Re: systemd: Exklusives Starten eines Service beim Booten

To: debian-user-german@lists.debian.org
Subject: Re: systemd: Exklusives Starten eines Service beim Booten
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Thu, 23 Nov 2017 12:02:56 +0100
Message-id: <[🔎] 2331814.6bvKyKnEA4@merkaba>
In-reply-to: <[🔎] ed64aa94b2856c4ff2bbe780bab5d74a@cs.uni-dortmund.de>
References: <[🔎] de6e3b6fa831252234726c95c68e7797@cs.uni-dortmund.de> <[🔎] e88075d7-2a19-e5ec-8459-457324d8d1b6@proxmox.com> <[🔎] ed64aa94b2856c4ff2bbe780bab5d74a@cs.uni-dortmund.de>

Christoph Pleger - 23.11.17, 11:19:
> > Aber, ich habe ein leichten Verdacht das dass hier ein XY Problem ist.
> > Wenn du alles in eine CGroup packen willst nur um allen Prozessen eine
> > gewisse Ressource-Limitation aufzudrücken, verwende doch einfach
> > /etc/systemd/system.conf (oder /etc/systemd/system.conf.d/*.conf
> > respektive)
> 
> Es geht darum, beim Booten erstens alle Systemprozesse in eine eigene
> cgroup zu verschieben und zweitens jeweils eine neue cgroup für lokale
> und Remote-User einzurichten. Später werden dann per pam_exec beim Login
> die Prozesse des neu angemeldeten Nutzers in die entsprechende cgroup
> eingeordnet, so dass letzlich der lokale Nutzer nicht durch SSH-Logins
> anderer Nutzer zu stark blockiert werden kann und außerdem
> Systemprozesse auch genügend CPU-Ressourcen abbekommen.

Systemd packt doch die Benutzer bereits in Slices. Das dürfte also bereits via
/etc/systemd/user.conf bzw. angepassten Slice-Konfigurationen gehen. (siehe 
Manpages systemd.slice, systemd-logind )

> Jetzt stelle ich aber gerade ein neues Problem fest: Logins mit $USERID
> < 100 sollen in die System-Gruppe eingeordnet werden. Nach einem
> SSH-Login von root steht die PID des Login-Prozesses aber nicht in
> /sys/fs/cgroup/cpu,cpuacct/system/tasks, sondern in
> /sys/fs/cgroup/cpu,cpuacct/tasks - obwohl die Parent-PID, nämlich der
> SSH-Daemon, in der Systemgruppe ist. Wurden nicht sonst Kindprozesse
> immer automatisch in die cgroup eingeordnet, zu der auch der
> Elter-Prozess gehört?

Ich hab den Eindruck, dass Du teilweise Systemd nachbauen möchtest. Systemd 
packt Dienste bereits in eigenes Slices und Dienste lassen sich auch mit 
eigenen Limits belegen.

Daher lässt sich für SSH auch pauschal nochmal ein Anteil an CPU-Zeit 
reservieren.

Siehe auch die Manpage systemd.resource-control.

Falls ihr kein Problem damit habt, Systemd zu Hilfe zu nehmen, empfehle ich, 
die umfangreiche Systemd-Dokumentation erst mal nach Ansätzen durch zu 
stöbern.

Alternativ gibt es auch noch cgmanager, falls doch Sysvinit zum Einsatz kommen 
soll.

In Bezug auf Control Groups gibt es die Idee, dass nur *ein* Prozess dort drin 
rum bastelt. Ich weiß noch nicht so ganz, ob ich das so gut finde…

Danke,
-- 
Martin

Reply to:

References:
- systemd: Exklusives Starten eines Service beim Booten
  - From: Christoph Pleger <christoph.pleger@cs.uni-dortmund.de>
- Re: systemd: Exklusives Starten eines Service beim Booten
  - From: Thomas Lamprecht <t.lamprecht@proxmox.com>
- Re: systemd: Exklusives Starten eines Service beim Booten
  - From: Christoph Pleger <christoph.pleger@cs.uni-dortmund.de>

Prev by Date: Re: systemd: Exklusives Starten eines Service beim Booten
Next by Date: Re: Steuererklärung unter Debian
Previous by thread: Re: systemd: Exklusives Starten eines Service beim Booten
Next by thread: Comandline Tool fuer PAM autentication?
Index(es):
- Date
- Thread