Linux 内核在设计上都是单体式的。但是，它使用每个用例所需的可选模块或其他模块编译。这意味着，您可以使用动态加载的内核模块扩展内核的功能。内核模块可以提供：

与内核本身一样，模块也可以采用自定义其行为的参数。尽管默认参数在大多数情况下运行良好。对于内核模块，用户空间工具可以执行以下操作：

这些实用程序中，很多是由 kmod 软件包提供的，在执行操作时会考虑模块依赖关系。因此，很少需要手动跟踪依赖关系。

在现代系统中，在需要时，各种机制会自动载入内核模块。不过，有时需要手动加载或卸载模块。例如，当一个模块优先于另一个模块时，虽然其中一个模块能够提供基本功能，或者在模块执行意外运行时仍然首选。

某些内核模块有时依赖一个或多个内核模块。/lib/modules/<KERNEL_VERSION>/modules.dep 文件包含对应内核版本的完整内核模块依赖关系列表。

依赖项文件由 depmod 程序生成，该程序是 kmod 软件包的一部分。kmod 提供的许多实用程序在执行操作时会考虑模块依赖关系，因此很少需要 手动 跟踪依赖项。

您可以通过运行 lsmod 命令列出当前载入内核中的所有内核模块，例如：

# lsmod
Module                  Size  Used by
tcp_lp                 12663  0
bnep                   19704  2
bluetooth             372662  7 bnep
rfkill                 26536  3 bluetooth
fuse                   87661  3
ebtable_broute         12731  0
bridge                110196  1 ebtable_broute
stp                    12976  1 bridge
llc                    14552  2 stp,bridge
ebtable_filter         12827  0
ebtables               30913  3 ebtable_broute,ebtable_nat,ebtable_filter
ip6table_nat           13015  1
nf_nat_ipv6            13279  1 ip6table_nat
iptable_nat            13011  1
nf_conntrack_ipv4      14862  4
nf_defrag_ipv4         12729  1 nf_conntrack_ipv4
nf_nat_ipv4            13263  1 iptable_nat
nf_nat                 21798  4 nf_nat_ipv4,nf_nat_ipv6,ip6table_nat,iptable_nat
[output truncated]

lsmod 输出指定了三列：

最后，请注意 lsmod 输出比较详细，且比 /proc/modules pseudo- file 的内容更容易阅读。

您可以使用 modinfo <MODULE_NAME> 命令显示内核模块的详细信息。

# modinfo e1000e
filename:       /lib/modules/3.10.0-121.el7.x86_64/kernel/drivers/net/ethernet/intel/e1000e/e1000e.ko
version:        2.3.2-k
license:        GPL
description:    Intel(R) PRO/1000 Network Driver
author:         Intel Corporation,

扩展 Linux 内核功能的最佳方法是加载内核模块。下面的步骤描述了如何使用 modprobe 命令在当前运行的内核中查找并载入内核模块。

有时，您发现您需要从运行的内核中卸载某些内核模块。下面的步骤描述了如何使用 modprobe 命令在当前载入的内核运行时在系统运行时查找和卸载内核模块。

下面的步骤描述了如何配置内核模块以便在引导过程中自动载入该模块。

下面的步骤描述了如何在 denylist 中添加内核模块使其不会在引导过程中自动载入。

Red Hat Enterprise Linux 7 包括对 UEFI 安全引导功能的支持，这意味着可以在启用了 UEFI 安全引导的系统上安装并运行 Red Hat Enterprise Linux 7。请注意，Red Hat Enterprise Linux 7 不需要在 UEFI 系统中使用安全引导机制。

如果启用了安全引导机制，则必须使用私钥签名并使用对应的公钥验证 UEFI 操作系统引导装载程序、Red Hat Enterprise Linux 内核和所有内核模块。如果未签名和验证，则不允许系统完成引导过程。

Red Hat Enterprise Linux 7 发行版本包括：

此外，签名的第一阶段引导装载程序和签名的内核包括嵌入式红帽公钥。这些签名的可执行二进制文件和嵌入式密钥可让 Red Hat Enterprise Linux 7 在支持 UEFI 安全引导引导的系统中使用 Microsoft UEFI 安全引导认证机构密钥安装、引导和运行这些密钥。

以下小节中提供的信息描述了在启用了安全引导机制的基于 UEFI 的构建系统上用于 Red Hat Enterprise Linux 7 的自签名专用内核模块的步骤。这些部分还提供了将您的公钥导入到要部署内核模块的目标系统中的可用选项概述。

要签名并载入内核模块，您需要：

# keyctl list %:.system_keyring
3 keys in keyring:
...asymmetric: Red Hat Enterprise Linux Driver Update Program (key 3): bf57f3e87...
...asymmetric: Red Hat Enterprise Linux kernel signing key: 4249689eefc77e95880b...
...asymmetric: Red Hat Enterprise Linux kpatch signing key: 4d38fd864ebe18c5f0b7...

