mm/oom_kill.c

   1 /*
   2  *  linux/mm/oom_kill.c
   3  *
   4  *  Copyright (C)  1998,2000  Rik van Riel
   5  *      Thanks go out to Claus Fischer for some serious inspiration and
   6  *      for goading me into coding this file...
   7  *
   8  *  The routines in this file are used to kill a process when
   9  *  we're seriously out of memory. This gets called from __alloc_pages()
  10  *  in mm/page_alloc.c when we really run out of memory.
  11  *
  12  *  Since we won't call these routines often (on a well-configured
  13  *  machine) this file will double as a 'coding guide' and a signpost
  14  *  for newbie kernel hackers. It features several pointers to major
  15  *  kernel subsystems and hints as to where to find out what things do.
  16  */
  17
  18 #include <linux/config.h>
  19 #include <linux/mm.h>
  20 #include <linux/sched.h>
  21 #include <linux/swap.h>
  22 #include <linux/timex.h>
  23 #include <linux/jiffies.h>
  24 #include <linux/cpuset.h>
  25
  26 /* #define DEBUG */
  27
  28 /**
  29  * oom_badness - calculate a numeric value for how bad this task has been
  30  * @p: task struct of which task we should calculate
  31  * @uptime: current uptime in seconds
  32  *
  33  * The formula used is relatively simple and documented inline in the
  34  * function. The main rationale is that we want to select a good task
  35  * to kill when we run out of memory.
  36  *
  37  * Good in this context means that:
  38  * 1) we lose the minimum amount of work done
  39  * 2) we recover a large amount of memory
  40  * 3) we don't kill anything innocent of eating tons of memory
  41  * 4) we want to kill the minimum amount of processes (one)
  42  * 5) we try to kill the process the user expects us to kill, this
  43  *    algorithm has been meticulously tuned to meet the principle
  44  *    of least surprise ... (be careful when you change it)
  45  */
  46
  47 unsigned long badness(struct task_struct *p, unsigned long uptime)
  48 {
  49         unsigned long points, cpu_time, run_time, s;
  50         struct mm_struct *mm;
  51         struct task_struct *child;
  52
  53         task_lock(p);
  54         mm = p->mm;
  55         if (!mm) {
  56                 task_unlock(p);
  57                 return 0;
  58         }
  59
  60         /*
  61          * The memory size of the process is the basis for the badness.
  62          */
  63         points = mm->total_vm;
  64
  65         /*
  66          * After this unlock we can no longer dereference local variable `mm'
  67          */
  68         task_unlock(p);
  69
  70         /* FIXME: add vserver badness ;) */
  71
  72         /*
  73          * Processes which fork a lot of child processes are likely
  74          * a good choice. We add half the vmsize of the children if they
  75          * have an own mm. This prevents forking servers to flood the
  76          * machine with an endless amount of children. In case a single
  77          * child is eating the vast majority of memory, adding only half
  78          * to the parents will make the child our kill candidate of choice.
  79          */
  80         list_for_each_entry(child, &p->children, sibling) {
  81                 task_lock(child);
  82                 if (child->mm != mm && child->mm)
  83                         points += child->mm->total_vm/2 + 1;
  84                 task_unlock(child);
  85         }
  86
  87         /*
  88          * CPU time is in tens of seconds and run time is in thousands
  89          * of seconds. There is no particular reason for this other than
  90          * that it turned out to work very well in practice.
  91          */
  92         cpu_time = (cputime_to_jiffies(p->utime) + cputime_to_jiffies(p->stime))
  93                 >> (SHIFT_HZ + 3);
  94
  95         if (uptime >= p->start_time.tv_sec)
  96                 run_time = (uptime - p->start_time.tv_sec) >> 10;
  97         else
  98                 run_time = 0;
  99
 100         s = int_sqrt(cpu_time);
 101         if (s)
 102                 points /= s;
 103         s = int_sqrt(int_sqrt(run_time));
 104         if (s)
 105                 points /= s;
 106
 107         /*
 108          * Niced processes are most likely less important, so double
 109          * their badness points.
 110          */
 111         if (task_nice(p) > 0)
 112                 points *= 2;
 113
 114         /*
 115          * Superuser processes are usually more important, so we make it
 116          * less likely that we kill those.
 117          */
 118         if (cap_t(p->cap_effective) & CAP_TO_MASK(CAP_SYS_ADMIN) ||
 119                                 p->uid == 0 || p->euid == 0)
 120                 points /= 4;
 121
 122         /*
 123          * We don't want to kill a process with direct hardware access.
 124          * Not only could that mess up the hardware, but usually users
 125          * tend to only have this flag set on applications they think
 126          * of as important.
 127          */
 128         if (cap_t(p->cap_effective) & CAP_TO_MASK(CAP_SYS_RAWIO))
 129                 points /= 4;
 130
 131         /*
 132          * Adjust the score by oomkilladj.
