保护文件系统和文件

ZFS 文件系统是轻量级系统，可进行加密、压缩，并可为其配置保留空间和磁盘空间限制。

tmpfs 文件系统可以无限制增长。要阻止拒绝服务 (Denial of Service, DOS) 攻击，请完成如何限制 tmpfs 文件系统的大小。

以下任务为 tmpfs 配置大小限制并概述了 ZFS（Oracle Solaris 中的缺省文件系统）中可用的保护。有关其他信息，请参见《Oracle Solaris 11.1 管理：ZFS 文件系统》中的"设置 ZFS 配额和预留空间"和 zfs(1M) 手册页。

如何限制 tmpfs 文件系统的大小

缺省情况下，tmpfs 文件系统的大小不受限制。因此，tmpfs 可以不断增长，直至占满可用的系统内存和交换空间。因为 /tmp 目录供所有应用程序和用户使用，所以某个应用程序可能会占用所有可用系统内存。同样，恶意的非特权用户可能通过在 /tmp 目录中创建大文件来降低系统速度。为避免性能影响，您可以限制每个 tmpfs 挂载的大小。

您可以尝试多个值来获取最佳系统性能。

开始之前

您必须承担 root 角色。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

1. 确定您系统的内存量。

   ---

   注 - 此过程中用作示例的 SPARC T3 系列系统有一个用于提高 I/O 速度的固态磁盘 (ssd)，还有 8 个 279.40 MB 的磁盘。系统大约有 500 GB 的内存。

   ---

   # prtconf | head
   System Configuration:  Oracle Corporation  sun4v
   Memory size: 523776 Megabytes
   System Peripherals (Software Nodes):
   
   ORCL,SPARC-T3-4
       scsi_vhci, instance #0
           disk, instance #4
           disk, instance #5
           disk, instance #6
           disk, instance #8

2. 计算 tmpfs 的内存限制。

   根据系统内存的大小，计算内存限制时您可能希望将大系统的阈值设为大约 20%，小系统的阈值设为大约 30%。

   所以，对于较小的系统，请使用 .30 作为乘数。

   10240M x .30 ≃ 340M

   对于较大的系统，请使用 .20 作为乘数。

   523776M x .20 ≃ 10475M

3. 使用该大小限制修改 /etc/vfstab 文件中的 swap 条目。

   # pfedit /etc/vfstab
   #device       device       mount           FS      fsck    mount mount
   #to mount     to fsck      point           type    pass    at boot options
   #
   /devices      -            /devices        devfs   -       no      -
   /proc         -            /proc           proc    -       no      -
   ctfs          -            /system/contract ctfs   -       no      -
   objfs         -            /system/object  objfs   -       no      -
   sharefs       -            /etc/dfs/sharetab  sharefs -    no      -
   fd            -            /dev/fd         fd      -       no      -
   swap          -            /tmp            tmpfs   -       yes     -
   swap          -            tmpfs           -       yes     size=10400m
   /dev/zvol/dsk/rpool/swap   -      -        swap    -       no      - 

4. 重新引导系统。

   # reboot

5. 检验大小限制是否有效。

   # mount -v
   swap on /system/volatile type tmpfs 
   read/write/setuid/devices/rstchown/xattr/dev=89c0006 on Fri Sep 7 14:07:27 2012
   swap on /tmp type tmpfs 
   read/write/setuid/devices/rstchown/xattr/size=10400m/dev=89c0006 on Fri ...

6. 监视内存使用情况并将大小限制调整至符合站点的要求。

   df 命令颇为有用。swap 命令提供最有用的统计信息。

   # df -h /tmp
   Filesystem Size Used Available Capacity Mounted on
   swap          7.  4G     44M    7.4G 1%       /tmp
   
   # swap -s
   total: 190248k bytes allocated + 30348k reserved = 220596k used,
   7743780k available 

   有关更多信息，请参见 tmpfs(7FS)、mount_tmpfs(1M)、df(1M) 和 swap(1M) 手册页。