.\" -*- coding: UTF-8 -*- .\" Copyright (c) 2006, 2008 by Michael Kerrisk .\" .\" SPDX-License-Identifier: Linux-man-pages-copyleft .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH core 5 "3 мая 2023 г." "Linux man\-pages 6.05.01" .SH ИМЯ core \- файла дампа памяти процесса .SH ОПИСАНИЕ The default action of certain signals is to cause a process to terminate and produce a \fIcore dump file\fP, a file containing an image of the process's memory at the time of termination. This image can be used in a debugger (e.g., \fBgdb\fP(1)) to inspect the state of the program at the time that it terminated. A list of the signals which cause a process to dump core can be found in \fBsignal\fP(7). .PP Процесс может установить свой программный предел ресурса \fBRLIMIT_CORE\fP в максимальное значение по размеру файла дампа, который будет создан, если процесс получит сигнал "дампа памяти"; подробней смотрите в \fBgetrlimit\fP(2). .PP Есть несколько обстоятельств, при которых файл дампа памяти не создаётся: .IP \[bu] 3 У процесса нет прав на запись файла дампа (по умолчанию файл дампа называется \fIcore\fP или \fIcore.pid\fP, где \fIpid\fP — ID процесса из которого делается дамп, и создаётся в текущем рабочем каталоге. Подробней об именовании смотрите далее). Запись файла дампа завершается ошибкой, если каталог, в котором он создаётся, недоступен для записи, или если файл с таким же именем уже существует и недоступен для записи или это необычный файл (например, это каталог или символьная ссылка). .IP \[bu] Существует файл (обычный, доступный на запись) с именем, которое будет использовано для дампа памяти, но есть более одной жёсткой ссылки на этот файл. .IP \[bu] Файловая система, где должен быть создан файл дампа, переполнена, закончились иноды, она смонтирована только для чтения, достигнут предел пользовательской квоты. .IP \[bu] Каталог, в котором должен быть создан файл дампа, не существует. .IP \[bu] The \fBRLIMIT_CORE\fP (core file size) or \fBRLIMIT_FSIZE\fP (file size) resource limits for the process are set to zero; see \fBgetrlimit\fP(2) and the documentation of the shell's \fIulimit\fP command (\fIlimit\fP in \fBcsh\fP(1)). However, \fBRLIMIT_CORE\fP will be ignored if the system is configured to pipe core dumps to a program. .IP \[bu] The binary being executed by the process does not have read permission enabled. (This is a security measure to ensure that an executable whose contents are not readable does not produce a\[em]possibly readable\[em]core dump containing an image of the executable.) .IP \[bu] .\" FIXME . Perhaps relocate discussion of /proc/sys/fs/suid_dumpable .\" and PR_SET_DUMPABLE to this page? Процесс выполняет программу с установленными битом set\-user\-ID (set\-group\-ID), который принадлежит пользователю (группе) не совпадающей с ID реального пользователя (группы) процесса или процесс выполняется программу, имеющую файловые мандаты (смотрите \fBcapabilities\fP(7)). Однако посмотрите описание операции \fBprctl\fP(2) \fBPR_SET_DUMPABLE\fP, и описание файла \fI/proc/sys/fs/suid_dumpable\fP в \fBproc\fP(5). .IP \[bu] Файл \fI/proc/sys/kernel/core_pattern\fP пуст и \fI/proc/sys/kernel/core_uses_pid\fP содержит 0 (эти файлы описаны ниже). Заметим, что если \fI/proc/sys/kernel/core_pattern\fP пуст и \fI/proc/sys/kernel/core_uses_pid\fP содержит 1, то файлы дампа будет иметь имена в виде \fI.pid\fP, а такие файлы не показываются при использовании \fBls\fP(1) с параметром \fI\-a\fP. .IP \[bu] .