 133          */
 134         if (p->oomkilladj) {
 135                 if (p->oomkilladj > 0)
 136                         points <<= p->oomkilladj;
 137                 else
 138                         points >>= -(p->oomkilladj);
 139         }
 140
 141 #ifdef DEBUG
 142         printk(KERN_DEBUG "OOMkill: task %d (%s) got %d points\n",
 143         p->pid, p->comm, points);
 144 #endif
 145         return points;
 146 }
 147
 148 #if defined(CONFIG_OOM_PANIC) && defined(CONFIG_OOM_KILLER)
 149 #warning Only define OOM_PANIC or OOM_KILLER; not both
 150 #endif
 151
 152 #ifdef CONFIG_OOM_KILLER
 153 /*
 154  * Types of limitations to the nodes from which allocations may occur
 155  */
 156 #define CONSTRAINT_NONE 1
 157 #define CONSTRAINT_MEMORY_POLICY 2
 158 #define CONSTRAINT_CPUSET 3
 159
 160 /*
 161  * Determine the type of allocation constraint.
 162  */
 163 static inline int constrained_alloc(struct zonelist *zonelist, gfp_t gfp_mask)
 164 {
 165 #ifdef CONFIG_NUMA
 166         struct zone **z;
 167         nodemask_t nodes = node_online_map;
 168
 169         for (z = zonelist->zones; *z; z++)
 170                 if (cpuset_zone_allowed(*z, gfp_mask))
 171                         node_clear((*z)->zone_pgdat->node_id,
 172                                         nodes);
 173                 else
 174                         return CONSTRAINT_CPUSET;
 175
 176         if (!nodes_empty(nodes))
 177                 return CONSTRAINT_MEMORY_POLICY;
 178 #endif
 179
 180         return CONSTRAINT_NONE;
 181 }
 182
 183 /*
 184  * Simple selection loop. We chose the process with the highest
 185  * number of 'points'. We expect the caller will lock the tasklist.
 186  *
 187  * (not docbooked, we don't want this one cluttering up the manual)
 188  */
 189 static struct task_struct *select_bad_process(unsigned long *ppoints)
 190 {
 191         struct task_struct *g, *p;
 192         struct task_struct *chosen = NULL;
 193         struct timespec uptime;
 194         *ppoints = 0;
 195
 196         do_posix_clock_monotonic_gettime(&uptime);
 197         do_each_thread(g, p) {
 198                 unsigned long points;
 199                 int releasing;
 200
 201                 /* skip the init task with pid == 1 */
 202                 if (p->pid == 1)
 203                         continue;
 204                 if (p->oomkilladj == OOM_DISABLE)
 205                         continue;
 206                 /* If p's nodes don't overlap ours, it won't help to kill p. */
 207                 if (!cpuset_excl_nodes_overlap(p))
 208                         continue;
 209
 210                 /*
 211                  * This is in the process of releasing memory so for wait it
 212                  * to finish before killing some other task by mistake.
 213                  */
 214                 releasing = test_tsk_thread_flag(p, TIF_MEMDIE) ||
 215                                                 p->flags & PF_EXITING;
 216                 if (releasing && !(p->flags & PF_DEAD))
 217                         return ERR_PTR(-1UL);
 218                 if (p->flags & PF_SWAPOFF)
 219                         return p;
 220
 221                 points = badness(p, uptime.tv_sec);
 222                 if (points > *ppoints || !chosen) {
 223                         chosen = p;
 224                         *ppoints = points;
 225                 }
 226         } while_each_thread(g, p);
 227         return chosen;
 228 }
 229
 230 /**
 231  * We must be careful though to never send SIGKILL a process with
 232  * CAP_SYS_RAW_IO set, send SIGTERM instead (but it's unlikely that
 233  * we select a process with CAP_SYS_RAW_IO set).
 234  */
 235 static void __oom_kill_task(task_t *p, const char *message)
 236 {
 237         if (p->pid == 1) {
 238                 WARN_ON(1);
 239                 printk(KERN_WARNING "tried to kill init!\n");
 240                 return;
 241         }
 242
 243         task_lock(p);
 244         if (!p->mm || p->mm == &init_mm) {
 245                 WARN_ON(1);
 246                 printk(KERN_WARNING "tried to kill an mm-less task!\n");
 247                 task_unlock(p);
 248                 return;
 249         }
 250         task_unlock(p);
 251         printk(KERN_ERR "%s: Killed process %d (%s).\n",
 252                                 message, p->pid, p->comm);
 253
 254         /*
 255          * We give our sacrificial lamb high priority and access to
 256          * all the memory it needs. That way it should be able to
 257          * exit() and clear out its resources quickly...
 258          */
 259         p->time_slice = HZ;
 260         set_tsk_thread_flag(p, TIF_MEMDIE);
 261
 262         force_sig(SIGKILL, p);
 263 }
 264
 265 static int oom_kill_task(task_t *p, const char *message)
 266 {
 267         struct mm_struct *mm;
 268         task_t * g, * q;
 269
 270         mm = p->mm;
 271
 272         /* WARNING: mm may not be dereferenced since we did not obtain its
 273          * value from get_task_mm(p).  This is OK since all we need to do is
 274          * compare mm to q->mm below.
