十八個“盜夢圖騰”助你擺脫運維“夢魘”
利用中秋小假,我觀看了最近備受熱議的電影《盜夢空間》。影片中的盜夢團隊筑造的夢中夢體現了復雜邏輯的魅力。該電影所引發的熱議甚至比起電影本身更精彩。雖然現實中人不需要防御“盜夢者”,但是計算機系統卻是隨處可遇“盜夢者”,那么作為系統管理員究竟該如何抵御這些“盜夢者”呢?
首先允許我先介紹下《盜夢空間》這部電影的主要內容:《盜夢空間》是由《黑暗騎士》導演克里斯托夫·諾蘭執導,萊昂納多主演的一部具有很強邏輯思維和數學理論為基墊的電影。主要講男主角科布(萊昂納多飾)領導的盜夢團隊筑造了一個夢中夢(共有4層夢境),目的是將一個思想注入能源大亨繼承人費舍爾(希里安·墨菲飾演)的頭腦中,讓其放棄繼承龐大的遺產。
▲電影《盜夢空間》宣傳海報
有資深影迷評論稱,影片中的多重夢境實際上是利用程序算法中的遞歸思維。假設做夢是一個函數Dream(),那么夢中夢就是該函數的遞歸調用。比起一般的遞歸調用來,該程序的特殊之處是,它是一個多線程的遞歸調用,也即是說每一次遞歸都會新建一個線程來執行函數體。因此該遞歸函數有兩種結束機制,一種是wait超時(藥物失效),另一種是由其調用函數來結束(kick)。這就好比影片中,當需要進入下一層夢境,就必須注入藥物,當需要返回上一層夢境,就必須以自殺形式結束。
而由于硬件平臺所限,該遞歸只能進行四層,因為每次遞歸都需要消耗系統資源,所以遞歸深一層,系統運行就越慢(夢境每深一層,時間就變慢20倍)。一旦在第四層的時候資源耗盡(做夢者生命耗盡),就會產生棧溢出,因此線程就會進入僵死狀態(limbo狀態)。而一旦將運行超時時間設置得過長(強力鎮靜藥物),則會導致子線程運行過長從而耗盡資源。此時如果子線程還沒有被上層調用函數強制結束(撞擊),則會被detach(在夢中死去),因此進入僵死狀態(進入limbo狀態)。而為什么多層次的夢喚醒需要同步撞擊呢,這就跟我們析構一個含有指針的STL容器一樣,如果不遵守順序,那么就會出現容器被析構而指針內容還在從而發生內存泄露的問題。
總的來說整個電影的夢中夢的營造就是利用多重遞歸的三個操作:入棧(pushing),彈出(popping)、堆棧(stacks)。其中“入棧”就是暫停手頭工作、標記停止地點、開始另一項工作,新工作比原工作要“低一個層次”。“彈出”就是結束低層次的工作、在上一層次暫停的地方恢復原工作。“堆棧”用來記錄暫停地點的環境信息。例如接電話過程中有新電話進來,于是暫停第一個電話開始接第二個電話,不一會又暫停第二個電話來接第三個電話……堆棧可以記錄你結束當前電話后該回到第幾個電話、該電話是誰打來的、暫停時你們談到哪兒了。人們很容易在多重嵌套中迷失,這時候堆棧的作用就很重要。只要堆棧記錄準確,我們就不會搞混各種層次。
顯然,《盜夢空間》中多重嵌套的夢就是“遞歸”,入夢機器負責“推入”,穿越操作用來“彈出”,每層夢中留守的人就是“堆棧”,負責維持現場環境以確保成功穿越。
作為一個盜夢團隊,盜夢的目的其實跟計算機安全中的緩沖區溢出攻擊是同理的,也就是利用程序漏洞(人的性格弱點),向其地址空間對應于人的頭腦)植入可執行代碼(想法),從而可以在對方的系統(大腦)中執行自己的特權指令(解散Fisher的公司)。
盜夢巧妙的應用了程序設計思想,同時也證明了再完善的系統也是存在漏洞的的,只有全面了解你的系統才能做好充足的安全防御工作,而系統監控就是安全防御的第一步,接下來就向大家介紹10款優秀的監控工具、以及常用內存監控和系統性能監控工具。
#p#
為確保公司的服務器穩定的運轉,只是抱著“服務器不要出故障”的希望是沒用的,我們需要時刻了解服務器的狀況。
一位國外的技術博主在博客上介紹了他認為不錯的十個服務器監控工具。這一些列工具可以監控到服務器方方面面的信息,從運行時間、性能到安全,甚至到服務器所處的物理環境指數。基本上通過這些工具,你可以了解到服務器可能會出現什么問題,并在問題出現之前解決它們。
1. Pingdom
▲
Pingdom可以監測運行時間和整體性能,并生成便于閱讀的表格和圖表。Pingdom提供iPhone應用版本,如果沒有iPhone,則可以使用email和短信警告的功能。
2. Dotcom-Monitor
▲