# keyctl list %:.system_keyring
6 keys in keyring:
...asymmetric: Red Hat Enterprise Linux Driver Update Program (key 3): bf57f3e87...
...asymmetric: Red Hat Secure Boot (CA key 1): 4016841644ce3a810408050766e8f8a29...
...asymmetric: Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed...
...asymmetric: Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e...
...asymmetric: Red Hat Enterprise Linux kernel signing key: 4249689eefc77e95880b...
...asymmetric: Red Hat Enterprise Linux kpatch signing key: 4d38fd864ebe18c5f0b7...

# dmesg | grep 'EFI: Loaded cert'
[5.160660] EFI: Loaded cert 'Microsoft Windows Production PCA 2011: a9290239...
[5.160674] EFI: Loaded cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309b...
[5.165794] EFI: Loaded cert 'Red Hat Secure Boot (CA key 1): 4016841644ce3a8...

内核可调项用于在引导时或系统运行时按需自定义 Red Hat Enterprise Linux 的行为。某些硬件参数仅在系统启动时指定，且在系统运行后无法更改，但大部分情况下，可以根据需要进行更改，并在下一次启动时进行永久性设置。

可以通过三种方式修改内核可调项：

可调项按内核 sybsystem 划分为多个组。Red Hat Enterprise Linux 系统有以下类型的可调项：

内核命令行参数（也称为内核参数）用于在引导时自定义 Red Hat Enterprise Linux 的行为。

Linux 内核模块源检查器(ksc)是一种用于检查给定内核模块中非白名单符号的工具。红帽合作伙伴还可以使用此工具请求审查白名单包含的符号，方法是在红帽 bugzilla 数据库中修复一个错误。

# ksc -k e1000e.ko
Checking against architecture x86_64
Total symbol usage: 165	Total Non white list symbol usage: 74

# ksc -k /path/to/module

Invalid architecture, (Only kernel object files are supported)

直接访问名为"文件系统 dax"或"fs dax"的文件，可使应用程序在支持 dax 的存储设备上读取和写入数据，而无需使用页面缓存来缓冲对设备的访问。

使用 'ext4' 或 'xfs' 文件系统时可使用此功能，并通过使用 -o dax 挂载文件系统或向 /etc/fstab 中挂载条目的 options 部分添加 dax 来启用。

如需更多信息，包括代码示例，可在 kernel-doc 软件包中找到，并存储在 /usr/share/doc/kernel-doc-<version>/Documentation/filesystems/dax.txt，其中 '<version>' 是对应的内核版本号。

内存保护密钥提供了一种机制，可以强制实施基于页面的保护域，但不需要在应用更改保护域时修改页表。它的工作原理是将每个页表条目中的 4 位忽略到一个"保护键"，从而给出 16 个可能的键。

内存保护密钥是某些 Intel CPU 芯片组的硬件功能。要确定您的处理器是否支持此功能，请检查 /proc/cpuinfo中是否存在 pku

$ grep pku /proc/cpuinfo

为了支持此功能，CPU 提供了一个新的用户可访问寄存器(PKRU)，每个密钥有两个独立位(Access Disable and Write Disable)。有两个新指令（RDPKRU 和 WRPKRU）可用于读取和写入新寄存器。

更多文档（包括编程示例）可在由 kernel -doc 软件包提供的 /usr/share/doc/kernel-doc-*/Documentation/x86/protection- keys.txt 中找到。

内核 Adress Space Layout Randomization(KASLR)由两个部分组成，它们共同工作来增强 Linux 内核的安全性：

内核文本本身的物理地址和虚拟地址分别随机化为不同的位置。内核的物理地址可以为 64TB 以下的任意位置，而内核的虚拟地址在 [0xffffffff80000000、0xffffc0000000]（1GB 空间）之间受到限制。

内存管理 KASLR 有三个部分，其起始地址在特定区域随机化。因此，如果此代码依赖于知道感兴趣的符号位于内核地址空间中的什么位置，KASLR 可以防止将内核执行并重定向到恶意代码。

