Kcore linux как удалить

• /proc/kcore, igor, 07:04 , 10-Окт-03, (1)
• /proc/kcore, igor, 10:13 , 10-Окт-03, (2)
  • /proc/kcore, Cadaver, 10:59 , 10-Окт-03, (3)

kcore Этот файл отображает физическую память системы и
записывается в формате файла core. С помощью этого
псевдо-файла и ядра, из которого не убраны таблицы
символов (/usr/src/linux/tools/zSystem), можно
использовать GDB для проверки текущего состояния
любых структур ядра.

Полная длина этого файла — это размер физической
памяти (RAM) плюс 4KB.

linux.org.ru в поиске набери /kcore и в списке будет man(5) для /proc.
наслаждайся чтением.

Спасибо, оперативка у меня 512 МБ.
Просто было интересно, что это такое.
Учение — свет, неучение — тьма

Источник

Useful blog

Linux, Java, Python, Php, Javascript, FTP, SSH, HTTP, настройки, конфигурирование, администрирование и т.п. Всё, с чем приходится сталкиваться.

пятница, 19 ноября 2010 г.

/proc/kcore — что это такое, и как его удалить?

-r——— 1 root root 2.1G 2010-11-20 03:18 /proc/kcore

This file represents the physical memory of the system and is stored in the ELF core file format. With this pseudo-file, and an unstripped
kernel (/usr/src/linux/vmlinux) binary, GDB can be used to examine the current state of any kernel data structures.

The total length of the file is the size of physical memory (RAM) plus 4KB.

5 комментариев:

Предлагаем добавить ваш блог в наш каталог http://xn--h1aebjvk2d.xn--p1ai (http://линуксы.рф), мы собираем интересные ресурсы, никакой комерции и материальной заинтересованности. Цель — помочь линукс-блогерам и продвижению СПО.

Такая ситуация: размер физичский памяти 4Гб, а размер файла proc/kcore =140Гб .
Система Ubuntu 12.10 x64. Утечка дискового пространства произошла при работе Vuze- скачивался торрент размером 3Гб.
Как всё-таки удалить или привести в нормальный размер proc/kcore .

Как всё-таки удалить или привести в нормальный размер proc/kcore .

я поставил ubuntu на старый винт. Он всего 18 Гб, а файл proc/kcore занимает почти 14. Постоянно выскакивает сообщение о недостающей памяти в корневом диске. Можно как-то уменьшить этот файл?

Комментаторам выше: как я понимаю, можете не обращать на него внимания вообще. К примеру, на моей системе он занимает, не много, не мало, аж 128 Терабайт. Да у меня во всем доме столько, наверное, не наберется!)))

Источник

А вы довольны памятью своей Linux системы?

Ни для кого не секрет, что в Unix системах вся информация предоставляется в виде файлов.
В Linux есть файл /proc/kcore, который является «алиасом» на физическую память системы.
Мануалы говорят, что полная длина этого файла — это размер физической памяти (RAM) плюс 4KB, но повертев этот файл на разных системах я пришел к выводу, что размер файла равен размеру RAM + SWAP.
Аналогично этому файлу можно использовать устройства /dev/mem или /dev/kmem, но взаимодействие с ними в данном топике я не буду рассматривать.

Имея под рукой «слепок памяти», первое что захотелось проверить — можно ли использовать эту «память» для восстановления/получения паролей пользователей системы.
Непечатные символы нам для этой задачи не пригодятся точно, т.к. в паролях мы их использовать все равно не можем/не будем, поэтому используя команду strings мы можем от них избавиться, перегнав /proc/kcore в текстовый файл:
# strings /proc/kcore > /tmp/kdump

Подсчитаем количество получившихся строк
# wc -l /tmp/kdump
4438050 (данная цифра была получена на системе с 3 гигабайтами оперативной памяти)

при таком варианте запуска команды мы получаем очень много ненужных и неуникальных данных, добавим сортировку:
# strings /proc/kcore | sort -u > /tmp/kdump.uniq
# wc -l /tmp/kdump.uniq
3330526

Записей все равно много, давайте представим, что используемые пароли больше 6 символов — добавим ключик -n 6:
# strings -n 6 /proc/kcore | sort -u > /tmp/kdump.uniq.6
# wc -l /tmp/kdump.uniq.6
674397

Таким образом мы получили некий файл с некими данными, давайте попробуем его использовать в качестве словаря для программы john the ripper и посмотрим получится ли расшифровать пароли из файла /etc/shadow
# john —wordlist=/tmp/kdump.uniq.6 /etc/shadow
Loaded 5 password hashes with 5 different salts (FreeBSD MD5 [32/32])
.