Dotcom-Monitor是一個增強的網站監控服務,這個服務可以延長你的服務器運行時間。這個服務提供實時的以及email的報告和圖表,并可以指定將警告發給哪些特定的負責人。Dotcom-Monitor支持多用戶、多權限的功能。
3. McAfee Secure
▲
McAfee Secure監測服務器的潛在安全漏洞,防止網站的訪問者遭遇身份泄露、惡意軟件、垃圾郵件、病毒等不良事物。McAfee Secure將會每天檢查你的網站。
4. Webmetrics GlobalWatch
▲
GlobalWatch監測網站、互聯網應用和服務的情況,包括宕機時間、服務器錯誤、性能低下的原因等問題的識別與分析,并提供性能測量的詳細報告以及靈活的警告功能。這個強大的工具支持Web 2.0,AJAX以及Flash和Java等嵌入式應用,并可以真實向你反應美國、亞洲、非洲和歐洲等地區的用戶訪問你網站的情況。
5. Nimsoft Monitoring Solutions(NMS)
▲
NMS監控服務器以及之上配置的應用。從CPU到內存、事件日志、打印任務和隊列等全部核心資源都被詳細的監控。NMS的安裝很快捷,程序本身是輕量級的(你可以只安裝你需要的組件),而且有良好的伸縮性(你可以同時監控上百乃至上千的服務器)。NMS控制臺的界面也相當簡潔明了。
6. Solarwinds Orion Network Performance Monitor(NPM)
▲
Orion NPM可以確保你的每臺服務器都以100%的效率運行,同時監控網絡上所有的路由器、交換機以及無線連接點的情況。這個軟件安裝便捷,而上百技術支持人員都是專業的網絡工程師。使用起來相當的傻瓜式。
7. Nagios
▲
Nagios是一個完備的IT基礎設施監控系統,它可以為整個操作網絡進行快照,同時監控所有應用、服務、操作系統、網絡協議和系統的健康狀況。一旦出現問題,你的IT員工將通過email和短信接到即時警告,而出錯的服務器、應用和設備會自動重啟。Nagios適合幾乎所有內置的以及第三方應用。
8. ENVIROMUX Server Environment Monitoring System
▲
這是個強大的工具,極其適合在數據中心、Web托管設施、電信交換站點以及服務器機房等場所使用。這個工具可以檢測溫度,濕度,液體泄露,震動等物理參數。你可以將這個系統和攝像頭集成,從而從世界各地監控到場所的情況。
9. Jacarta interSeptor Pro
▲
Jacarta interSeptor Pro記錄服務器周圍的溫度和濕度的情況并制作圖表。軟件在周圍環境需要調整的時候發出email或短信提示。有三種模式可以選擇:8口,16口以及24口的。添加更多的感應器可以監控液體泄露、煙塵和斷電等情況。
10. Simple Server Monitor
▲
imple Server Monitor是一個低預算的監控服務,不過功能相當齊全,包括精確到分鐘的運行時間監控,以及性能圖表。提醒渠道包括彈出消息窗口,桌面提醒,電子郵件和短信等方式。
#p#
電影中盜夢的目的跟計算機安全中的緩沖區溢出攻擊是同理的,也就是利用程序漏洞(人的性格弱點),所以系統內存的使用情況對于系統而言是相當重要的。而作為系統管理員懂得如何查看內存使用情況是非常重要的。
Windows系統中查看內存的使用情況很簡單,這里就不再重復了。重點要介紹的是在Linux系統下查看內存使用情況的free命令:
下面是對這些數值的解釋:
total:總計物理內存的大小。
used:已使用多大。
free:可用有多少。
Shared:多個進程共享的內存總額。
Buffers/cached:磁盤緩存的大小。
第三行(-/+ buffers/cached):
used:已使用多大。
free:可用有多少。
第四行就不多解釋了。
區別:第二行(mem)的used/free與第三行(-/+ buffers/cache) used/free的區別。 這兩個的區別在于使用的角度來看,第一行是從OS的角度來看,因為對于OS,buffers/cached 都是屬于被使用,所以他的可用內存是16176KB,已用內存是3250004KB,其中包括,內核(OS)使用+Application(X, oracle,etc)使用的+buffers+cached.