内存管理 KASLR 部分包括：

KASLR 代码现在编译到 Linux 内核中，它默认是启用的。要明确禁用它，请在内核命令行中添加 nokaslr 内核选项。

Red Hat Enterprise Linux 包含以下内核软件包：

在升级内核前，建议您采取一些步骤。

首先，确保在出现问题时系统存在工作引导介质。如果引导装载程序没有正确配置来引导新内核，您可以使用此介质引导至 Red Hat Enterprise Linux

USB 介质通常采用闪存设备的形式，有时称为 pen drive、thumb 磁盘或 密钥，或者作为外部连接的硬盘设备。这种类型的几乎所有介质都被格式化为 VFAT 文件系统。您可以在格式化为 ext2、ext3、ext4 或 VFAT 的介质上创建可引导 USB 介质。

您可以将分发镜像文件或最小引导介质镜像文件传输到 USB 介质中。确保设备中有足够的可用空间。发行 DVD 镜像大约需要 4 GB，发行 CD 镜像大约需要 700 MB，最小引导介质镜像大约需要 10 MB。

您必须有 Red Hat Enterprise Linux 安装 DVD 中的 boot.iso 文件的副本，或者安装 CD-ROM #1，您需要一个使用 VFAT 文件系统 和大约 16 MB 可用空间格式化的 USB 存储设备。

有关使用 USB 存储设备的更多信息，请参阅如何格式化 USB 密钥以及如何在 非图形环境解决方案文章中手动挂载 USB 闪存驱动器。

以下步骤不会影响 USB 存储设备上的现有文件，除非它们的路径名称与您复制到其中的文件相同。要创建 USB 引导介质，以 root 用户身份运行以下命令：

或者，在具有软盘驱动器的系统上，您可以通过安装 mkbootdisk 软件包并以 root 身份运行 mkbootdisk 命令来创建引导磁盘。有关使用信息，请参阅安装软件包后的 man mkbootdisk man page。

要确定安装了哪些内核软件包，请在 shell 提示符下执行 yum 列表安装"kernel-*" 的命令。根据系统的架构，输出包含一些或全部以下软件包，版本号可能会有所不同：

# yum list installed "kernel-*"
kernel.x86_64                   3.10.0-54.0.1.el7           @rhel7/7.0
kernel-devel.x86_64             3.10.0-54.0.1.el7           @rhel7
kernel-headers.x86_64           3.10.0-54.0.1.el7           @rhel7/7.0

从输出中，确定内核升级需要下载哪些软件包。对于单个处理器系统，唯一需要的包是 内核 软件包。有关不同软件包的描述，请查看 第 5.1 节 “内核软件包概述”。

可以通过几种方法确定系统是否有更新的内核。

如果使用 yum 从 Red Hat Network 下载并安装更新的内核，请只按照 第 5.5 节 “验证初始 RAM 文件系统镜像” 和 第 5.6 节 “验证引导装载程序” 中的说明 操作，不要将 内核更改为默认引导。Red Hat Network 自动将默认内核更改为最新版本。要手动安装内核，请继续 第 5.4 节 “执行升级”。

在获取了所有必要的软件包后，开始升级现有内核。

在 shell 提示符下，更改到包含内核 RPM 软件包的目录。使用 -i 参数和 rpm 命令，以保留旧内核。不要 使用 -U 选项，因为它会覆盖当前安装的内核，从而造成启动加载器问题。例如：

# rpm -ivh kernel-kernel_version.arch.rpm

下一步是验证初始 RAM 文件系统映像是否已创建。详情请查看 第 5.5 节 “验证初始 RAM 文件系统镜像”。

初始 RAM 文件系统映像的作用是预加载块设备模块，如 IDE、SCSI 或 RAID，以便可以访问和挂载这些模块通常所在的根文件系统。在红帽企业 Linux 7 系统上，每当使用 Yum、PackageKit 或 RPM 软件包管理器安装新内核时，安装脚本始终会调用 Dracut 实用程序来创建 initramfs （初始 RAM 文件系统映像）。

如果您通过修改 /etc/sysctl.conf 文件或其他 sysctl 配置文件更改内核属性，如果在引导过程早期使用了更改的设置，则可能需要运行 dracut -f 命令来重建初始 RAM 文件系统镜像。例如，如果您已对联网进行了更改，并且从网络连接存储引导。

在 IBM eServer System i 以外的所有构架中（请参阅 “在 IBM eServer System i 上验证初始 RAM 文件系统镜像和内核”一节），您可以通过运行 dracut 命令创建 initramfs。但是，您通常不需要手动创建 initramfs ：如果从红帽分发的 RPM 软件包安装或升级了内核及其相关软件包，则会自动执行这一步。

