RHELのうるう秒対策について

Facebooktwittermail

2015年7月1日 9:00(JST)に実施されるうるう秒ですが、いよいよ一週間後に迫りました。

8:59:59 -> 8:59:60 -> 9:00:00と時が刻むことになるとか。
これがLinuxカーネルには致命傷になる場合があるとかで、いろいろ対策が出ています。

こちらによく纏められています。
7/1の閏秒を迎えるにあたってLinuxでは何をすべきか?
http://hiroki.jp/leap-second-2015

今更ですがRedHat Enterprise Linuxではどうなのか調べてみました。
以下、閲覧にはRHNアカウントが必要な場合がありますのでご了承下さい。


Resolve Leap Second Issues in Red Hat Enterprise Linux
https://access.redhat.com/articles/15145

(日本語)
Red Hat Enterprise Linux でうるう秒問題を解決する
https://access.redhat.com/ja/articles/106233

既知の問題としてRHEL 4からRHEL 7について記述があります。
RHEL 4では
・うるう秒挿入のメッセージを表示してシステムハングアップする可能性
・ntpdで同期していないならうるう秒対策済みのtzdata-2015a-1.el4以降のバージョンをインストールする必要
などのようです。

RHEL 5、RHEL 6も同様にシステムハングアップする可能性があるようです。
で、さらに調べるとRedHatでは診断ツールが提供されていました。

Leap Second Vulnerability Detector
https://access.redhat.com/labs/leapsecond/

ここにleap_vulnerability.sh (script version 9.2) があります。

このスクリプトを見てみると
・tzdataのアップデートの必要性
・カーネルアップデートの必要性
・ntpのアップデートの必要性
・ntpd -x起動の必要性
がチェックされているようです。
問題無いと思われる場合は”Not vulnerable”と表示されます。

/etc/redhat-releaseなどをチェックしていないので試しにCentOS 6でテストしてみました。
・CentOS release 6.5 (Final)
・Kernel 2.6.32-504.16.2.el6.x86_64

  1. ntpd
  2. テスト環境でntpdは動作しています。

  3. leap_vulnerability.shの実行権限
  4. leap_vulnerability.shをテストサーバにコピーして実行権限を付加します。

  5. テスト実行
  6. tzdataのアップデートが必要とのこと。

  7. tzdataアップデート
  8. tzdata-2015e-1.el6.noarchにアップデートしました。

  9. 再度診断ツール実行
  10. 大丈夫そうです。このテスト環境ではntpd -xは必要なさそうです。

Image20150624114201

しかしカーネルのアップデートが必要になるとシステム全体に影響してくるから、かなり難しくなりそうです。

ウィルス対策のServerProtect for Linuxなどはリアルタイムスキャンの為にカーネルフックモジュール(KHM)を設定するので、いきなりカーネルをアップデートしたらクラッシュする可能性があります。
実はカーネルに不適合はKHMを設定してクラッシュさせた経験あり(^^;;
こうなると現地に飛んで強制再起動になったりします。

しかし前回の2012年7月1日ってどうしたかなぁ….

Leave a Reply