Como posso saber em qual limite de usuário estou correndo?

Navegue suas respostas
5

Várias sessões do mesmo usuário. Quando um deles chega ao ponto em que não pode mais executar novos programas, nenhum deles pode, nem mesmo um novo login desse usuário. Outros usuários ainda podem executar novos programas, incluindo novos logins.

Normalmente os limites de usuário estão em limits.conf, mas sua documentação diz "por favor note que todas as configurações de limite são definidas por login. Elas não são globais, nem são permanentes; existem apenas pela duração da sessão."

Não estou nem perto de ficar sem memória RAM (44GB disponíveis), mas não consigo descobrir mais o que ver. Quais limites existem que teriam um efeito global em todas as sessões usando o mesmo UID, mas não outros UIDs?

Editado em 6/12/16 às 8: 45p para adicionar:

Enquanto escrevia o abaixo, percebi que o problema poderia estar relacionado ao X11. Esta conta de usuário nesta caixa é usada quase exclusivamente para aplicativos GUI. Existe um bom programa baseado em texto que eu possa tentar executar a partir do bash que irá usar muitos recursos e fornecer boas mensagens de erro? A caixa não chega ao ponto em que não pode sequer executar ls.

Infelizmente, os programas GUI que esse problema normalmente afeta (Chrome e Firefox) não fazem um bom trabalho ao deixar mensagens de erro para trás. As guias do Chrome começarão a aparecer em branco ou com o completamente inútil "Aw, Snap!" erro. O Firefox simplesmente se recusará a iniciar. As únicas mensagens de erro parcialmente úteis que consegui obter vieram da tentativa de iniciar o Firefox a partir do bash: 

[pascal@firefox ~]$ firefox --display=:0 --safe-mode
Assertion failure: ((bool)(__builtin_expect(!!(!NS_FAILED_impl(rv)), 1))) && thread (Should successfully create image decoding threads), at /builddir/build/BUILD/firefox-45.2.0/firefox-45.2.0esr/image/DecodePool.cpp:359
#01: ???[/usr/lib64/firefox/libxul.so +0x10f2165]
#02: ???[/usr/lib64/firefox/libxul.so +0xa2dd2c]
#03: ???[/usr/lib64/firefox/libxul.so +0xa2ee29]
#04: ???[/usr/lib64/firefox/libxul.so +0xa2f4c1]
#05: ???[/usr/lib64/firefox/libxul.so +0xa3095d]
#06: ???[/usr/lib64/firefox/libxul.so +0xa52d44]
#07: ???[/usr/lib64/firefox/libxul.so +0xa4c051]
#08: ???[/usr/lib64/firefox/libxul.so +0x1096257]
#09: ???[/usr/lib64/firefox/libxul.so +0x1096342]
#10: ???[/usr/lib64/firefox/libxul.so +0x1dba68f]
#11: ???[/usr/lib64/firefox/libxul.so +0x1dba805]
#12: ???[/usr/lib64/firefox/libxul.so +0x1dba8b9]
#13: ???[/usr/lib64/firefox/libxul.so +0x1e3e6be]
#14: ???[/usr/lib64/firefox/libxul.so +0x1e48d1f]
#15: ???[/usr/lib64/firefox/libxul.so +0x1e48ddd]
#16: ???[/usr/lib64/firefox/libxul.so +0x20bf7bc]
#17: ???[/usr/lib64/firefox/libxul.so +0x20bfae6]
#18: ???[/usr/lib64/firefox/libxul.so +0x20bfe5b]
#19: ???[/usr/lib64/firefox/libxul.so +0x21087cd]
#20: ???[/usr/lib64/firefox/libxul.so +0x2108cd2]
#21: ???[/usr/lib64/firefox/libxul.so +0x210aef4]
#22: ???[/usr/lib64/firefox/libxul.so +0x22578b1]
#23: ???[/usr/lib64/firefox/libxul.so +0x228ba43]
#24: ???[/usr/lib64/firefox/libxul.so +0x228be1d]
#25: XRE_main[/usr/lib64/firefox/libxul.so +0x228c073]
#26: ???[/usr/lib64/firefox/firefox +0x4c1d]
#27: ???[/usr/lib64/firefox/firefox +0x436d]
#28: __libc_start_main[/lib64/libc.so.6 +0x21b15]
#29: ???[/usr/lib64/firefox/firefox +0x449d]
#30: ??? (???:???)
Segmentation fault
[pascal@firefox ~]$ firefox --display=:0 --safe-mode -g
1465632860286DeferredSave.extensions.jsonWARNWrite failed: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
1465632860287addons.xpi-utilsWARNFailed to save XPI database: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
1465632860288addons.xpi-utilsWARNFailed to save XPI database: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
1465632860289addons.xpi-utilsWARNFailed to save XPI database: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
1465632860289addons.xpi-utilsWARNFailed to save XPI database: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
1465632860290addons.xpi-utilsWARNFailed to save XPI database: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
1465632860358DeferredSave.addons.jsonWARNWrite failed: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
1465632860359addons.repositoryERRORSaveDBToDisk failed: Error: Could not create new thread! (resource://gre/modules/PromiseWorker.jsm:173:18) JS Stack trace: [email protected]:173:18 < [email protected]:292:9 < [email protected]:315:40 < [email protected]:933:23 < [email protected]:812:7 < this.PromiseWalker.scheduleWalkerLoop/<@Promise-backend.js:746:1 < [email protected]:770:1 < [email protected]:284:9
Segmentation fault
[pascal@firefox ~]$