Если аккаунты активны и для входа использовались пароли, а не ключи, то есть шанс расшифровать /etc/shadow с нашим свеженьким словарем.Из 5 машин, на которых я тестировал данную методологию удалось расшифровать 3 неизвестных мне пароля.

С помощью kcore можно получить много интересной информации, например обнаружение LKM руткитов или исполнение скрытых команд, предлагаю пообсуждать это в комментах 😉

P.S. ради эксперимента был написан свой парсер kcore, который в качестве параметров принимает минимальную и максимальную длину возможных паролей, если кому-то интересно, то могу выложить.

UPD: ниже исходник парсера, который был написан для тестов

#include
#include
#include
void usage( char * argv0)
<
printf( «Usage: %s [options] \n» ,argv0);
printf( «-m [MIN] minimal length of string (Default: 4)\n» );
printf( «-M [MAX] maximal length of string (Default: 12)\n» );
printf( » file that u want to dump\n» );
exit(1);
>
int main( int argc, char * argv[])
<
FILE *fp;
int arg, i, binvalid;
int MIN=4;
int MAX=12;
char pass[MAX+1],ch;
char * filename;
while ((arg = getopt(argc, argv, «m:M:» )) != EOF)
<
switch (arg)
<
case ‘m’ : MIN=atoi(optarg);
break ;
case ‘M’ : MAX=atoi(optarg);
break ;
default : usage(argv[0]);
break ;
>
>
if (optind >= argc)
<
usage(argv[0]);
>
filename = argv[optind];
fp=fopen(filename, «r» );
if (!fp)
<
printf( «ERROR: Unable open file: %s\n» ,filename);
return 1;
>
i=0;
do
<
ch=( char )fgetc(fp);
if (feof(fp)) break ;
if ( ch>33 && ch if (i>= MAX)
<
pass[i]= ‘\0’ ;
printf( «%s\n» ,pass);
i=0;
>
>
else
<
if (i>=MIN)
<
pass[i] = ‘\0’ ;
printf( «%s\n» ,pass);
>
i=0;
>
>
while (1);
fclose(fp);
>

Источник

Что съело жесткий диск?

1гб
Базы данных к нему

2гб
Настроена репликация, сервер выступает в качестве мастера. Бинарные логи занимают стабильно 32гб

В дополнение к вышесказанному:
Выполнял поиск файлов более 100мб

Сейчас это только базы, бинарные логи mysql и один очень странный (!) файл /proc/kcore который занимает 134217726 Мб на диске объемом 200 гб — Что О_о?

Выполнял поиск директорий, которые занимают больше остальных.
du -kx | egrep -v «\./.+/» | sort -n
Особо выделяется директория /chroot в самом корне, которая занимает кучу места. Внутри почти полная копия всей корневой директории, правда датировано все началом прошлого года.

Несколько вопросов:
Куда моментом могли пропасть эти 10 гб?
Куда вообще делись 150гб?
Что за странный файл, который по объему якобы в десятки раз больше жд?
Что можно поудалять?
Особенно интересует директория chroot, можно ли ее удалить и не повлияет ли это на что-то?

UPD:
Удалил бинлоги.
Вывод ncdu показывает, что занято только 8Gb

Срезы показали, что место на диске заканчивается, а размер директорий не увеличивается

Источник

/proc kcore файл огромен

После того, как вы столкнулись с DDOS-атакой, как-то /proc/kcore очень сильно, я использую небольшой класс php для проверки текущего дискового пространства и количества используемых.

Мой вопрос: безопасно ли удалить файл /proc/kcore ? Или есть решение по его нормальному размеру.

Размер файла /proc/kcore равен 140.737.486.266.368 байт

Я разместил свой сервер на DigitalOcean.

Если вам нужна дополнительная информация, пожалуйста, спросите;)

df -h возвращает:

du -shx возвращает:

Результаты lsof | grep deleted :

В ответ на ваш оригинальный вопрос:

“Сохраняется ли удаление файла /proc/kcore ? Или есть решение? на получение его до нормального размера.”

Нет, это не безопасно. Ну, я не хотел бы делать ставки, что бы произошло, если бы вы все равно удалили его!