\" commit 046d662f481830e652ac34cd112249adde16452a (начиная с Linux 3.7) Ядро настроено без параметра \fBCONFIG_COREDUMP\fP. .PP Также, дамп память может не содержать часть адресного пространства процесса, если в \fBmadvise\fP(2) указан флаг \fBMADV_DONTDUMP\fP. .PP .\" В системах, использующих \fBsystemd\fP(1) в качестве \fIinit\fP, файлы дампа могут помещаться в каталог, задаваемый \fBsystemd\fP(1). Подробности смотрите далее. .SS "Именование файлов дампов памяти" По умолчанию, файлу с дампом памяти присваивается имя \fIcore\fP, но с помощью файла \fI/proc/sys/kernel/core_pattern\fP (начиная с Linux 2.6 и 2.4.21) можно задать шаблон, который будет использован для именования файлов дампов памяти. Шаблон может содержать описатели %, которые заменяются на следующие значения при создании файла дампа: .PP .RS 4 .PD 0 .TP 4 %% Одиночный символ %. .TP %c Программный предел размера файла дампа рухнувшего процесса (начиная с Linux 2.6.24). .TP %d .\" Added in git commit 12a2b4b2241e318b4f6df31228e4272d2c2968a1 Dump mode\[em]same as value returned by \fBprctl\fP(2) \fBPR_GET_DUMPABLE\fP (since Linux 3.7). .TP %e The process or thread's \fIcomm\fP value, which typically is the same as the executable filename (without path prefix, and truncated to a maximum of 15 characters), but may have been modified to be something different; see the discussion of \fI/proc/\fPpid\fI/comm\fP and \fI/proc/\fPpid\fI/task/\fPtid\fI/comm\fP in \fBproc\fP(5). .TP %E Pathname of executable, with slashes (\[aq]/\[aq]) replaced by exclamation marks (\[aq]!\[aq]) (since Linux 3.0). .TP %g Numeric real GID of dumped process. .TP %h Имя узла (как \fInodename\fP, возвращаемое \fBuname\fP(2)). .TP %i .\" commit b03023ecbdb76c1dec86b41ed80b123c22783220 TID нити, из\-за которой возник дамп, по отношению к пространству имён PID, в котором располагается нить (начиная с Linux 3.18). .TP %I .\" commit b03023ecbdb76c1dec86b41ed80b123c22783220 TID нити, из\-за которой возник дамп, по отношению к начальному пространству имён PID (начиная с Linux 3.18). .TP %p PID процесса, с которого делается дамп, так как он видится в пространстве имён PID, котором расположен процесс. .TP %P .\" Added in git commit 65aafb1e7484b7434a0c1d4c593191ebe5776a2f initial PID процесса, с которого делается дамп, так как он видится в первоначальном пространстве имён PID, котором расположен процесс (начиная с Linux 3.12). .TP %s Номер сигнала, вызвавшего создание дампа. .TP %t Время дампа, выражается в секундах с начала эпохи, 1970\-01\-01 00:00:00 +0000 (UTC). .TP %u Numeric real UID of dumped process. .PD .RE .PP A single % at the end of the template is dropped from the core filename, as is the combination of a % followed by any character other than those listed above. All other characters in the template become a literal part of the core filename. The template may include \[aq]/\[aq] characters, which are interpreted as delimiters for directory names. The maximum size of the resulting core filename is 128 bytes (64 bytes before Linux 2.6.19). The default value in this file is "core". For backward compatibility, if \fI/proc/sys/kernel/core_pattern\fP does not include \fI%p\fP and \fI/proc/sys/kernel/core_uses_pid\fP (see below) is nonzero, then .PID will be appended to the core filename. .PP Пути рассматриваются согласно активным настройкам для падающего процесса. Имеется в виду пространство имён монтирования падающего процесса (смотрите \fBmount_namespaces\fP(7)), его текущий рабочий каталог (находимый с помощью \fBgetcwd\fP(2)) и его корневой каталог (смотрите \fBchroot\fP(2)). .PP Since Linux 2.4, Linux has also provided a more primitive method of controlling the name of the core dump file. If the \fI/proc/sys/kernel/core_uses_pid\fP file contains the value 0, then a core dump file is simply named \fIcore\fP. If this file contains a nonzero value, then the core dump file includes the process ID in a name of the form \fIcore.PID\fP. .PP .