capsh и Linux capabilities

В Linux root-аккаунт обладает полным набором прав, но далеко не всегда это нужно. Capabilities позволяют «разрезать» привилегии на части и выдавать только нужные.

Это снижает риски: сервис не сможет сделать ничего лишнего, даже если его взломают.

Например, чтобы процесс слушал порты ниже 1024, достаточно capability CAP_NET_BIND_SERVICE. Полный root здесь избыточен.

Проверка текущих прав:

capsh --print

Запуск процесса только с нужной capability:

capsh --drop=all --add=cap_net_bind_service -- -c "./server"

⚡️Так можно запускать сервисы безопаснее, следуя принципу «минимально необходимых прав». Это актуально и для контейнеров, и для демонов в продакшене.

Multikernel: несколько ядер Linux на одном хосте

Проект Multikernel позволяет запускать на одной машине сразу несколько независимых экземпляров ядра Linux — без гипервизора и накладных расходов виртуализации.

Каждый экземпляр ядра получает прямой доступ к CPU и ресурсам, изоляция выше, чем у контейнеров, а производительность близка к «железу».

⏺Запуск через улучшенный kexec, управление и отладка — через /proc/multikernel.
⏺Для обмена сообщениями используется собственный IPI-фреймворк.
⏺Поддерживается динамическое выделение ресурсов и изоляция отказов.

Профилирование CPU с perf и Flamegraph

Когда сервер «тормозит» или высокая загрузка CPU не очевидна, стандартных инструментов вроде top часто недостаточно. 

Они показывают только процессы, но не дают понимания, что именно внутри процесса грузит CPU.

Здесь на помощь приходит perf и Flamegraph.

perf — запись стека вызовов

Для начала нужно установить perf (apt install linux-tools-common linux-tools-$(uname -r) на Debian/Ubuntu).

Простейший пример:

sudo perf record -F 99 -a -g -- sleep 10

⏺ -F 99 — частота выборки 99 Гц
⏺ -a — профилируем все CPU
⏺ -g — сохраняем стеки вызовов
⏺ -- sleep 10 — профилируем 10 секунд

После этого создаётся файл perf.data, содержащий информацию о нагрузке CPU.

perf script + Flamegraph — визуализация горячих функций

Flamegraph позволяет видеть «горячие» участки кода:

perf script | stackcollapse-perf.pl | flamegraph.pl > out.svg

⏺stackcollapse-perf.pl — склеивает одинаковые стеки
⏺flamegraph.pl — генерирует интерактивный SVG

Открыв out.svg в браузере, можно увидеть, какие функции съедают процессорное время. Чем выше «полоса», тем дольше выполняется функция.

Dstat и его наследники: удобный мониторинг в реальном времени

Когда сервер «тормозит», хочется сразу понять: проблема в диске, CPU или сети? 

Стандартный набор (iostat, vmstat, ifstat) даёт нужные данные, но разрозненно — приходится открывать несколько окон и сводить всё в голове.

⏺dstat решает эту проблему: он объединяет метрики CPU, IO, памяти, сети и процессов в одной таблице. Сразу видно картину происходящего. Например:

dstat -cdnm

CPU, диски, сеть и память — всё в одной строке, обновляется раз в секунду.

Из новых инструментов можно отметить atop (с ретроспективным просмотром) и лёгкие аналоги — duf, dstat-variants, которые удобнее для быстрых проверок.

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое Runqueue в Linux и как он влияет на производительность системы?

✅Ответ: Runqueue — это структура данных в ядре Linux, в которой хранятся все процессы, готовые к выполнению на CPU. У каждого процессора есть свой runqueue, а планировщик задач (CFS — Completely Fair Scheduler) распределяет время процессора между процессами из этой очереди.

Балансировка нагрузки между runqueue разных CPU — критически важная задача. Если один CPU перегружен, а другой простаивает, планировщик может переместить процессы между runqueue. Неправильная балансировка может привести к “CPU starvation” или падению производительности в многопроцессорных системах.

Энтузиасты объединили двенадцать 56K модемов и установили рекорд скорости коммутируемого доступа

Команда The Serial Port объединила двенадцать 56K модемов (Courier V.Everything 56K) через Multilink PPP, чтобы достичь скорости загрузки 668 Кбит/с на ПК с Windows XP и парой PCI-карт с последовательными портами.

Это позволило проверить возможности старого оборудования для стриминга видео и демонстрирует потенциал MPPP для объединения нескольких модемов в один логический канал.

Ранее коммерческие решения использовали 2–4 модема, но массового применения не получили из-за сложности подключения и ограничений провайдеров.

⏺Энтузиасты проверили работу MPPP на современном интернет-провайдере и смогли масштабировать систему до двенадцати модемов, обеспечив стабильную загрузку видео с минимальной задержкой.