您可以按照以下步骤验证与当前内核版本对应的 initramfs 是否存在，并在 grub.cfg 配置文件中正确指定：

在 IBM eServer System i 上验证初始 RAM 文件系统镜像和内核

在 IBM eServer System i 机器上，初始 RAM 文件系统和内核文件合并到一个文件中，该文件通过 addRamDisk 命令创建。如果从红帽分发的 RPM 软件包安装或升级了内核及其相关软件包，则会自动执行此步骤，因此不需要手动执行该步骤。要验证它是否已创建，请以 root 用户身份 运行以下命令，确保 /boot/vmlinitrd-kernel_version 文件已存在：

# ls -l /boot/

kernel_version 需要与刚才安装的内核版本匹配。

取消对初始 RAM 文件系统镜像所做的更改

例如，在某些情形中，如果您错误配置系统且不再引导，则需要按照以下步骤撤销对初始 RAM 文件系统镜像所做的更改：

例如，当您在 sysctl.conf 文件中错误设置了 vm.nr_hugepages 时，上述步骤可能很有用。由于 sysctl.conf 文件包含在 initramfs 中，新的 vm.nr_hugepages 设置会应用到 initramfs 中，并导致重新构建 initramfs。但是，由于设置不正确，因此新的 initramfs 会中断，且新构建的内核不会引导，因此需要使用上述步骤更正设置。

列出初始 RAM 文件系统镜像的内容

要列出 initramfs 中包含的文件，以 root 用户身份运行以下命令：

# lsinitrd

要只列出 /etc 目录中的文件，请使用以下命令：

# lsinitrd | grep etc/

要输出存储在 initramfs 中为当前内核保存的特定文件的内容，请使用 -f 选项：

# lsinitrd -f filename

例如，要输出 sysctl.conf 的内容，请使用以下命令：

# lsinitrd -f /etc/sysctl.conf

要指定内核版本，请使用 --kver 选项：

# lsinitrd --kver kernel_version -f /etc/sysctl.conf

例如，要列出有关内核版本 3.10.0-327.10.1.el7.x86_64 的信息，请使用以下命令：

# lsinitrd --kver 3.10.0-327.10.1.el7.x86_64 -f /etc/sysctl.conf

您可以使用 yum 命令或 rpm 命令安装内核。

当您使用 rpm 安装内核时，kernel 软件包会在引导装载程序配置文件中为新内核创建一个条目。

请注意，两个命令将新内核配置为引导为默认内核，只有在 /etc/sysconfig/kernel 配置文件中包含以下设置时：

DEFAULTKERNEL=kernel
UPDATEDEFAULT=yes

The DEFAULTKERNEL 选项指定默认内核软件包类型。UPDATEDEFAULT 选项指定新内核软件包是否使新内核成为默认内核。

kpatch 实用程序是红帽通过红帽软件仓库提供的 RPM 模块支持的唯一内核实时补丁程序。红帽不支持任何不是由红帽提供的实时补丁。

要获得第三方实时补丁支持，请联系提供修补程序的供应商。

对于任何使用了第三方补丁程序运行的系统，红帽保留请求用户使用由红帽提供并支持的软件重现问题的权利。如果无法做到这一点，我们需要在测试环境中部署类似的系统和工作负载，而无需应用实时补丁，以确认是否观察到了相同的行为。

有关第三方软件支持政策的更多信息，请参阅红帽全球支持服务如何处理第三方软件、驱动程序和/或未经认证的硬件/管理程序或虚拟机操作系统？

内核实时补丁功能作为内核模块（.ko 文件）实施，该模块作为 RPM 软件包提供。

所有客户都可以访问内核实时补丁，这些补丁通过常用的通道提供。但是，在下一个次版本发布后，未订阅延长支持服务的客户将无法访问当前次要版本的新修补程序。例如，具有标准订阅的客户只能在 RHEL 8.3 发布前提供 RHEL 8.2 内核补丁。

内核实时补丁的组件如下：

kpatch 内核补丁解决方案使用 livepatch 内核子系统将旧功能重定向到新功能。当实时内核补丁应用到系统时，会出现以下情况：

图 6.1. 内核实时补丁如何工作

内核补丁模块在 RPM 软件包中提供，具体取决于被修补的内核版本。每个 RPM 软件包将随着时间不断累积更新。

以下小节描述了如何确保您将来收到给定内核的所有实时补丁更新。

由于内核补丁模块是通过 RPM 软件包交付和应用，更新累积内核补丁模块就如同更新任何其他 RPM 软件包一样。

先决条件

流程

其它资源

如果系统管理员遇到与 Red Hat Enterprise Linux 内核实时修补解决方案相关联的一些无法预期的负面影响，他们可以选择禁用该机制。以下小节描述了如何禁用实时补丁解决方案。