\" 9520628e8ceb69fa9a4aee6b57f22675d9e1b709 Since Linux 3.6, if \fI/proc/sys/fs/suid_dumpable\fP is set to 2 ("suidsafe"), the pattern must be either an absolute pathname (starting with a leading \[aq]/\[aq] character) or a pipe, as defined below. .SS "Передача дампов памяти в программу через канал" Since Linux 2.6.19, Linux supports an alternate syntax for the \fI/proc/sys/kernel/core_pattern\fP file. If the first character of this file is a pipe symbol (\fB|\fP), then the remainder of the line is interpreted as the command\-line for a user\-space program (or script) that is to be executed. .PP .\" commit 315c69261dd3fa12dbc830d4fa00d1fad98d3b03 Since Linux 5.3.0, the pipe template is split on spaces into an argument list \fIbefore\fP the template parameters are expanded. In earlier kernels, the template parameters are expanded first and the resulting string is split on spaces into an argument list. This means that in earlier kernels executable names added by the \fI%e\fP and \fI%E\fP template parameters could get split into multiple arguments. So the core dump handler needs to put the executable names as the last argument and ensure it joins all parts of the executable name using spaces. Executable names with multiple spaces in them are not correctly represented in earlier kernels, meaning that the core dump handler needs to use mechanisms to find the executable name. .PP Instead of being written to a file, the core dump is given as standard input to the program. Note the following points: .IP \[bu] 3 Программа должна быть задана абсолютным именем файла (или путём относительно корневого каталога, \fI/\fP), и имя должна сразу следовать за символом «|». .IP \[bu] В аргументах командной строки могут быть описатели %, перечисленные ранее. Например, чтобы передать PID процесса, для которого делается дамп, укажите в аргументе \fI%p\fP. .IP \[bu] Создаваемый процесс для запуска программы будет выполняться с правами группы и пользователя \fIroot\fP. .IP \[bu] При выполнении с правами \fIroot\fP не делается никаких исключений по обходу безопасности. А именно, LSM (например, SELinux) работает как обычно и может не дать обработчику доступ к информации упавшего процесса через \fI/proc/\fPpid. .IP \[bu] Путь к программе рассматривается с учётом начального пространства имён монтирования, так как она всегда выполняется в нём. На это не влияют настройки (например, корневой каталог, пространство имён монтирования, текущий рабочий каталог) падающего процесса. .IP \[bu] Процесс выполняется в начальных пространствах имён (PID, монтирования, пользовательском и т. д.), а не в пространствах имён падающего процесса. Он может использовать описатели, например \fI%P\fP, для нахождения правильного каталога \fI/proc/\fPpid и, если нужно, протестировать/войти в пространства имён падающего процесса. .IP \[bu] Процесс запускается с корневым каталогом, равным своему текущему рабочему каталогу. Если нужно, то возможно изменить его на рабочий каталог выполняющего дамп процесса воспользовавшись значением описателя \fI%P\fP для изменения расположения выполняющего дамп процесса через \fI/proc/\fPpid\fI/cwd\fP. .IP \[bu] Программе можно передать аргументы командной строки (начиная с Linux 2.6.24), отделяя их пробелами (максимальный размер строки 128 байт). .IP \[bu] .