SysRq Magic Key в Linux: экстренное управление системой

Иногда сервер или ноутбук может зависнуть так, что даже kill -9 не помогает.

В Linux для таких случаев есть «волшебная кнопка» — SysRq (System Request).

С её помощью можно отправлять ядру команды напрямую, минуя оболочку и процессы.

Включение SysRq

Обычно функция включена, но можно проверить:

cat /proc/sys/kernel/sysrq

⏺0 — выключено
⏺1 — включены все команды
⏺или битовая маска (например, 16 = только sync).

Чтобы включить:

echo 1 > /proc/sys/kernel/sysrq

Постоянно (через sysctl):

echo "kernel.sysrq = 1" >> /etc/sysctl.conf
sysctl -p

Как пользоваться

Нужно зажать Alt + SysRq (Print Screen) и нажать нужную клавишу:
• r — вернуть управление клавиатуре (Raw → XLATE)
• e — завершить все процессы (SIGTERM)
• i — убить все процессы (SIGKILL)
• s — сбросить данные на диск (sync)
• u — перемонтировать файловые системы в read-only
• b — немедленная перезагрузка

«Безопасная последовательность» (REISUB)

Если система зависла:

Alt + SysRq + r
Alt + SysRq + e
Alt + SysRq + i
Alt + SysRq + s
Alt + SysRq + u
Alt + SysRq + b

Это поможет корректно завершить процессы, сохранить данные и только потом перезагрузиться.

tuned: профили оптимизации производительности Linux

tuned — это демон и набор профилей, которые позволяют автоматически подстраивать параметры ядра и драйверов под разные сценарии использования.

Вместо того чтобы вручную править sysctl, grub и конфиги драйверов, можно активировать готовый набор оптимизаций.

Например:
⏺throughput-performance — максимум пропускной способности, полезно для серверов БД и высоконагруженных сервисов;
⏺latency-performance — снижение задержек для realtime-задач и телеком-сервисов;
⏺virtual-guest — оптимизация гостевых VM;
⏺powersave — агрессивная экономия энергии.

Посмотреть список доступных профилей:

tuned-adm list

Включить нужный:

tuned-adm profile throughput-performance

Если стандартные профили не подходят, можно собрать свой — с настройкой CPU governor, IRQ affinity, параметров сети и дисков.

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое Page Cache в Linux и почему он так важен для работы системы?

✅Ответ: Page Cache — это механизм ядра Linux, позволяющий хранить содержимое файлов и блоков диска в оперативной памяти для ускорения доступа. Когда процесс читает данные с диска, они попадают в Page Cache, и при повторном обращении к тем же данным система может отдать их напрямую из памяти, минуя медленный диск.

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как работает механизм Netfilter в Linux и зачем он нужен?

✅Ответ: Netfilter — это подсистема ядра Linux, обеспечивающая фильтрацию и обработку сетевых пакетов. Она используется для межсетевого экранирования, NAT, балансировки нагрузки и глубокого анализа трафика.

Основные компоненты:
— Hooks: точки в сетевом стеке, через которые проходят пакеты (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).
— iptables/nftables: инструменты управления правилами фильтрации и перенаправления трафика.
— Connection Tracking: механизм, позволяющий отслеживать состояние соединений и применять stateful-фильтрацию.

screen vs tmux: зачем и в чём разница

Когда вы работаете по SSH и связь внезапно обрывается — все запущенные процессы (сборка, миграция БД, обновление пакетов) падают вместе с сессией.

Чтобы этого избежать, придумали терминальные мультиплексоры — программы, которые запускают «виртуальный терминал» внутри текущего, и процессы продолжают работать даже при отключении.

Два самых популярных инструмента: screen и tmux.

screen — классика Linux

Появился ещё в 1987 году. До сих пор предустановлен на множестве серверов.

Основные команды:

screen                # новая сессия
screen -S mywork      # сессия с именем
screen -ls            # список активных
screen -r mywork      # восстановить сессию
Ctrl+a d              # отцепиться

Особенности:
⏺Работает почти везде «из коробки».
⏺Очень лёгкий и простой.
⏺Поддерживает разделение окна, но не очень удобно.

tmux — современный и функциональный

Разработан в 2007 году как альтернатива screen. Сейчас стал «дефолтным выбором» для большинства админов и девопсов.

Основные команды:

tmux new -s mywork    # создать сессию
tmux ls               # список
tmux attach -t mywork # вернуться
tmux detach           # выйтил

Фишки:
⏺Красивый и настраиваемый статусбар.
⏺Удобное разделение экрана на панели:
• Ctrl+b " — горизонтально
• Ctrl+b % — вертикально
⏺Поддержка скриптов и плагинов.
⏺Легко кастомизировать под свои привычки.