将内核驱动程序列入黑名单是一种防止加载和使用内核驱动程序的机制。在 /etc/sysconfig/kdump 文件中添加驱动程序可防止 kdump initramfs 加载列入黑名单的模块。

将内核驱动程序列入黑名单可防止延迟 终止 程序或其他崩溃内核失败。要将内核驱动程序列入黑名单，您可以在 /etc/sysconfig/kdump 文件中更新 KDUMP_COMMANDLINE_APPEND= 变量，并指定以下黑名单选项之一：

要测试配置，请使用启用 kdump 重启系统，并确保该服务正在运行：

~]# systemctl is-active kdump
active

然后在 shell 提示符后输入以下命令：

echo 1 > /proc/sys/kernel/sysrq
echo c > /proc/sysrq-trigger

这会强制 Linux 内核崩溃，地址-YYYY-MM-DD-HH:MM:SS/vmcore 文件复制到您在配置中选择的位置（即默认为 /var/crash/ ）。

要确定系统崩溃的原因，您可以使用 crash 实用程序，它提供了一个与 GNU Debugger(GDB)类似的交互式提示符。这个工具允许您交互式地分析正在运行的 Linux 系统，以及由 netdump、diskdump、xendump 或 kdump 创建的核心转储。

yum install crash

debuginfo-install kernel

crash /usr/lib/debug/lib/modules/<kernel>/vmlinux \ /var/crash/<timestamp>/vmcore

~]# crash /usr/lib/debug/lib/modules/2.6.32-69.el6.i686/vmlinux \
/var/crash/127.0.0.1-2010-08-25-08:45:02/vmcore

crash 5.0.0-23.el6
Copyright (C) 2002-2010  Red Hat, Inc.
Copyright (C) 2004, 2005, 2006  IBM Corporation
Copyright (C) 1999-2006  Hewlett-Packard Co
Copyright (C) 2005, 2006  Fujitsu Limited
Copyright (C) 2006, 2007  VA Linux Systems Japan K.K.
Copyright (C) 2005  NEC Corporation
Copyright (C) 1999, 2002, 2007  Silicon Graphics, Inc.
Copyright (C) 1999, 2000, 2001, 2002  Mission Critical Linux, Inc.
This program is free software, covered by the GNU General Public License,
and you are welcome to change it and/or distribute copies of it under
certain conditions.  Enter "help copying" to see the conditions.
This program has absolutely no warranty.  Enter "help warranty" for details.

GNU gdb (GDB) 7.0
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "i686-pc-linux-gnu"...

      KERNEL: /usr/lib/debug/lib/modules/2.6.32-69.el6.i686/vmlinux
    DUMPFILE: /var/crash/127.0.0.1-2010-08-25-08:45:02/vmcore  [PARTIAL DUMP]
        CPUS: 4
        DATE: Wed Aug 25 08:44:47 2010
      UPTIME: 00:09:02
LOAD AVERAGE: 0.00, 0.01, 0.00
       TASKS: 140
    NODENAME: hp-dl320g5-02.lab.bos.redhat.com
     RELEASE: 2.6.32-69.el6.i686
     VERSION: #1 SMP Tue Aug 24 10:31:45 EDT 2010
     MACHINE: i686  (2394 Mhz)
      MEMORY: 8 GB
       PANIC: "Oops: 0002 [#1] SMP " (check log for details)
         PID: 5591
     COMMAND: "bash"
        TASK: f196d560  [THREAD_INFO: ef4da000]
         CPU: 2
       STATE: TASK_RUNNING (PANIC)

