İçeriğe Atla
Rehberler · 10 dk okuma · görüntülenme
100%

systemd-coredump ile Core Dump Yönetimi ve Gizlilik Runbook’u

Üretimde core dump toplamak: limit, saklama, şifreleme, erişim ve incident sırasında güvenli analiz için pratik runbook.

#linux #systemd #debugging #security #operations #incident
Core dump dosyaları ve güvenli saklama katmanını gösteren kapak görseli

Core dump, üretimde “en faydalı ama en riskli” debug artefaktlarından biridir. Çünkü bir prosesin belleğini yakalarsınız: bu, root-cause için altın değerinde olabilir; ama aynı zamanda secret / token / PII gibi verileri de içerebilir.

Bu runbook’un hedefi şu dengeyi kurmak:

  • Debug için yeterli veri (özellikle nadir crash’ler)
  • Disk ve performans kontrolü
  • Gizlilik ve erişim modeli
  • Incident sırasında “güvenli analiz” akışı

1) Karar: Core dump açık mı, kapalı mı?

İlk soru teknik değil, operasyonel:

  • Crash nadir mi, reprodüksiyon zor mu?
  • İlgili servis PII/secret taşıyor mu?
  • Log/metric/trace ile aynı teşhis yapılabiliyor mu?

2) Temel kontrol noktaları

Linux’ta core dump akışını belirleyen ana bileşenler:

  • ulimit -c (core dump boyut limiti)
  • /proc/sys/kernel/core_pattern (nereye yazılacağı)
  • systemd’nin systemd-coredump davranışı (coredump.conf)

Hızlı durum kontrolü

ulimit -c
sysctl kernel.core_pattern
systemctl status systemd-coredump

3) systemd-coredump yapılandırması (örnek yaklaşım)

Dağıtıma göre path değişebilir; çoğu sistemde:

  • /etc/systemd/coredump.conf
  • /etc/systemd/coredump.conf.d/*.conf

Örnek politika: boyutu ve saklamayı sınırla, disk dolmasını önle:

[Coredump]
# core dosyalarını diske yaz
Storage=external

# boyut limitleri (örnek)
ProcessSizeMax=2G
ExternalSizeMax=2G

# toplam disk kotası (örnek)
MaxUse=10G
KeepFree=5G

# eski core'ları temizleme
Compress=yes

Değişiklik sonrası:

sudo systemctl daemon-reload

4) Gizlilik: Core dump bir “secret kaynağıdır”

Core dump’larınızı şu klasmanda düşünün:

  • Erişim: sadece incident/debug rolü (en az ayrıcalık)
  • Saklama: kısa süreli (ör. 7-14 gün)
  • Aktarım: şifreli kanal + hedefte şifreleme
  • Audit: kim okudu, ne zaman indirdi, hangi ticket ile

Pratik koruma seti:

  • Core dump dizinine root-only izinler
  • Merkezi log hattına “coredump created” event’i
  • Eğer dışarı taşınıyorsa: şifreli artefact store (ve mümkünse WORM/immutability)

5) Incident runbook: Crash olduğunda ne yapacağız?

  1. Crash’i doğrula:
journalctl -u systemd-coredump --since "2 hours ago"
coredumpctl list --since "2 hours ago"
  1. Hangi binary ve hangi versiyon?
  • paket versiyonu / image digest
  • deploy zamanı
  • config/flag versiyonu (değer değil, sürüm)
  1. Analiz ortamı:
  • Core dump’ı üretim sunucusunda analiz etme (risk + performans)
  • Ayrı bir “debug VM” veya izole ortam kullan
  1. Erişim ve kayıt:
  • “Kim aldı?” kaydı (ticket)
  • Artefact lifecycle: analiz bitince temizle

6) Sık görülen hatalar

  • Sınırsız core dump: disk dolar, incident büyür
  • Secrets içeren proseslerde kontrolsüz saklama
  • Debug erişimi “herkese açık” (kötü pratik)
  • Core dump alındıktan sonra “temizlik” yapılmaması

Doğru tasarlanmış core dump politikası; crash’leri hızlı teşhis eder, aynı zamanda güvenlik ve operasyon maliyetini yönetilebilir kılar. Üretimde amaç “daha çok veri” değil, doğru veri + kontrollü süreç olmalı.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Rehberler

systemd-journal-remote ile Merkezi Loglama: mTLS ve Retention

Agent eklemeden journald loglarını mTLS ile merkezi toplayıp disk bütçesi/retention disipliniyle işletmek için pratik kurulum ve runbook.

Rehberler

tcpdump ile Üretimde Paket Yakalama Runbook’u

Incident anında minimal ama yeterli paket kanıtı toplamak için tcpdump pratikleri: filtre, snaplen, ring buffer, gizlilik ve teslim süreci.

Rehberler

systemd Service Sandbox ile Sertleştirme (ProtectSystem, DynamicUser)

Uygulamayı değiştirmeden servisleri daha dar bir izin setine sıkıştırmak: dosya sistemi, capability, syscall ve ağ kısıtları.