保護檔案系統與檔案

ZFS 檔案系統為簡易的系統，並可進行加密、壓縮及配置保留的空間和磁碟空間限制。

tmpfs 檔案系統可能會無限制成長。為避免阻絕服務 (DOS) 攻擊，請完成如何限制 tmpfs 檔案系統的大小。

下列作業會配置 tmpfs 的大小限制，並提供 ZFS (Oracle Solaris 的預設檔案系統) 可用的保護快速瀏覽。如需其他資訊，請參閱「Oracle Solaris 11.1 Administration: ZFS File Systems」中的「Setting ZFS Quotas and Reservations」和 zfs(1M) 線上手冊。

如何限制 tmpfs 檔案系統的大小

tmpfs 檔案系統的大小預設為沒有限制。因此，tmpfs 可能會成長到填滿可用的系統記憶體和交換空間。由於 /tmp 目錄是所有應用程式和使用者所使用的，某個應用程式可能會佔據所有可用的系統記憶體。同樣的，有不良意圖的未授權使用者可能會在 /tmp 目錄中建立大型檔案，因而導致系統變慢。為避免效能影響，您可以限制每個 tmpfs 掛載的大小。

您可以嘗試數個不同的值，以獲取最佳系統效能。

開始之前

您必須擔任 root 角色。如需更多資訊，請參閱「Oracle Solaris 11.1 Administration: Security Services」中的「How to Use Your Assigned Administrative Rights」。

1. 判斷您系統上的記憶體數量。

   ---

   備註 - 此程序中的範例使用的 SPARC T3 系列系統配備一個可加快 I/O 速度的固態磁碟 (ssd) 和八個 279.40 MB 磁碟。系統擁有約 500 GB 的記憶體。

   ---

   # prtconf | head
   System Configuration:  Oracle Corporation  sun4v
   Memory size: 523776 Megabytes
   System Peripherals (Software Nodes):
   
   ORCL,SPARC-T3-4
       scsi_vhci, instance #0
           disk, instance #4
           disk, instance #5
           disk, instance #6
           disk, instance #8

2. 計算 tmpfs 的記憶體限制。

   視系統記憶體大小而定，若為大型系統，您可能想要以大約 20% 來計算記憶體限制，若為較小的系統，您可能要以大約 30% 來計算記憶體限制。

   因此，對於較小的系統，請使用 .30 作為乘數。

   10240M x .30 ≃ 340M

   對於較大的系統，請使用 .20 作為乘數。

   523776M x .20 ≃ 10475M

3. 以大小限制修改 /etc/vfstab 檔案中的 swap 項目。

   # pfedit /etc/vfstab
   #device       device       mount           FS      fsck    mount mount
   #to mount     to fsck      point           type    pass    at boot options
   #
   /devices      -            /devices        devfs   -       no      -
   /proc         -            /proc           proc    -       no      -
   ctfs          -            /system/contract ctfs   -       no      -
   objfs         -            /system/object  objfs   -       no      -
   sharefs       -            /etc/dfs/sharetab  sharefs -    no      -
   fd            -            /dev/fd         fd      -       no      -
   swap          -            /tmp            tmpfs   -       yes     -
   swap          -            tmpfs           -       yes     size=10400m
   /dev/zvol/dsk/rpool/swap   -      -        swap    -       no      - 

4. 重新啟動系統。

   # reboot

5. 驗證大小限制是否生效。

   # mount -v
   swap on /system/volatile type tmpfs 
   read/write/setuid/devices/rstchown/xattr/dev=89c0006 on Fri Sep 7 14:07:27 2012
   swap on /tmp type tmpfs 
   read/write/setuid/devices/rstchown/xattr/size=10400m/dev=89c0006 on Fri ...

6. 監視記憶體使用量，並依據您的網站需求調整。

   df 命令有時會很有用。而 swap 命令可提供最有用的統計資料。

   # df -h /tmp
   Filesystem Size Used Available Capacity Mounted on
   swap          7.  4G     44M    7.4G 1%       /tmp
   
   # swap -s
   total: 190248k bytes allocated + 30348k reserved = 220596k used,
   7743780k available 

   如需更多資訊，請參閱 tmpfs(7FS) 線上手冊、mount_tmpfs(1M) 線上手冊、df(1M) 線上手冊以及 swap(1M) 線上手冊。