crash>

crash> log
... several lines omitted ...
EIP: 0060:[<c068124f>] EFLAGS: 00010096 CPU: 2
EIP is at sysrq_handle_crash+0xf/0x20
EAX: 00000063 EBX: 00000063 ECX: c09e1c8c EDX: 00000000
ESI: c0a09ca0 EDI: 00000286 EBP: 00000000 ESP: ef4dbf24
 DS: 007b ES: 007b FS: 00d8 GS: 00e0 SS: 0068
Process bash (pid: 5591, ti=ef4da000 task=f196d560 task.ti=ef4da000)
Stack:
 c068146b c0960891 c0968653 00000003 00000000 00000002 efade5c0 c06814d0
<0> fffffffb c068150f b7776000 f2600c40 c0569ec4 ef4dbf9c 00000002 b7776000
<0> efade5c0 00000002 b7776000 c0569e60 c051de50 ef4dbf9c f196d560 ef4dbfb4
Call Trace:
 [<c068146b>] ? __handle_sysrq+0xfb/0x160
 [<c06814d0>] ? write_sysrq_trigger+0x0/0x50
 [<c068150f>] ? write_sysrq_trigger+0x3f/0x50
 [<c0569ec4>] ? proc_reg_write+0x64/0xa0
 [<c0569e60>] ? proc_reg_write+0x0/0xa0
 [<c051de50>] ? vfs_write+0xa0/0x190
 [<c051e8d1>] ? sys_write+0x41/0x70
 [<c0409adc>] ? syscall_call+0x7/0xb
Code: a0 c0 01 0f b6 41 03 19 d2 f7 d2 83 e2 03 83 e0 cf c1 e2 04 09 d0 88 41 03 f3 c3 90 c7 05 c8 1b 9e c0 01 00 00 00 0f ae f8 89 f6 <c6> 05 00 00 00 00 01 c3 89 f6 8d bc 27 00 00 00 00 8d 50 d0 83
EIP: [<c068124f>] sysrq_handle_crash+0xf/0x20 SS:ESP 0068:ef4dbf24
CR2: 0000000000000000

crash> bt
PID: 5591   TASK: f196d560  CPU: 2   COMMAND: "bash"
 #0 [ef4dbdcc] crash_kexec at c0494922
 #1 [ef4dbe20] oops_end at c080e402
 #2 [ef4dbe34] no_context at c043089d
 #3 [ef4dbe58] bad_area at c0430b26
 #4 [ef4dbe6c] do_page_fault at c080fb9b
 #5 [ef4dbee4] error_code (via page_fault) at c080d809
    EAX: 00000063  EBX: 00000063  ECX: c09e1c8c  EDX: 00000000  EBP: 00000000
    DS:  007b      ESI: c0a09ca0  ES:  007b      EDI: 00000286  GS:  00e0
    CS:  0060      EIP: c068124f  ERR: ffffffff  EFLAGS: 00010096
 #6 [ef4dbf18] sysrq_handle_crash at c068124f
 #7 [ef4dbf24] __handle_sysrq at c0681469
 #8 [ef4dbf48] write_sysrq_trigger at c068150a
 #9 [ef4dbf54] proc_reg_write at c0569ec2
#10 [ef4dbf74] vfs_write at c051de4e
#11 [ef4dbf94] sys_write at c051e8cc
#12 [ef4dbfb0] system_call at c0409ad5
    EAX: ffffffda  EBX: 00000001  ECX: b7776000  EDX: 00000002
    DS:  007b      ESI: 00000002  ES:  007b      EDI: b7776000
    SS:  007b      ESP: bfcb2088  EBP: bfcb20b4  GS:  0033
    CS:  0073      EIP: 00edc416  ERR: 00000004  EFLAGS: 00000246

crash> ps
   PID    PPID  CPU   TASK    ST  %MEM     VSZ    RSS  COMM
>     0      0   0  c09dc560  RU   0.0       0      0  [swapper]
>     0      0   1  f7072030  RU   0.0       0      0  [swapper]
      0      0   2  f70a3a90  RU   0.0       0      0  [swapper]
>     0      0   3  f70ac560  RU   0.0       0      0  [swapper]
      1      0   1  f705ba90  IN   0.0    2828   1424  init
... several lines omitted ...
   5566      1   1  f2592560  IN   0.0   12876    784  auditd
   5567      1   2  ef427560  IN   0.0   12876    784  auditd
   5587   5132   0  f196d030  IN   0.0   11064   3184  sshd
>  5591   5587   2  f196d560  RU   0.0    5084   1648  bash

