security: Protection for exploiting null dereference using mmap
[linux-2.6.git] / Documentation / sysctl / vm.txt
1 Documentation for /proc/sys/vm/*        kernel version 2.2.10
2         (c) 1998, 1999,  Rik van Riel <riel@nl.linux.org>
3
4 For general info and legal blurb, please look in README.
5
6 ==============================================================
7
8 This file contains the documentation for the sysctl files in
9 /proc/sys/vm and is valid for Linux kernel version 2.2.
10
11 The files in this directory can be used to tune the operation
12 of the virtual memory (VM) subsystem of the Linux kernel and
13 the writeout of dirty data to disk.
14
15 Default values and initialization routines for most of these
16 files can be found in mm/swap.c.
17
18 Currently, these files are in /proc/sys/vm:
19 - overcommit_memory
20 - page-cluster
21 - dirty_ratio
22 - dirty_background_ratio
23 - dirty_expire_centisecs
24 - dirty_writeback_centisecs
25 - max_map_count
26 - min_free_kbytes
27 - laptop_mode
28 - block_dump
29 - drop-caches
30 - zone_reclaim_mode
31 - min_unmapped_ratio
32 - min_slab_ratio
33 - panic_on_oom
34 - mmap_min_address
35
36 ==============================================================
37
38 dirty_ratio, dirty_background_ratio, dirty_expire_centisecs,
39 dirty_writeback_centisecs, vfs_cache_pressure, laptop_mode,
40 block_dump, swap_token_timeout, drop-caches:
41
42 See Documentation/filesystems/proc.txt
43
44 ==============================================================
45
46 overcommit_memory:
47
48 This value contains a flag that enables memory overcommitment.
49
50 When this flag is 0, the kernel attempts to estimate the amount
51 of free memory left when userspace requests more memory.
52
53 When this flag is 1, the kernel pretends there is always enough
54 memory until it actually runs out.
55
56 When this flag is 2, the kernel uses a "never overcommit"
57 policy that attempts to prevent any overcommit of memory.  
58
59 This feature can be very useful because there are a lot of
60 programs that malloc() huge amounts of memory "just-in-case"
61 and don't use much of it.
62
63 The default value is 0.
64
65 See Documentation/vm/overcommit-accounting and
66 security/commoncap.c::cap_vm_enough_memory() for more information.
67
68 ==============================================================
69
70 overcommit_ratio:
71
72 When overcommit_memory is set to 2, the committed address
73 space is not permitted to exceed swap plus this percentage
74 of physical RAM.  See above.
75
76 ==============================================================
77
78 page-cluster:
79
80 The Linux VM subsystem avoids excessive disk seeks by reading
81 multiple pages on a page fault. The number of pages it reads
82 is dependent on the amount of memory in your machine.
83
84 The number of pages the kernel reads in at once is equal to
85 2 ^ page-cluster. Values above 2 ^ 5 don't make much sense
86 for swap because we only cluster swap data in 32-page groups.
87
88 ==============================================================
89
90 max_map_count:
91
92 This file contains the maximum number of memory map areas a process
93 may have. Memory map areas are used as a side-effect of calling
94 malloc, directly by mmap and mprotect, and also when loading shared
95 libraries.
96
97 While most applications need less than a thousand maps, certain
98 programs, particularly malloc debuggers, may consume lots of them,
99 e.g., up to one or two maps per allocation.
100
101 The default value is 65536.
102
103 ==============================================================
104
105 min_free_kbytes:
106
107 This is used to force the Linux VM to keep a minimum number 
108 of kilobytes free.  The VM uses this number to compute a pages_min
109 value for each lowmem zone in the system.  Each lowmem zone gets 
110 a number of reserved free pages based proportionally on its size.
111
112 ==============================================================
113
114 percpu_pagelist_fraction
115
116 This is the fraction of pages at most (high mark pcp->high) in each zone that
117 are allocated for each per cpu page list.  The min value for this is 8.  It
118 means that we don't allow more than 1/8th of pages in each zone to be
119 allocated in any single per_cpu_pagelist.  This entry only changes the value
120 of hot per cpu pagelists.  User can specify a number like 100 to allocate
121 1/100th of each zone to each per cpu page list.