第三行所指的是從應用程序角度來看,對于應用程序來說,buffers/cached 是等于可用的,因為buffer/cached是為了提高文件讀取的性能,當應用程序需在用到內存的時候,buffer/cached會很快地被回收。
所以從應用程序的角度來說,可用內存=系統free memory+buffers+cached。
如上例:
2795064=16176+110652+2668236
接下來解釋什么時候內存會被交換,以及按什么方交換。 當可用內存少于額定值的時候,就會開會進行交換。
如何看額定值:
用free -m查看的結果:
查看/proc/kcore文件的大小(內存鏡像):
備注:占用內存的測量
測量一個進程占用了多少內存,Linux系統為我們提供了一個很方便的方法,/proc目錄為我們提供了所有的信息,實際上top等工具也通過這里來獲取相應的信息。
輸出解釋:
CPU 每行的每個參數意思(以第一行為例)為:
參數 解釋 /proc//status
Size (pages) 任務虛擬地址空間的大小 VmSize/4
Resident(pages) 應用程序正在使用的物理內存的大小 VmRSS/4
Shared(pages) 共享頁數 0
Trs(pages) 程序所擁有的可執行虛擬內存的大小 VmExe/4
Lrs(pages) 被映像到任務的虛擬內存空間的庫的大小 VmLib/4
Drs(pages) 程序數據段和用戶態的棧的大小 (VmData+ VmStk )4
dt(pages) 04
查看機器可用內存:
我們通過free命令查看機器空閑內存時,會發現free的值很小。這主要是因為,在Linux系統中有這么一種思想,內存不用白不用,因此它盡可能的cache和buffer一些數據,以方便下次使用。但實際上這些內存也是可以立刻拿來使用的。
所以 空閑內存=free+buffers+cached=total-used
服務器系統性能的監測可以定期有效地查看系統的運行狀況。Linux系統下,大多數的性能監測工具保存在/proc目錄下。這里我們將Linux AS 和 SUSE LINUX EnterpriseServer中的命令行及圖形方式下的性能監測工具做概括性介紹。
1、uptime
uptime命令用于查看服務器運行了多長時間以及有多少個用戶登錄,快速獲知服務器的負荷情況。
uptime的輸出包含一項內容是load average,顯示了最近15分鐘的負荷情況。它的值代表等待CPU處理的進程數,如果CPU沒有時間處理這些進程,load average值會升高;反之則會降低。
load average的最佳值是1,說明每個進程都可以馬上處理并且沒有CPU cycles被丟失。對于單CPU的機器,1或者2是可以接受的值;對于多路CPU的機器,load average值可能在8到10之間。
也可以使用uptime命令來判斷網絡性能。例如,某個網絡應用性能很低,通過運行uptime查看服務器的負荷是否很高,如果不是,那么問題應該是網絡方面造成的。
下邊是uptime的輸出樣式:
▲
2、dmesg
dmesg命令主要用來顯示內核信息。使用dmesg可以有效診斷機器硬件故障或者添加硬件出現的問題。
另外,使用dmesg可以確定您的服務器安裝了那些硬件。每次系統重啟,系統都會檢查所有硬件并將信息記錄下來。執行/bin/dmesg命令可以查看該記錄。
下邊是dmesg的輸出樣式:
▲
3、top
top命令顯示處理器的活動狀況。缺省情況下,顯示占用CPU最多的任務,并且每隔5秒鐘做一次刷新。執行該命令后會顯示:Process priority and nice levels
Process priority的數值決定了CPU處理進程的順序。LIUNX內核會根據需要調整該數值的大小。nicevalue局限于priority。priority的值不能低于nice value(nicevalue值越低,優先級越高)。您不可以直接修改Process priority的值,但是可以通過調整nicelevel值來間接地改變Process priority值,然而這一方法并不是所有時候都可用。如果某個進程運行異常的慢,可以通過降低nicelevel為該進程分配更多的CPU。
Linux 支持的 nice levels 由19 (優先級低)到-20 (優先級高),缺省值為0。執行/bin/ps命令可以查看到當前進程的情況。
4、iostat
iostat由Red Hat Enterprise Linux AS發布。同時iostat也是Sysstat的一部分,可以下載到,網址是http://perso.wanadoo.fr/sebastien.godard/
執行iostat命令可以從系統啟動之后的CPU平均時間,類似于uptime。除此之外,iostat還對創建一個服務器磁盤子系統的活動報告。該報告包含兩部分:CPU使用情況和磁盤使用情況。
下邊是iostat的輸出樣式:
▲
5、vmstat
vmstat提供了processes, memory, paging, block I/O, traps和CPU的活動狀況.
以下是vmstat的輸出樣式:
▲
Process:– r: 等待runtime的進程數– b: 在不可打斷的休眠狀態下的進程數
Memory:– swpd: 虛擬內存使用量(KB),– free: 閑置內存使用量(KB),– buff: 被當做buffer使用的內存量(KB)
Swap:– si: swap到磁盤的內存量(KBps),– so: 從磁盤swap出去的內存量(KBps)
6 、sar
sar是Red Hat Enterprise Linux AS發行的一個工具,同時也是Sysstat工具集的命令之一,sar用于收集、報告或者保存系統活動信息。sar由三個應用組成:sar顯示數據、sar1和sar2用于收集和保存數據。
使用sar1和sar2,系統能夠配置成自動抓取信息和日志,以備分析使用。配置舉例:在/etc/crontab中添加如下幾行內容:
▲
7 、Traffic-vis
Traffic-vis是一套測定哪些主機在IP網進行通信、通信的目標主機以及傳輸的數據量。并輸出純文本、HTML或者GIF格式的報告。
注:Traffic-vis僅僅適用于SUSE LINUX ENTERPRISE SERVER。
8 、pmap
pmap可以報告某個或多個進程的內存使用情況。使用pmap判斷主機中哪個進程因占用過多內存導致內存瓶頸。
原標題:三招教你預防服務器系統中的“盜夢者”
【編輯推薦】