crash> vm
PID: 5591   TASK: f196d560  CPU: 2   COMMAND: "bash"
   MM       PGD      RSS    TOTAL_VM
f19b5900  ef9c6000  1648k    5084k
  VMA       START      END    FLAGS  FILE
f1bb0310    242000    260000 8000875  /lib/ld-2.12.so
f26af0b8    260000    261000 8100871  /lib/ld-2.12.so
efbc275c    261000    262000 8100873  /lib/ld-2.12.so
efbc2a18    268000    3ed000 8000075  /lib/libc-2.12.so
efbc23d8    3ed000    3ee000 8000070  /lib/libc-2.12.so
efbc2888    3ee000    3f0000 8100071  /lib/libc-2.12.so
efbc2cd4    3f0000    3f1000 8100073  /lib/libc-2.12.so
efbc243c    3f1000    3f4000 100073
efbc28ec    3f6000    3f9000 8000075  /lib/libdl-2.12.so
efbc2568    3f9000    3fa000 8100071  /lib/libdl-2.12.so
efbc2f2c    3fa000    3fb000 8100073  /lib/libdl-2.12.so
f26af888    7e6000    7fc000 8000075  /lib/libtinfo.so.5.7
f26aff2c    7fc000    7ff000 8100073  /lib/libtinfo.so.5.7
efbc211c    d83000    d8f000 8000075  /lib/libnss_files-2.12.so
efbc2504    d8f000    d90000 8100071  /lib/libnss_files-2.12.so
efbc2950    d90000    d91000 8100073  /lib/libnss_files-2.12.so
f26afe00    edc000    edd000 4040075
f1bb0a18   8047000   8118000 8001875  /bin/bash
f1bb01e4   8118000   811d000 8101873  /bin/bash
f1bb0c70   811d000   8122000 100073
f26afae0   9fd9000   9ffa000 100073
... several lines omitted ...

crash> files
PID: 5591   TASK: f196d560  CPU: 2   COMMAND: "bash"
ROOT: /    CWD: /root
 FD    FILE     DENTRY    INODE    TYPE  PATH
  0  f734f640  eedc2c6c  eecd6048  CHR   /pts/0
  1  efade5c0  eee14090  f00431d4  REG   /proc/sysrq-trigger
  2  f734f640  eedc2c6c  eecd6048  CHR   /pts/0
 10  f734f640  eedc2c6c  eecd6048  CHR   /pts/0
255  f734f640  eedc2c6c  eecd6048  CHR   /pts/0

crash> exit
~]#

在群集环境中使用 Kdump 时需要考虑哪些事项？

如何配置 kdump 以用于 RHEL 6 7 高可用性附加组件？显示使用高可用性附加组件的系统管理员可以使用的选项。

Kdump 在早期启动过程中失败，如何捕获引导日志？

如果启动第二个内核时出现问题，则需要查看早期启动日志，可以通过在受影响的机器上启用串行控制台来获取这些日志。

我如何在 RHEL7 中设置串行控制台？显示启用对早期引导消息的访问所需的配置。

如何增加来自 makedumpfile 进行调试的消息传递？

如果 makedumpfile 失败，则需要提高日志级别来了解错误。这与设置转储级别不同，通过编辑 /etc/kdump.conf 并增加 message_level 选项以在 core_collector 行条目上创建 dumpfile 来实现。

默认情况下 ，makedumpfile 设置为级别 1，这会将输出限制为进度指示符。通过将此消息级别设置为 31 来启用所有调试信息。消息级别 31 将打印进度指示符、常见消息、错误消息、调试消息和报告消息的详细信息。

确定您的 core_collector 配置行在设置时类似如下：

core_collector makedumpfile -l --message-level 1 -d 31

如何调试 Dracut？

一些时间 dracut 可能无法构建 initramfs。如果发生这种情况，请提高日志级别 in dracut 来隔离问题。

编辑 /etc/kdump.conf 并更改 dracut_args 行，使其除您需要的任何其他 dracut 参数外还包含选项 -L 5。

如果您没有配置其它选项 in dracut_args，结果类似如下：

dracut_args -L 5

虚拟机可以使用哪种转储方式？

在大多数情况下，kdump 机制 足以在崩溃或 panic 后从机器获取内存转储。这可以像安装到裸机一样进行设置。

然而，在某些情况下，需要直接与管理程序合作来获取崩溃转储。libvirt 可通过两种机制实现此目标：pv panic 和 virsh 转储。这两个方法均在《虚拟化部署和管理指南》中进行了说明。

pvpanic 机制可在《 虚拟化部署和管理指南》中找到 - 设置 Panic 设备.