\" Ограничение \fBRLIMIT_CORE\fP не применяется к файлам дампа, которые передаются по каналу в программу через этот механизм. .SS /proc/sys/kernel/core_pipe_limit При отправке дампов памяти через канал в программу пользовательского пространства может быть полезным для собирающей программы получать данные о падающем процессе из каталога процесса \fI/proc/\fPpid. Для безопасного выполнения ядро должно дождаться завершения собирающей программы, и не удалять файлы падающего процесса \fI/proc/\fPpid. Это, в свою очередь, создаёт возможность того, что неправильно работающая собирающая программа может заблокировать очистку упавшего процесса просто никогда не завершаясь. .PP .\" commit a293980c2e261bd5b0d2a77340dd04f684caff58 Начиная с Linux 2.6.32, для защиты от этого можно использовать файл \fI/proc/sys/kernel/core_pipe_limit\fP. Значением файла задаётся количество одновременно падающих процессов, которые можно передавать через канал программе из пространства пользователя параллельно. Если это значение превышено, то для выходящих за это ограничение падающих процессов ядро пишет сообщение в лог, а дампы памяти не передаёт. .PP .\" Значение файла 0 является специальным. Оно означает, что параллельно можно пересылать бесконечное количество процессов, но ожидание при это не происходит (т. е., собирающей программе не гарантируется доступ к \fI/proc/\fP). Значение по умолчанию для файла равно 0. .SS "Управление отображениями, записываемыми в дамп памяти" Since Linux 2.6.23, the Linux\-specific \fI/proc/\fPpid\fI/coredump_filter\fP file can be used to control which memory segments are written to the core dump file in the event that a core dump is performed for the process with the corresponding process ID. .PP Значение в файле является битовой маской типов отображений памяти (см. \fBmmap\fP(2)). Если бит в маске установлен, то выполняется дамп отображения памяти соответствующего типа; иначе дамп не выполняется. Биты в этом файле имеют следующее значение: .PP .PD 0 .RS 4 .TP бит 0 Выполнять дамп анонимных частных отображений. .TP бит 1 Выполнять дамп анонимных общих отображений. .TP бит 2 Выполнять дамп частных отображений из виртуальной памяти (file\-backed). .TP бит 3 .\" file-backed shared mappings of course also update the underlying .\" mapped file. Выполнять дамп общих отображений из виртуальной памяти (file\-backed). .TP бит 4 (начиная с Linux 2.6.24) Выполнять дамп заголовков ELF. .TP бит 5 (начиная с Linux 2.6.28) Выполнять дамп частных огромных страниц. .TP бит 6 (начиная с Linux 2.6.28) Выполнять дамп общих огромных страниц. .TP бит 7 (начиная с Linux 4.4) .\" commit ab27a8d04b32b6ee8c30c14c4afd1058e8addc82 Выполнять дамп частных страниц DAX. .TP бит 8 (начиная с Linux 4.4) .