Как предотвратить отключение сервисов?

вдс не ребутится случайно?

причину выяснить помогут логи :) Ну и

cat /proc/user_beancounters

посмотрите. Значения в последней колонке в идеале должны быть нулями. Чем больше цифра - тем хуже. Подробнее в гугле (расшифровка user_beancounters).

> Чем больше цифра - тем хуже.

Точнее плохо, если есть постоянный рост. Само по себе число просто показывает, что были моменты, когда было плохо.

Верно. Хотя если виртуалке две недели, а там миллионы :)

В логах pur-ftpd ничего интересного нет.

В messages типичными сообщениями являются:

Aug 30 03:35:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:35:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:40:02 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:40:02 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:45:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:45:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:50:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:50:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:55:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:55:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:00:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:00:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:02:11 dea freshclam[17447]: ClamAV update process started at Mon Aug 30 04:02:11 2010 Aug 30 04:02:11 dea freshclam[17447]: main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven) Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11730.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11731.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11732.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11733.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: daily.cld updated (version: 11733, sigs: 116605, f-level: 53, builder: guitar) Aug 30 04:02:12 dea freshclam[17447]: Your ClamAV installation is OUTDATED! Aug 30 04:02:12 dea freshclam[17447]: Current functionality level = 51, recommended = 53 Aug 30 04:02:12 dea freshclam[17447]: DON'T PANIC! Read http://www.clamav.net/support/faq Aug 30 04:02:12 dea freshclam[17447]: bytecode.cld is up to date (version: 39, sigs: 9, f-level: 53, builder: edwin) Aug 30 04:02:12 dea freshclam[17447]: Current functionality level = 51, recommended = 53 Aug 30 04:02:12 dea freshclam[17447]: Please check if ClamAV tools are linked against the proper version of libclamav Aug 30 04:02:12 dea freshclam[17447]: DON'T PANIC! Read http://www.clamav.net/support/faq Aug 30 04:02:12 dea freshclam[17447]: Database updated (821341 signatures) from db.local.clamav.net (IP: 168.143.19.95) Aug 30 04:02:12 dea freshclam[17447]: Clamd was NOT notified: Can't connect to clamd on 127.0.0.1:3310 Aug 30 04:02:12 dea logrotate: ALERT exited abnormally with [1] Aug 30 04:05:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:05:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:10:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:10:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:15:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:15:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:20:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:20:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout.

Вижу что какая-то трабла с антивирем и постоянно какие-то соединения по ftp. Скорее всего ISPCongig проверяет коннект к FTP. В boot логах ничего нет.

Посмотрел secure логи и ужаснулся, увидел что следующее сообщение повторяется чуть-ли не каждую секунду:

Sep 19 04:33:18 dea sshd[3880]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX user=root Sep 19 04:33:20 dea sshd[3880]: Failed password for root from XXX.XXX.XXX.XXX port 40139 ssh2 Sep 19 04:33:21 dea sshd[5125]: Received disconnect from XXX.XXX.XXX.XXX: Bye Bye Sep 19 04:33:21 dea sshd[5468]: Address 188.72.197.75 maps to XXX.XXX.XXX.XXX.YYYYYYYYYYY.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

Кто-то пытается меня ломануть. Быть может из-за этого сервисы падают? Как поставить защиту от брутфорса?

Не могу найти логи, в которых бы было видно когда сервисы отключаются.

C колонкой failcnt все в порядке - везде нули.

С clamav проблем нету, про фтпшник вы праввильно подумали.

Записи в secure - брутфорс. Если брутить настойчиво, то тормоза могут иметь место. Самый простой способ защититься от брута - перевесить sshd на любой другой порт (как правило, юные скриптктддисы пользуются гибридами сканеров и брутфорсеров). В дополнение к этому можно еще поставить denyhosts.

Спасибо, буду следовать вашим советам. А насчет логов, как все-таким можно посмотреть почему сервисы выключаются?

Странно, что после перезагрузки некоторые сервисы не запустились. Один админ, который смотрел мой сервер пару месяцев назад, сказал, что порядок запуска сервисов неправильный. Как это можно проверить?

Вообще, демоны, как правило, о выходе информацию логируют, если только их убивают не через kill -9. «Порядок запуска сервисов» - это, видимо, товарищ про rc`default runlevel`.d . В вашем случае влиять на перезапуск демонов не влияет.

Вообще, я бы поставил monit и не парился.

А сколько памяти на вдс?

MemTotal:   402653184 MemFree:   293011456 LowTotal:   402653184 LowFree:   293011456

Поставил monit - и не парюсь :) Спасибо!