在《 虚拟化部署和管理指南》 - 创建域核心的转储文件时，对 virsh dump 命令进行了讨论。

如何上传大型转储文件到红帽支持服务？

在某些情况下，可能需要向 Red Hat 全球支持服务发送内核崩溃转储文件进行分析。但是，转储文件可能非常大，即使在过滤后也是如此。由于在打开新的支持问题单时，大于 250 MB 的文件无法通过红帽客户门户网站直接上传，红帽会提供 FTP 服务器以上传大型文件。

FTP 服务器的地址为 dropbox.redhat.com，这些文件将上传到 /in传入/ 目录中。您的 FTP 客户端需要设置为被动模式；如果您的防火墙不允许此模式，请使用活动模式的 origin-dropbox.redhat.com 服务器。

确保上传的文件使用 gzip 等程序进行压缩，并且使用描述性正确命名。建议在文件名中使用您的支持问题单号。成功上传所有必要文件后，请为工程师提供确切的文件名及其 SHA1 或 MD5 校验和。

如需了解更多具体步骤和其他信息，请参阅如何向红帽支持提供文件。

完成崩溃转储需要多长时间？

对于灾难恢复规划而言，通常需要知道转储完成所需的时间。但是，需要花费的时间长度高度依赖于复制到磁盘的内存量以及 RAM 和存储之间的接口速度。

对于时间测试，系统必须在代表负载下运行，否则页面排除选项可能会使用完全载入的生产系统给出 kdump 行为的假视图。在处理大量 RAM 时，尤其会出现这种差异。

在评估转储时间时，规划中的存储接口也应考虑。由于网络限制，例如，通过 ssh 进行连接转储可能需要比本地附加的 SATA 磁盘更长的时间。

安装期间如何配置 Kdump？

您可以在安装过程中使用一组有限的选项在 kickstart 或交互式 GUI 中配置 kdump。

使用 anaconda 安装 GUI 的 kdump 配置记录在《安装指南》的 KDUMP 部分。

kickstart 语法是：

%addon com_redhat_kdump [--disable,enable] [--reserve-mb=[auto,value]]
%end

使用这个附加组件到 Kickstart，您可以禁用或启用 kdump 功能（可选地定义保留内存大小），或者通过显式调用 auto 的默认选项（忽略整个交换机的情况）或者指定以 MB 为单位的数字值。

要了解如何使用 Kickstart 自动执行系统部署，请阅读《安装指南》中的 Kickstart 安装。

有关 Kickstart 附加组件语法的详情，请查看《安装指南》中的 Kickstart 语法参考。

Portal Labs 是小型 Web 应用程序，可帮助系统管理员执行多个系统任务。目前有两个侧重于 Kdump 的实验。Kdump Helper 和 Kernel Oops Analyzer.

完整性子系统是负责维护系统数据完整性的内核的一部分。此子系统有助于防止用户对特定系统文件进行不必要的修改，从而使系统处于初始状态。

内核完整性子系统由两个主要组件组成：

IMA 和 EVM 还包含大量额外功能扩展。例如：

内核完整性子系统可以使用 Trusted Platform 模块(TPM)来进一步增强系统安全性。TPM 是受信任的计算组(TCG)中有关重要加密功能的规范。TPM 通常作为专用硬件实施，附加到平台的主板，并通过为硬件芯片受保护且受篡改区域提供加密功能来防止基于软件的攻击。TPM 的一些功能有：

完整性测量架构(IMA)是内核完整性子系统的一个组件。IMA 旨在通过在访问之前测量、存储和应用垃圾文件哈希来维护本地文件的内容。这可防止读取和执行不可靠数据并增强系统安全性。

扩展验证模块(EVM)是内核完整性子系统的一个组件，可监控文件的扩展属性(xattr)中的更改。许多面向安全的技术，包括完整性测量架构(IMA)，将敏感文件信息（如内容散列）存储在扩展属性中。EVM 从这些扩展属性和特殊密钥创建另一个哈希值，该密钥在引导时加载。每次使用扩展属性时，生成的哈希都会被验证。例如，当 IMA 评估 文件时。

受信任和 加密的密钥是内核生成的可变长度对称密钥，供内核密钥环服务使用。这种类型的密钥永远不会以未加密的形式出现在用户空间中，这意味着可以验证其完整性。因此，例如扩展验证模块(EVM)可以使用它们来验证并确认运行中系统的完整性。用户级别程序只能访问加密的 Blob 格式的密钥。

受信任的密钥需要硬件组件：受信任的平台模块(TPM)芯片，它用于创建和加密密钥。TPM 使用名为存储根密钥(SRK)的 2048 位 RSA 密钥密封密钥。

有关可信和加密密钥的更多信息，请参阅 RHEL 7 安全指南中的受 信任和加密密钥 部分。

完整性测量架构(IMA)和扩展验证模块(EVM)是内核完整性子系统的组成部分，以各种方式增强系统安全性。配置 IMA 和 EVM 可让您签署文件，从而增强系统的安全性。

完整性测量架构(IMA) 的第一级操作是测量阶段，它允许创建文件哈希并将其存储为这些文件的扩展属性(xattrs)。下面的部分论述了如何创建和检查文件的哈希。