Каталог /proc – это точка монтирования для procfs (запустите mount и посмотрите вывод, как показано ниже:)

procfs – это немного темной магии; никакие файлы в нем не являются реальными. Он выглядит как файловая система, действует как файловая система и является файловой системой. Но не тот, который хранится на диске (или в другом месте).

/proc/kcore В частности, это файл, который отображается непосредственно на каждый доступный байт в вашей виртуальной памяти… Я не совсем понимаю подробности; 128TB поставляется из Linux, выделяющего 47 бит бит из 64 бит, доступных для виртуальной памяти.

В любом случае, откладывая ограничения Linux на жестком диске Linux, мы понимаем в контексте вашего вопроса следующее: /proc/kcore – это системный файл, предоставляемый файловой системой виртуальных файлов procfs, и не является реальным файлом.

Обновление: 2016-06-03

Мой ответ здесь периодически повторяется, поэтому я предполагаю, что люди все еще ищут объяснение того, что /proc/kcore .

Там есть полезная статья в Википедии под названием Все это файл, который дает немного фона. Если вам действительно интересно – загляните в Plan9 OS.

Надеюсь, мой оригинальный ответ достаточно объясняет сам kcore . Я предполагаю, что людям, читающим этот ответ, может быть интересно узнать о других файлах в /proc тоже – вот некоторые другие “интересные” примеры.

/proc/sys/* – это механизм для пользователя (вас) для чтения/записи деталей из ядра Linux (ядро и связанные с ним драйверы и т.д.). Симпатичным примером элемента r/w является “ пересылка IP“:

Чтение: cat /proc/sys/net/ipv4/ip_forward ( 0 выключено, 1 включено)

Пишите: echo 1 > /proc/sys/net/ipv4/ip_forward

Как и в случае с kcore , это не настоящий файл. Но он действует как один. Поэтому, когда вы пишете на него, вы фактически меняете настройки программного обеспечения, а не байты на диске.

/proc/meminfo и /proc/cpuinfo доступны только для чтения. Вы можете cat или less их, или fopen() из своего собственного приложения. Они показывают вам детали вашего оборудования (память и процессор).

/proc/3+ – это фактически идентификаторы процессов на вашем компьютере! Это (IMHO), безусловно, самая крутая особенность /proc . Внутри них вы найдете больше поддельных файлов, таких как cmdline , которые расскажут вам, какая команда была использована для запуска процесса.

Наконец, есть еще несколько примеров “интересных файловых систем”, например /proc . Есть чисто в памяти и “user-space” чтобы назвать только два. Опять же, эти (вообще говоря) не потребляют никакого реального дискового пространства, хотя такие инструменты, как df и ls , могут сообщать о реальных размерах файлов.

Полностью безопасно запускать команду sudo rm/proc/kcore . Он просто скажет rm: cannot remove ‘/proc/kcore’: Operation not permitted .

Все файлы в /proc самом деле не существуют на вашем жестком диске, поэтому их нельзя удалить. Эти файлы представляют информацию о системе. Например, когда вы выполняете ls/proc , вы запрашиваете ядро для списка процессов в системе. Если вы запустите ls -l/proc/22/exe , вы запрашиваете ядро путь к файлу исполняемого файла процесса 22. И так далее.

Похоже, вам нужно очистить диск от файлов, которые удалены, но зарезервированы. Вы можете использовать команду ‘tune2fs’ с чем-то вроде:

Это должно освободить зарезервированное пространство блока и предоставить вам доступ к зарезервированному дисковому пространству привилегированных процессов. Обратите внимание, что 1 – это процент, который впоследствии будет выделен привилегированным процессам, делайте это только в том случае, если у вас достаточно дискового пространства для критических процессов, таких как syslog или ssh.

ПРИМЕЧАНИЕ. Вы никогда не получите свободного места на диске, удалив файлы из /proc. Это виртуальная файловая система, которая не имеет ничего общего с пространством на жестком диске.

пожалуйста, проверьте ваше пространство файла журнала. Я удалил все журналы ошибок и получил доступ к файлам журналов, и мой сайт работает.

Используйте эту команду, чтобы проверить, какая папка занимает больше места.

Источник

Вам также может понравиться

Windows или Linux: Что лучше выбрать?

Есть много причин выбирать между Windows и Linux, но

Файл владелец изменить linux

Команда Chown в Linux Chown Command in Linux (File

Установка шлюза по умолчанию linux

Настройка сети вручную Содержание Краткое описание

Чем разбить диск для linux

ИТ База знаний Курс по Asterisk Полезно — Узнать IP —