名为“Dirty Pipe”。目前网上已有公开的漏洞利用工具...
内核热补丁FAQ
本文提供Alibaba Cloud Linux内核热补丁相关的故障排查与解决方案。Alibaba Cloud Linux系统的CVE-2021-33909安全漏洞内核热补丁修复方案 Alibaba Cloud Linux 2系统的CVE-2021-22555安全漏洞内核热补丁修复方案 Alibaba Cloud Linux 2系统...
cgroup v1接口支持memcg QoS功能
背景信息 在Alibaba Cloud Linux内核中,cgroup v1 接口中默认开启 memcg QoS 功能。关于 memcg QoS 的更多信息,您可以参见内核文档 Documentation/admin-guide/cgroup-v2.rst。内核文档通过Alibaba Cloud Linux的Debuginfo包和源码包获取...
内核功能与接口概述
如果您对Linux的内核系统有一定的了解,并且需要使用Linux内核功能,可以通过本文了解Alibaba Cloud Linux已支持的内核功能与接口。内存 文档链接 支持版本 说明 Memcg Exstat功能 Alibaba Cloud Linux 2内核版本 4.19.91-18.al7 及以上 ...
Linux时间和时区说明
系统时钟(System Clock):Linux内核中的时钟。当Linux系统启动时,根据硬件时钟和/etc/adjtime中的内容来计算系统时钟的初始值,启动完成后,系统时钟独立于硬件时钟运行。Linux内核通过计数定时器中断来跟踪系统时钟。时间标准 Linux内...
Alibaba Cloud Linux 3系统的NFS文件系统读取文件性能...
然而,在Linux内核5.4版本中引入了一个提交(index:kernel/git/torvalds/linux.git),随后 read_ahead_kb 的值不再基于 rsize 参数,而是与 VM_READAHEAD_PAGES 参数相关。Alibaba Cloud Linux 3的内核版本是5.10,默认的 read_ahead_kb ...
开启内核选项CONFIG_PARAVIRT_SPINLOCK可能导致性能...
CONFIG_PARAVIRT_SPINLOCK 是Linux内核配置的一个选项,它是针对使用paravirtualization技术的虚拟化环境而设计的。在Alibaba Cloud Linux中内核选项 CONFIG_PARAVIRT_SPINLOCK 默认处于关闭状态。如果您不确定如何处理内核问题,请勿开启 ...
漏洞公告|Linux内核漏洞(CVE-2020-14386)
该漏洞源自Linux内核 net/packet/af_packet.c ,攻击者可以通过该漏洞实现越界写,可能造成提权和容器逃逸等风险。漏洞信息 漏洞编号:CVE-2020-14386 漏洞评级:高 影响版本:内核版本高于4.6的不同操作系统的Linux发行版均在此次漏洞的...
漏洞CVE-2022-0185公告
近日Linux社区披露了内核安全漏洞CVE-2022-0185,该漏洞源于Linux内核文件系统中参数处理的边界条件,攻击者可以利用漏洞发起DDos攻击或进一步逃逸容器,提权获取主机权限。本文介绍该漏洞的影响和影响范围,以及防范措施。CVE-2022-0185...
如何排查slab_unreclaimable内存占用高的原因?
cat testperf.txt 您需要手动排查没有空闲内存(free)的内存信息,然后在Linux内核源代码中手动查询产生slab内存泄露的函数。通过crash和perf等工具确定了内存泄露的函数调用路径或者影响的内核数据结构后,建议在内核开发者或专业运维...
修改并编译Alibaba Cloud Linux内核的rpm包
如果需要在Alibaba Cloud Linux内核中启用特定的功能或模块,或者禁用默认内核中的某些功能以满足特定的性能或安全要求,您可以基于Alibaba Cloud Linux内核源代码进行修改,并使用rpm软件包管理工具进行重新编译和构建自定义的内核rpm包。...
Memcg Exstat功能
功能概述 Alibaba Cloud Linux内核功能均基于内核接口来实现,本节主要介绍各个功能对应的接口实现方式。功能 说明 memory events统计 在社区版内核的cgroup v2接口中存在 memory.events 和 memory.events.local 两个接口,能够查询memcg内...
什么是Alibaba Cloud Linux
如果您需要在本地或容器中使用Alibaba Cloud Linux镜像,或者需要修改并编译Alibaba Cloud Linux内核的rpm包,请参见 虚拟机镜像使用说明。如果您需要了解阿里云为Alibaba Cloud Linux镜像提供哪些技术支持或加入技术交流群,请参见 联系...
Alibaba Cloud Linux 2系统的CVE-2021-22555安全漏洞...