[pascal@localhost ~]$ ulimit -aH
core file size          (blocks, -c) unlimited
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 579483
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 65536
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) unlimited
cpu time               (seconds, -t) unlimited
max user processes              (-u) 579483
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited
[pascal@localhost ~]$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 579483
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 32768
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 4096
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited
[pascal@localhost ~]$ set /proc/*/task/*/cwd/.; echo $#
306
[pascal@localhost ~]$ prlimit
RESOURCE   DESCRIPTION                             SOFT      HARD UNITS
AS         address space limit                unlimited unlimited bytes
CORE       max core file size                         0 unlimited blocks
CPU        CPU time                           unlimited unlimited seconds
DATA       max data size                      unlimited unlimited bytes
FSIZE      max file size                      unlimited unlimited blocks
LOCKS      max number of file locks held      unlimited unlimited
MEMLOCK    max locked-in-memory address space     65536     65536 bytes
MSGQUEUE   max bytes in POSIX mqueues            819200    819200 bytes
NICE       max nice prio allowed to raise             0         0
NOFILE     max number of open files               32768     65536
NPROC      max number of processes                 4096    579483
RSS        max resident set size              unlimited unlimited pages
RTPRIO     max real-time priority                     0         0
RTTIME     timeout for real-time tasks        unlimited unlimited microsecs
SIGPENDING max number of pending signals         579483    579483
STACK      max stack size                       8388608 unlimited bytes

Editado em 13/06/16 às 10: 24p para adicionar:

Não é um problema de GUI. Quando eu tentei su para o usuário hoje, isso nem funciona. Raiz está bem. Eu posso ls, vi, criar um novo usuário, su para esse usuário, tudo funciona bem para esse usuário, eu sair e tentar su para o usuário problemático e não ir. Bash meio carregado na primeira vez, mas mesmo a saída não funcionou. Eu tive que reconectar para voltar ao root. 

[root@firefox ~]# su - pascal
Last login: Sat Jun 11 03:08:47 CDT 2016 on pts/1
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: Resource temporarily unavailable
-bash-4.2$ ls
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: Resource temporarily unavailable
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: Resource temporarily unavailable
-bash-4.2$ exit
logout
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: retry: No child processes
-bash: fork: Resource temporarily unavailable
-bash-4.2$ 

[root@firefox ~]# ls -l /
total 126
lrwxrwxrwx.    1 root root   7 Jan 28 23:53 bin -> usr/bin
---- snip ----
drwxr-xr-x.   19 root root  23 May 27 18:03 var
[root@firefox ~]# vi /etc/rc.local
[root@firefox ~]# useradd test
[root@firefox ~]# su - test
[test@firefox ~]$ cd
[test@firefox ~]$ ls -l
total 0
[test@firefox ~]$ ls -l /
total 126
lrwxrwxrwx.    1 root root   7 Jan 28 23:53 bin -> usr/bin
---- snip ----
drwxr-xr-x.   19 root root  23 May 27 18:03 var
[test@firefox ~]$ vi /etc/rc.local
[test@firefox ~]$ exit
logout
[root@firefox ~]# su - pascal
Last login: Mon Jun 13 22:12:12 CDT 2016 on pts/1
su: failed to execute /bin/bash: Resource temporarily unavailable
[root@firefox ~]#
    
por Pascal 11.06.2016 / 23:54

3 respostas

3

nproc foi o problema: 