122
123 The batch value of each per cpu pagelist is also updated as a result.  It is
124 set to pcp->high/4.  The upper limit of batch is (PAGE_SHIFT * 8)
125
126 The initial value is zero.  Kernel does not use this value at boot time to set
127 the high water marks for each per cpu page list.
128
129 ===============================================================
130
131 zone_reclaim_mode:
132
133 Zone_reclaim_mode allows someone to set more or less aggressive approaches to
134 reclaim memory when a zone runs out of memory. If it is set to zero then no
135 zone reclaim occurs. Allocations will be satisfied from other zones / nodes
136 in the system.
137
138 This is value ORed together of
139
140 1       = Zone reclaim on
141 2       = Zone reclaim writes dirty pages out
142 4       = Zone reclaim swaps pages
143
144 zone_reclaim_mode is set during bootup to 1 if it is determined that pages
145 from remote zones will cause a measurable performance reduction. The
146 page allocator will then reclaim easily reusable pages (those page
147 cache pages that are currently not used) before allocating off node pages.
148
149 It may be beneficial to switch off zone reclaim if the system is
150 used for a file server and all of memory should be used for caching files
151 from disk. In that case the caching effect is more important than
152 data locality.
153
154 Allowing zone reclaim to write out pages stops processes that are
155 writing large amounts of data from dirtying pages on other nodes. Zone
156 reclaim will write out dirty pages if a zone fills up and so effectively
157 throttle the process. This may decrease the performance of a single process
158 since it cannot use all of system memory to buffer the outgoing writes
159 anymore but it preserve the memory on other nodes so that the performance
160 of other processes running on other nodes will not be affected.
161
162 Allowing regular swap effectively restricts allocations to the local
163 node unless explicitly overridden by memory policies or cpuset
164 configurations.
165
166 =============================================================
167
168 min_unmapped_ratio:
169
170 This is available only on NUMA kernels.
171
172 A percentage of the total pages in each zone.  Zone reclaim will only
173 occur if more than this percentage of pages are file backed and unmapped.
174 This is to insure that a minimal amount of local pages is still available for
175 file I/O even if the node is overallocated.
176
177 The default is 1 percent.
178
179 =============================================================
180
181 min_slab_ratio:
182
183 This is available only on NUMA kernels.
184
185 A percentage of the total pages in each zone.  On Zone reclaim
186 (fallback from the local zone occurs) slabs will be reclaimed if more
187 than this percentage of pages in a zone are reclaimable slab pages.
188 This insures that the slab growth stays under control even in NUMA
189 systems that rarely perform global reclaim.
190
191 The default is 5 percent.
192
193 Note that slab reclaim is triggered in a per zone / node fashion.
194 The process of reclaiming slab memory is currently not node specific
195 and may not be fast.
196
197 =============================================================
198
199 panic_on_oom
200
201 This enables or disables panic on out-of-memory feature.
202
203 If this is set to 0, the kernel will kill some rogue process,
204 called oom_killer.  Usually, oom_killer can kill rogue processes and
205 system will survive.
206
207 If this is set to 1, the kernel panics when out-of-memory happens.
208 However, if a process limits using nodes by mempolicy/cpusets,
209 and those nodes become memory exhaustion status, one process
210 may be killed by oom-killer. No panic occurs in this case.
211 Because other nodes' memory may be free. This means system total status
212 may be not fatal yet.
213
214 If this is set to 2, the kernel panics compulsorily even on the
215 above-mentioned.
216
217 The default value is 0.
218 1 and 2 are for failover of clustering. Please select either
219 according to your policy of failover.
220
221 ==============================================================
222
223 mmap_min_addr
224
225 This file indicates the amount of address space  which a user process will
226 be restricted from mmaping.  Since kernel null dereference bugs could
227 accidentally operate based on the information in the first couple of pages
228 of memory userspace processes should not be allowed to write to them.  By
229 default this value is set to 0 and no protections will be enforced by the
230 security module.  Setting this value to something like 64k will allow the
231 vast majority of applications to work correctly and provide defense in depth
232 against future potential kernel bugs.
233