grsec + Java / ApacheTomcatを備えたLinuxカーネル
Debian Linux64ビット専用サーバーを持っています。カーネルにはgrsecパッチが適用されています。
私は主にこのサーバーを使用してApacheTomcat(6.0.26、Java 6)を実行していますが、すべて問題ないようです。
唯一の問題は、私がstart Tomcatの場合、次のいくつかを取得することです。
grsec: From xxx.xxx.xxx.xxx: Segmentation fault occurred at 00007fefe04e4000 in /home/t/jre1.6.0_20/bin/Java[java:22403] uid/euid:1001/1001 gid/egid:1001/1001, parent /sbin/init[init:1] uid/euid:0/0 gid/egid:0/0
grsec: more alerts, logging disabled for 10 seconds
その後、エラーログはもうありません。すべて順調。
カーネルは次のとおりです。
Linux 2.6.32.2-xxxx-grs-ipv4-64 #1 SMP Tue Dec 29 14:41:12 UTC 2009 x86_64 GNU/Linux
そして、webappは正常に動作します。
そのため、Tomcatの起動時にセグメンテーション違反が発生しますが、すべて正常に機能しているようです。
これは心配ですか? grsec以外のカーネルに移行する必要がありますか?
私もOVHによってホストされており、次のようなものがたくさんあります。
Jul 20 07:29:25 nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:4177] uid /の00007f0e17e3e300でセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0
Jul 20 07:29:25 nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:30441] uid /の0000000000000008でセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0
Jul 20 07:29:25 nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:30441] uid /の0000000000000008でセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0
Jul 20 07:30:00 nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:30620] uid /の0000000000000008でセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0
7月20日07:30:02nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:30620] uid /の0000000000000008でセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0
7月20日07:30:02nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:30672] uid /の000000000000001cでセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0
7月20日07:30:14nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:30683] uid /の0000000000000008でセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0
7月20日07:30:14nsxxxxxxカーネル:grsec:xxxxから:/usr/lib/jvm/Java-6-Sun-1.6.0.17/jre/bin/Java [java:30683] uid /の0000000000000008でセグメンテーション違反が発生しましたeuid:1011/1011 gid/egid:1011/1011、親/ sbin/init [init:1] uid/euid:0/0 gid/egid:0/0 .. ..
カーネルをGRSEC以外のものに変更することはうまくいくようです。
Javaは、とりわけ、grsecと一緒にNiceをプレイしないことが知られています。
少なくともJavaバイナリに対してchpaxを使用する必要がありますが、grsec以外のカーネルに切り替える方が適切なオプションです。