\" commit ab27a8d04b32b6ee8c30c14c4afd1058e8addc82 Выполнять дамп общих страниц DAX. .RE .PD .PP По умолчанию, установлены следующие биты: 0, 1, 4 (если включён параметр настройки ядра \fBCONFIG_CORE_DUMP_DEFAULT_ELF_HEADERS\fP) и 5. Данное значение может быть изменено при запуске системы через параметр загрузки \fIcoredump_filter\fP. .PP Значения этого файла отображается в шестнадцатеричной системе счисления (то есть значение по умолчанию выглядит как 33). .PP Для страниц ввода\-вывода, отображённых в память, таких как фрейм\-буфер, дамп никогда не выполняется, а виртуальные страницы DSO (\fBvdso\fP(7)) попадают в дамп всегда, независимо от значения \fIcoredump_filter\fP. .PP Дочерний процесс, созданный \fBfork\fP(2), наследует значение \fIcoredump_filter\fP родителя; значение \fIcoredump_filter\fP сохраняется и при \fBexecve\fP(2). .PP Полезно указывать значение \fIcoredump_filter\fP в родительской оболочке до запуска программы, например: .PP .in +4n .EX $\fB echo 0x7 > /proc/self/coredump_filter\fP $\fB ./какая\-то_программа\fP .EE .in .PP .\" Этот файл есть в системе только, если ядро было собрано с параметром настройки \fBCONFIG_ELF_CORE\fP. .SS "Файлы дампа и systemd" В системах с \fBsystemd\fP(1) в качестве \fIinit\fP файлы дампа могут помещаться в каталог, определяемый \fBsystemd\fP(1). Для этого \fBsystemd\fP(1) использует свойство \fIcore_pattern\fP, которое позволяет передавать дампы программе по каналу. Это происходит, если файлы дампа передаются по каналу в программу \fBsystemd\-coredump\fP(8): .PP .in +4n .EX $ \fBcat /proc/sys/kernel/core_pattern\fP |/usr/lib/systemd/systemd\-coredump %P %u %g %s %t %c %e .EE .in .PP В этом случае файлы дампа будут помещаться согласно настройкам \fBsystemd\-coredump\fP(8), обычно в виде сжатых \fBlz4\fP(1) файлов в каталог \fI/var/lib/systemd/coredump/\fP. Список файлов дампа, записанных \fBsystemd\-coredump\fP(8), можно получить с помощью \fBcoredumpctl\fP(1): .PP .EX $ \fBcoredumpctl list | tail \-5\fP Wed 2017\-10\-11 22:25:30 CEST 2748 1000 1000 3 present /usr/bin/sleep Thu 2017\-10\-12 06:29:10 CEST 2716 1000 1000 3 present /usr/bin/sleep Thu 2017\-10\-12 06:30:50 CEST 2767 1000 1000 3 present /usr/bin/sleep Thu 2017\-10\-12 06:37:40 CEST 2918 1000 1000 3 present /usr/bin/cat Thu 2017\-10\-12 08:13:07 CEST 2955 1000 1000 3 present /usr/bin/cat .EE .PP Информация, показываемая для каждого дампа включает дату и время дампа, PID, UID и GID процесса дампа, номер сигнала, вызвавшего дамп, и путь к исполняемому файлу, который был запущен процессом дампа. Различные параметры \fBcoredumpctl\fP(1) позволяют выбрать файл coredump, который нужно записать из расположения \fBsystemd\fP(1), в заданный файл. Например, чтобы извлечь дамп для PID 2955, показанного выше, в файл с именем \fIcore\fP в текущий каталог, сделайте следующее: .PP .in +4n .EX $ \fBcoredumpctl dump 2955 \-o core\fP .EE .in .PP Подробную информацию смотрите в справочной странице \fBcoredumpctl\fP(1). .PP To (persistently) disable the \fBsystemd\fP(1) mechanism that archives core dumps, restoring to something more like traditional Linux behavior, one can set an override for the \fBsystemd\fP(1) mechanism, using something like: .PP .in +4n .EX # \fBecho "kernel.core_pattern=core.%p" > \e\fP \fB/etc/sysctl.d/50\-coredump.conf\fP # \fB/lib/systemd/systemd\-sysctl\fP .EE .in .PP It is also possible to temporarily (i.e., until the next reboot) change the \fIcore_pattern\fP setting using a command such as the following (which causes the names of core dump files to include the executable name as well as the number of the signal which triggered the core dump): .PP .in +4n .EX # \fBsysctl \-w kernel.core_pattern="%e\-%s.core"\fP .EE .in .\" .SH ЗАМЕЧАНИЯ Команду \fBgdb\fP(1) \fIgcore\fP можно использовать для получения дампа памяти работающего процесса. .PP .\" Changed with commit 6409324b385f3f63a03645b4422e3be67348d922 .\" Always including the PID in the name of the core file made .