Kernel panic-not syncing:Fatal exception[104.099305]Kernel Offset:0x34000000 from 0xffffffff81000000(relocation range:0xffffffff80000000-0xffffffffbfffffff)问题原因 Linux内核的Netfilter模块在实现IPT_SO_SET_REPLACE或IP6T_SO...
Alibaba Cloud Linux系统中与透明大页THP相关的性能...
透明大页THP(Transparent Huge Pages)是Linux内核中的一个通用特性,它可以自动将小页面(通常为4 KB)合并成大页面(通常为2 MB或更大),可以减少内存访问页表项PTE(Page Table Entries)大小和访问次数,同时减轻了转译后备缓冲器TLB...
内核热补丁操作说明
您可以通过本文了解获取Alibaba Cloud Linux内核热补丁的方式,以及如何在Alibaba Cloud Linux实例内启用、禁用内核热补丁或禁用kpatch系统服务。背景信息 内核热补丁的相关操作说明如下:如何获取内核热补丁以及如何查看热补丁的具体信息...
Memcg全局最低水位线分级
背景信息 在Linux内核中,全局内存回收对系统性能影响很大。当时延敏感型业务和资源消耗型任务共同部署时,资源消耗型任务时常会瞬间申请大量的内存,使得系统的空闲内存触及全局最低水位线(global wmark_min),引发系统所有任务进入直接...
关闭IPVS的estimation功能
IPVS(IP Virtual Server)是Linux内核的一个组件,可将基于TCP和UDP服务的请求定向到真实服务器,实现内核态四层负载均衡。在Kubernetes中,IPVS可作为其组件Kube-proxy的一种代理模式,将Service的请求转发到后端Pod,来实现Kubernetes...
检测Linux Rootkit入侵威胁
通常,Linux Rootkit特指以Linux内核模块(LKM)形式加载到操作系统中,从内核态实现更高权限的操作,或直接对内核态代码进行篡改,从而劫持整个系统正常程序的运行。借助Rootkit,黑客可以实现对任意目录、文件、磁盘内容、进程、网络连接...
开启或关闭IPv6
而设置-args="ipv6.disable=1"参数直接禁用了IPv6的内核模块,详情请参见 Linux内核IPv6说明。通过修改/etc/sysctl.conf 文件持久化关闭IPv6。修改/etc/sysctl.conf 配置文件。vi/etc/sysctl.conf 按 i 进入编辑模式,将对应的配置信息修改...
内存诊断
伙伴系统 伙伴系统是Linux内核用来管理物理内存页的一种算法,它管理起来的内存分为了不同的组,总共11组,每个组中的内存块大小都是一样的,都是2的幂次方个物理页,一个内存页一般是4 KB,所以大小一般是4 KB、8 KB、16 KB、32 KB……4 ...
Page Cache限制功能
说明 workqueue是Linux内核中的一种机制,用于管理和执行异步工作(即后台任务)。通过将回收操作添加到workqueue中,系统可以将回收任务交给后台线程处理,从而实现异步回收。取值为1,表示采用同步回收。同步回收会阻塞当前进程进行直接...
漏洞管理常见问题
满足以下任一条件您可以判定漏洞修复后需要重启系统:您的服务器是Linux系统服务器,并且修复的漏洞为Linux内核漏洞。在 云安全中心控制台 风险治理>漏洞管理 的 Linux软件漏洞 页签,该漏洞的漏洞公告信息中有 需要重启 的标签。内核漏洞...
公共镜像已知问题
SUSE Linux Enterprise Server 12 SP5 内核升级可能导致启动hang的问题 其他问题 部分高版本内核系统在部分实例规格上启动时可能出现Call Trace 高主频通用型实例规格族hfg6与部分Linux内核版本存在兼容性问题导致panic pip操作时的超时...
内核热补丁概述
Alibaba Cloud Linux为内核的高危安全漏洞(CVE)以及重要的错误修复(Bugfix)提供了热补丁支持,您无需重启服务器即可对操作系统内核更新补丁,以获取内核的稳定与安全。本文主要介绍内核热补丁以及内核热补丁的优势与限制。功能简介 您...
Alibaba Cloud Linux常见问题
与CentOS及RHEL相比,Alibaba Cloud Linux 2的优势体现在:满足您的操作系统新特性诉求,更快的发布节奏,更新的Linux内核、用户态软件及工具包。开箱即用,最简用户配置,最短时间服务就绪。最大化用户性能收益,与云基础设施联动优化。与...
操作系统Alibaba Cloud Linux 2(停止维护)
资源监控和控制能力优化 Alibaba Cloud Linux 2的内核提供了针对容器场景的PSI压力模型、per-cgroup kswapd、Memory Priority等的细粒度可视化和控制能力。在Alibaba Cloud Linux 2的ACK集群中我们可以通过CGroup Controller来利用这些能力...
