ISUCON10に参加して惨敗した。その後のDiscordや参加者記事で知らなかったことなどを調べたり試してみた。

AppArmor

・強制アクセス制御を実現するソフトウェア。
・当日は16のプロファイルが設定されており、プロファイルが許可しない挙動はブロックする(Enforceモード)となっていた模様。
・挙動監視するためゼロデイ攻撃などに有効であるが、ISUCONでは無効にしたほうがよさそう。

# aa-status
apparmor module is loaded.
16 profiles are loaded.
16 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/lxc-start
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/mysqld
   /usr/sbin/tcpdump
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   man_filter
   man_groff
0 profiles are in complain mode.
0 processes have profiles defined.
0 processes are in enforce mode.
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

# systemctl stop apparmor.service
# systemctl disable apparmor.service
Synchronizing state of apparmor.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install disable apparmor

netdata

・リアルタイムパフォーマンスモニタリングができるツール。監視データの長期保存はできない。
具体的には1秒ごとのデータを収集し、デフォルトの保存期間は1時間。

# apt install netdata
# sed -i -e "s/bind socket to IP = 127.0.0.1/bind socket to IP = 0.0.0.0/" /etc/netdata/netdata.conf
# systemctl restart netdata

参考

・Ubuntu 18.04: AppArmorで強制アクセス制御
・リアルタイムなリソースモニタリングツールのnetdataを試してみた