\" sense for LinuxThreads, where each thread had a unique PID, .\" but doesn't seem to serve any purpose with NPTL, where all the .\" threads in a process share the same PID (as POSIX.1 requires). .\" Probably the behavior is maintained so that applications using .\" LinuxThreads continue appending the PID (the kernel has no easy .\" way of telling which threading implementation the user-space .\" application is using). -- mtk, April 2006 В версии Linux до 26.27 включительно, если для многонитевого процесса (или, точнее, процесса, который делит свою памяти с другим процессом, созданным с флагом \fBCLONE_VM\fP через \fBclone\fP(2)) выполняется дамп памяти, то ID процесса всегда добавляется к имени файла дампа, если ID процесса уже не включён в это имя с помощью \fI%p\fP в \fI/proc/sys/kernel/core_pattern\fP (это, главным образом, полезно когда применяется устаревшая реализация LinuxThreads, где каждая нить процесса имеет свой PID). .SH ПРИМЕРЫ Эта программа может использоваться для демонстрации синтаксиса канала в файле \fI/proc/sys/kernel/core_pattern\fP. Следующий сеанс оболочки демонстрирует использование данной программы (при компиляции был создан исполняемый файл с именем \fIcore_pattern_pipe_test\fP): .PP .in +4n .EX $\fB cc \-o core_pattern_pipe_test core_pattern_pipe_test.c\fP $\fB su\fP Password: #\fB echo \[dq]|$PWD/core_pattern_pipe_test %p UID=%u GID=%g sig=%s\[dq] > \e\fP \fB/proc/sys/kernel/core_pattern\fP #\fB exit\fP $\fB sleep 100\fP \fB\[ha]\e\fP # type control\-backslash Quit (core dumped) $\fB cat core.info\fP argc=5 argc[0]= argc[1]=<20575> argc[2]= argc[3]= argc[4]= Total bytes in core dump: 282624 .EE .in .SS "Исходный код программы" \& .EX /* core_pattern_pipe_test.c */ \& #define _GNU_SOURCE #include #include #include #include #include #include \& #define BUF_SIZE 1024 \& int main(int argc, char *argv[]) { ssize_t nread, tot; char buf[BUF_SIZE]; FILE *fp; char cwd[PATH_MAX]; \& /* Change our current working directory to that of the crashing process. */ \& snprintf(cwd, PATH_MAX, "/proc/%s/cwd", argv[1]); chdir(cwd); \& /* Write output to file "core.info" in that directory. */ \& fp = fopen("core.info", "w+"); if (fp == NULL) exit(EXIT_FAILURE); \& /* Display command\-line arguments given to core_pattern pipe program. */ \& fprintf(fp, "argc=%d\en", argc); for (size_t j = 0; j < argc; j++) fprintf(fp, "argc[%zu]=<%s>\en", j, argv[j]); \& /* Count bytes in standard input (the core dump). */ \& tot = 0; while ((nread = read(STDIN_FILENO, buf, BUF_SIZE)) > 0) tot += nread; fprintf(fp, "Total bytes in core dump: %zd\en", tot); \& fclose(fp); exit(EXIT_SUCCESS); } .EE .SH "СМ. ТАКЖЕ" \fBbash\fP(1), \fBcoredumpctl\fP(1), \fBgdb\fP(1), \fBgetrlimit\fP(2), \fBmmap\fP(2), \fBprctl\fP(2), \fBsigaction\fP(2), \fBelf\fP(5), \fBproc\fP(5), \fBpthreads\fP(7), \fBsignal\fP(7), \fBsystemd\-coredump\fP(8) .PP .SH ПЕРЕВОД Русский перевод этой страницы руководства был сделан Azamat Hackimov , Dmitriy S. Seregin , Dmitry Bolkhovskikh , Katrin Kutepova , Yuri Kozlov и Иван Павлов . .PP Этот перевод является бесплатной документацией; прочитайте .UR https://www.gnu.org/licenses/gpl-3.0.html Стандартную общественную лицензию GNU версии 3 .UE или более позднюю, чтобы узнать об условиях авторского права. Мы не несем НИКАКОЙ ОТВЕТСТВЕННОСТИ. .PP Если вы обнаружите ошибки в переводе этой страницы руководства, пожалуйста, отправьте электронное письмо на .MT man-pages-ru-talks@lists.sourceforge.net .ME .