前几天我的小小的 WordPress 服务器被攻击了,被五六台机器从不同的 IP 发起 xmlrpc 攻击,大约每秒 80 次请求的样子,虽然不算猛烈,但我的虚拟机本身太小了,单 CPU 仅 1GB 内存,于是频频出现内存紧张的情况,oom-killer 会自动选择合适的进程牺牲掉,但它怎么就那么不开眼,每次都选中了最重要的 mysqld 进程。解决的思路很简单,就是减小 mysqld 进程的 oom_score_adj 值,因为 oom-killer 通过比较每个进程的 oom_score 来挑选要出局的进程,数值越大就越容易被选中,而手工调整 oom_score 是通过 oom_score_adj 来实现的,命令如下:
$ echo "-100" > /proc/<pid>/oom_score_adj
但是每次 reboot 或者 mysql 重启都需要重新设置一遍实在麻烦,怎样才能实现自动化呢?我的做法如下,虽然道理很简单,但实现过程中有好几个坑,包含了几个有用的知识点,所以有点共享价值。
如何修改 systemd 的服务脚本,首先,我想在启动 mysql 服务的时候就自动把 oom_score_adj 调整好,理论上应该通过修改启动脚本完成,问题是我用了 CentOS 7,systemd 的启动脚本与以前有很大的不同。还是让我们先找到它吧:
# systemctl status mariadb
● mariadb.service - MariaDB database server
Loaded: loaded (/usr/lib/systemd/system/mariadb.service; enabled; vendor preset: disabled)
显然/usr/lib/systemd/system/mariadb.service 就是我们感兴趣的,可以直接修改,但不建议这么做,因为将来升级 mariadb 有可能会覆盖掉你的改动。更好的方式是这样的:创建一个新目录 “/etc/systemd/system/mariadb.service.d/”,把需要改动的内容放在该目录下的”.conf”文件里,文件名可以随便,但必须以”.conf”结尾。这个文件起的作用是对 systemd 的 service 文件做出补充,systemd 的 service 文件包括三个主要部分:[Unit], [Service]和[Install],其中[Service]段定义了服务启停的方法,[Service]段中以下三个字段是最常用的:
ExecStart 用于定义启动服务的命令,
ExecStartPre 是启动服务之前执行的命令,
ExecStartPost 是启动服务之后执行的命令。
我们修改 oom_score_adj 的任务应该放在 ExecStartPost 部分,需要注意的是:命令必须使用全路径,因为 systemd 不提供设置好的 PATH 环境变量。
$ mkdir /etc/systemd/system/mariadb.service.d
$ cd /etc/systemd/system/mariadb.service.d
$
$ cat > avoid_oom.conf
# avoid oom-killer
[Service]
ExecStartPost=/bin/sudo /usr/local/bin/oom_mysql.sh
我们只增加了一行有实质内容,即让 mariadb.service 在启动之后调用自定义的脚本 oom_mysql.sh,我们在这个脚本中调整 mysqld 进程的 oom_score_adj 值,脚本如下 (因为 mariadb 会把 mysqld 的 PID 记录在/var/run/mariadb/mariadb.pid 之中,所以在脚本中我们寻找 mysqld 进程号便简单了):
$ cat /usr/local/bin/oom_mysql.sh
#!/bin/bash
MYSQL_PIDFILE="/var/run/mariadb/mariadb.pid"
pgrep mysql > /dev/null
if [ ! $? ]; then
exit 1
fi
if [ -f "$MYSQL_PIDFILE" ]; then
MYSQL_PID=`cat $MYSQL_PIDFILE`
echo "-100" > /proc/$MYSQL_PID/oom_score_adj
else
exit 1
fi
exit 0
如何设置不用输入密码而且没有 tty 的 sudo
为什么我要通过 sudo 来执行以上脚本呢?
ExecStartPost=/bin/sudo /usr/local/bin/oom_mysql.sh
为什么不象下面这样直接执行呢?
ExecStartPost=/usr/local/bin/oom_mysql.sh
这是因为 mariadb.service 是以 mysql 用户的身份启动的,mysql 用户不具备写入/proc 的权限,而在 oom_mysql.sh 脚本中我们需要写入 /proc/oom_score_adj
mysql:x:27:27:MariaDB Server:/var/lib/mysql:/sbin/nologin
为了使 mysql 用户能够写入/proc//oom_score_adj,我们利用了 sudo。修改 sudo 配置的命令是 visudo,如果不加 -f 参数,它默认修改配置文件/etc/sudoers,但直接改动/etc/sudoers 不太稳妥,万一改坏了什么地方就有麻烦,所以推荐的方法是:把你要增加的 sudoers 配置放在/etc/sudoers.d/ 目录下的文件中,文件名可以随意。
$ visudo -f /etc/sudoers.d/4mysql
Defaults:mysql !requiretty
mysql ALL=(ALL) NOPASSWD: /usr/local/bin/oom_mysql.sh
我们把要增加的配置放进了 4mysql 文件里,内容只有两行,需要解释一下:因为 mysql 用户很特别,它是不能登录的,因为它的 shell 是/sbin/nologin,而且在自动启动 mariadb.service 的时候显然也不能依赖人工输入口令去执行 sudo,所以它的 sudoers 配置需要一种特殊的权限–即无需输入口令就可以执行 sudo 命令,这就是上述第二行 “mysql ALL=(ALL) NOPASSWD:” 的意思;第一行表示 mysql 用户执行 sudo 可以无需 tty(终端),因为 RHEL 和 CentOS 默认情况下 sudo 需要 tty 才能执行,否则会发生下列错误:
sudo: sorry, you must have a tty to run sudo
至此,我们的工作就完成了,最后重启 mariadb.service 即可:
$ systemctl daemon-reload
$ systemctl restart mariadb
再检查 mysqld,发现它的 oom_score_adj 已经设置为-100 了,正是我们所期望的:
$ cat /proc/10839/oom_score_adj
-100
Copyright © 2013-2021 8a.hk All Rights Reserved. 八艾云 版权所有 中山市八艾云计算有限公司 粤ICP备14095776号