[root@localhost ~]# ps -eLf | grep pascal | wc -l
4068
[root@localhost ~]# cat /etc/security/limits.d/20-nproc.conf
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.

*          soft    nproc     4096
root       soft    nproc     unlimited
[root@localhost ~]#

man limits.conf estados: 

   Also, please note that all limit settings are set per login. They are
   not global, nor are they permanent; existing only for the duration of
   the session. One exception is the maxlogin option, this one is system
   wide. But there is a race, concurrent logins at the same time will not
   always be detected as such but only counted as one.

Parece-me que o nproc só é aplicado por login, mas conta globalmente. Portanto, um logon com os encadeamentos nproc 8192 e 5000 não teria problemas, mas um logon simultâneo do mesmo UID com encadeamentos nproc 4096 e 50 não seria capaz de criar mais porque a contagem global (5050) está acima de sua configuração nproc. 

[root@localhost ~]# ps -eLf | grep pascal | grep google/chrome | wc -l
3792
    
por 14.06.2016 / 06:49
1

Se você não conseguir acessar a conta, será difícil descobrir qual é o problema. Mas verifique os registros do sistema ou do aplicativo, esperamos que algum programa tenha deixado uma pista lá (especialmente para uma tentativa de login com falha).

Se você puder executar programas para experimentar, poderá saber qual limite foi atingido, tentando aumentar cada valor limitado e ver quando ele funciona e quando a tentativa falhar com EAGAIN . Também é possível listar os recursos usados para cada valor; Eu não consigo pensar em um utilitário que coleta os dados para todos os limites, mas pode haver um.

Supondo que o problema é um limite do kernel, eles estão listados na setrlimit man page . Os que se aplicam por ID de usuário são:

  • RLIMIT_MEMLOCK - tamanho da memória não desmontável. Não deve impedir o login, muito poucos programas solicitam memória que não pode ser bloqueada.
  • RLIMIT_MSGQUEUE - tamanho das filas de mensagens. Não deve impedir o login, muito poucos programas usam filas de mensagens.
  • RLIMIT_NPROC - número máximo de processos. Este absolutamente irá impedir logins se for alcançado. Aumentar o limite em /etc/security/limits.conf não afetará as sessões existentes, mas afetará novos processos, portanto, se o administrador do sistema aumentar o valor lá, o usuário poderá efetuar login.
  • RLIMIT_SIGPENDING - número máximo de sinais pendentes. Não deve impedir o login, muito poucos programas usam sigqueue para enfileirar sinais.

Assim, o limite de processos é o mais provável. Se você tiver acesso a um shell em execução, confirme tentando executar um programa; o erro deve ser bem distinto: 

$ ls
bash: fork: retry: No child processes
bash: fork: retry: No child processes
bash: fork: retry: No child processes
bash: fork: retry: No child processes
bash: fork: Resource temporarily unavailable

Você pode imprimir esse limite com ulimit -u . Se você tiver acesso a um shell executando como o usuário problemático e o usuário não tiver executado nenhum programa setuid, será possível listar os processos que contam com esse limite com set /proc/*/task/*/cwd/.; echo $# (lista os encadeamentos do kernel para os quais o usuário pode ler o cwd link, o que significa que o usuário tem controle total sobre o processo).

    
por 12.06.2016 / 23:46
0

Tente descobrir quais chamadas de sistema estão acontecendo quando o sistema operacional tenta executar o programa e falha. Use strace

Espero que seja bastante simples. Se não postar o traço.

Em geral, não há mais nada a fazer além de tentar reunir mais informações.

    
por 13.06.2016 / 15:53

Tags

Como automatizar o mutt na remoção de emails antigos da lista de discussão? chat RS232. Maneira mais simples?