 275          *
 276          * Furthermore, even if mm contains a non-NULL value, p->mm may
 277          * change to NULL at any time since we do not hold task_lock(p).
 278          * However, this is of no concern to us.
 279          */
 280
 281         if (mm == NULL || mm == &init_mm)
 282                 return 1;
 283
 284         __oom_kill_task(p, message);
 285         /*
 286          * kill all processes that share the ->mm (i.e. all threads),
 287          * but are in a different thread group
 288          */
 289         do_each_thread(g, q)
 290                 if (q->mm == mm && q->tgid != p->tgid)
 291                         __oom_kill_task(q, message);
 292         while_each_thread(g, q);
 293
 294         return 0;
 295 }
 296
 297 static int oom_kill_process(struct task_struct *p, unsigned long points,
 298                 const char *message)
 299 {
 300         struct task_struct *c;
 301         struct list_head *tsk;
 302
 303         printk(KERN_ERR "Out of Memory: Kill process %d (%s) score %li and "
 304                 "children.\n", p->pid, p->comm, points);
 305         /* Try to kill a child first */
 306         list_for_each(tsk, &p->children) {
 307                 c = list_entry(tsk, struct task_struct, sibling);
 308                 if (c->mm == p->mm)
 309                         continue;
 310                 if (!oom_kill_task(c, message))
 311                         return 0;
 312         }
 313         return oom_kill_task(p, message);
 314 }
 315
 316 /**
 317  * oom_kill - kill the "best" process when we run out of memory
 318  *
 319  * If we run out of memory, we have the choice between either
 320  * killing a random task (bad), letting the system crash (worse)
 321  * OR try to be smart about which process to kill. Note that we
 322  * don't have to be perfect here, we just have to be good.
 323  */
 324 void out_of_memory(struct zonelist *zonelist, gfp_t gfp_mask, int order)
 325 {
 326         task_t *p;
 327         unsigned long points = 0;
 328
 329         if (printk_ratelimit()) {
 330                 printk("oom-killer: gfp_mask=0x%x, order=%d\n",
 331                         gfp_mask, order);
 332                 dump_stack();
 333                 show_mem();
 334         }
 335
 336         cpuset_lock();
 337         read_lock(&tasklist_lock);
 338
 339         /*
 340          * Check if there were limitations on the allocation (only relevant for
 341          * NUMA) that may require different handling.
 342          */
 343         switch (constrained_alloc(zonelist, gfp_mask)) {
 344         case CONSTRAINT_MEMORY_POLICY:
 345                 oom_kill_process(current, points,
 346                                 "No available memory (MPOL_BIND)");
 347                 break;
 348
 349         case CONSTRAINT_CPUSET:
 350                 oom_kill_process(current, points,
 351                                 "No available memory in cpuset");
 352                 break;
 353
 354         case CONSTRAINT_NONE:
 355 retry:
 356                 /*
 357                  * Rambo mode: Shoot down a process and hope it solves whatever
 358                  * issues we may have.
 359                  */
 360                 p = select_bad_process(&points);
 361
 362                 if (PTR_ERR(p) == -1UL)
 363                         goto out;
 364
 365                 /* Found nothing?!?! Either we hang forever, or we panic. */
 366                 if (!p) {
 367                         read_unlock(&tasklist_lock);
 368                         cpuset_unlock();
 369                         panic("Out of memory and no killable processes...\n");
 370                 }
 371
 372                 if (oom_kill_process(p, points, "Out of memory"))
 373                         goto retry;
 374
 375                 break;
 376         }
 377
 378 out:
 379         read_unlock(&tasklist_lock);
 380         cpuset_unlock();
 381
 382         /*
 383          * Give "p" a good chance of killing itself before we
 384          * retry to allocate memory unless "p" is current
 385          */
 386         if (!test_thread_flag(TIF_MEMDIE))
 387                 schedule_timeout_uninterruptible(1);
 388 }
 389 #endif /* CONFIG_OOM_KILLER */
 390
 391 #ifdef CONFIG_OOM_PANIC
 392 /**
 393  * out_of_memory - panic if the system out of memory?
 394  */
 395 void out_of_memory(struct zonelist *zonelist, gfp_t gfp_mask, int order)
 396 {
 397         /*
 398          * oom_lock protects out_of_memory()'s static variables.
 399          * It's a global lock; this is not performance-critical.
 400          */
 401         static spinlock_t oom_lock = SPIN_LOCK_UNLOCKED;
 402         static unsigned long count;
 403
 404         spin_lock(&oom_lock);
 405
 406         /*
 407          * If we have gotten only a few failures,
 408          * we're not really oom.
 409          */
 410         if (++count >= 10) {
 411                 /*
 412                  * Ok, really out of memory. Panic.
 413                  */
 414
 415                 printk("oom-killer: gfp_mask=0x%x\n", gfp_mask);
 416                 show_free_areas();
 417
 418                 panic("Out Of Memory");
 419         }
 420         spin_unlock(&oom_lock);
 421 }
 422 #endif /*  CONFIG_OOM_PANIC */