修复漏洞CVE-2020-14386的公告
Alibaba Cloud Linux 2的官方公告请参见 漏洞公告|Linux内核漏洞(CVE-2020-14386)。Alibaba Cloud Linux 2.1903安全漏洞修复信息,请参见 Security Advisories。防范措施 在容器应用中通过securityContext删除CAP_NET_RAW权限,从而可以...
Alibaba Cloud Linux常见问题
与CentOS及RHEL相比,Alibaba Cloud Linux 2的优势体现在:满足您的操作系统新特性诉求,更快的发布节奏,更新的Linux内核、用户态软件及工具包。开箱即用,最简用户配置,最短时间服务就绪。最大化用户性能收益,与云基础设施联动优化。与...
Alibaba Cloud Linux 2系统的ECS实例内核日志存在...
本文为您介绍Alibaba Cloud Linux 2系统的ECS实例内核日志存在“integrity:Unable to open file”信息的原因及解决方案。问题描述 符合如下条件的Alibaba Cloud Linux 2实例的内核日志(执行 dmesg 命令查看日志)中存在类似如下的提示信息...
修改TCP TIME-WAIT超时时间
在Linux的内核中,TCP/IP协议的TIME-WAIT状态持续60秒且无法修改。但在某些场景下,例如TCP负载过高时,适当调小该值有助于提升网络性能。因此Alibaba Cloud Linux 2(内核版本 4.19.43-13.al7 开始)和Alibaba Cloud Linux 3新增内核接口...
Group Identity功能说明
背景信息 在业务的混合部署(延迟敏感型和计算型任务混合部署在同一台实例)场景中,Linux内核调度器需要为高优先级任务赋予更多的调度机会以最小化调度延迟,并需要把低优先级任务对内核调度带来的影响降到最低。基于该场景,Alibaba ...
如何避免因cgroup引起的应用性能抖动?
[k]mem_cgroup_usage.part.43 1.75%[kernel][k]find_next_bit 1.38%[kernel][k]mem_cgroup_node_nr_lru_pages 从分析结果中,可得出Linux内核运行时间大多集中在 memcg_stat_show 函数,这是由于memory对应的cgroup数量过多,系统在遍历...
NFS v4.x版本中可能存在的已知问题
解决方案 该问题已在Alibaba Cloud Linux 2内核 4.19.30-10.al7 及以上版本中修复。由于该问题出现概率极低,您可根据实际需要按照以下步骤升级内核版本修复该问题。重要 升级内核版本可能会导致系统无法开机等风险,请谨慎操作。升级内核...
在Linux系统的ECS实例中设置从阿里云默认内核启动
问题原因 Linux系统的ECS实例内核是经过特殊编译处理的,兼容底层虚拟化驱动,如果误升级了内核后会导致不可预测的问题发生。解决方案 说明 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。如果...
Block IO限流增强监控接口
为了更方便地监控Linux block IO限流,Alibaba Cloud Linux 2(内核版本 4.19.81-17.al7 开始)和Alibaba Cloud Linux 3增加相关接口,用于增强block IO限流的监控统计能力。本文主要介绍新增接口及使用示例。背景信息 很多场景中您会用到...
在cgroup v1接口开启CPU Burst功能
Alibaba Cloud Linux 2(内核版本 4.19.91-22.al7 开始)和Alibaba Cloud Linux 3为cgroup v1接口提供了CPU Burst功能。CPU Burst功能允许容器被CPU限流时,突发使用CPU资源,进而提升容器性能、降低系统的延迟指标。本文介绍如何在cgroup ...
在cgroup v1接口开启PSI功能
在Linux的内核中PSI功能只支持cgroup v2接口。为了您在使用cgroup v1接口时,也可以通过PSI功能监控CPU、内存及IO性能异常等信息。Alibaba Cloud Linux 2(内核版本 4.19.81-17.al7 开始)和Alibaba Cloud Linux 3为cgroup v1接口提供了PSI...
如何修改Linux系统内核的引导顺序
CentOS6.X系统更改内核启动顺序 通过 使用管理终端连接Linux实例 远程连接ECS实例,查看/etc/grub.conf 文件,确认系统内核的情况,如下图所示系统存在2个内核的现象。从上往下内核版本依次是2.6.32-573.18.1.el6.x86_64和2.6.32-431.23.3....
安装virtio驱动
uname-r 前往 Linux内核列表页面 查看对应的内核版本源码的下载地址。如下图示例中的4.4.24开头的 linux-4.4.24.tar.gz 的下载地址为 https://www.kernel.org/pub/linux/kernel/v4.x/linux-4.4.24.tar.gz。运行以下命令,切换目录。cd/usr/...
- 产品推荐
- 这些文档可能帮助您