LINUX.ORG.RU
решено ФорумAdmin

Как предотвратить отключение сервисов?


0

1

У меня есть виртуальный выделенный сервер, на котором стоит CentOS Linux. Виртуализация происходит с помощью viruozzo (parallels).

Время от времени пару раз в неделю у меня падают сервисы, которые я до-устанавил на сервер, а именно (pure-ftpd, mydns, почтовые севера). Говорят, что проблема может быть с памятью, так ли это? Но те сервисыЮ которые были по умолчанию установлены и работали, никогда не падают, это httpd и mysql.

Помогите выяснить в чем причина и как это излечить.

вдс не ребутится случайно?

Deleted
()

причину выяснить помогут логи :) Ну и

cat /proc/user_beancounters

посмотрите. Значения в последней колонке в идеале должны быть нулями. Чем больше цифра - тем хуже. Подробнее в гугле (расшифровка user_beancounters).

leave ★★★★★
()
Ответ на: комментарий от leave

> Чем больше цифра - тем хуже.

Точнее плохо, если есть постоянный рост. Само по себе число просто показывает, что были моменты, когда было плохо.

AS ★★★★★
()
Ответ на: комментарий от AS

Верно. Хотя если виртуалке две недели, а там миллионы :)

leave ★★★★★
()
Ответ на: комментарий от leave

В логах pur-ftpd ничего интересного нет.

В messages типичными сообщениями являются:

Aug 30 03:35:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:35:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:40:02 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:40:02 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:45:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:45:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:50:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:50:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 03:55:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 03:55:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:00:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:00:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:02:11 dea freshclam[17447]: ClamAV update process started at Mon Aug 30 04:02:11 2010 Aug 30 04:02:11 dea freshclam[17447]: main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven) Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11730.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11731.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11732.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: Downloading daily-11733.cdiff [100%] Aug 30 04:02:12 dea freshclam[17447]: daily.cld updated (version: 11733, sigs: 116605, f-level: 53, builder: guitar) Aug 30 04:02:12 dea freshclam[17447]: Your ClamAV installation is OUTDATED! Aug 30 04:02:12 dea freshclam[17447]: Current functionality level = 51, recommended = 53 Aug 30 04:02:12 dea freshclam[17447]: DON'T PANIC! Read http://www.clamav.net/support/faq Aug 30 04:02:12 dea freshclam[17447]: bytecode.cld is up to date (version: 39, sigs: 9, f-level: 53, builder: edwin) Aug 30 04:02:12 dea freshclam[17447]: Current functionality level = 51, recommended = 53 Aug 30 04:02:12 dea freshclam[17447]: Please check if ClamAV tools are linked against the proper version of libclamav Aug 30 04:02:12 dea freshclam[17447]: DON'T PANIC! Read http://www.clamav.net/support/faq Aug 30 04:02:12 dea freshclam[17447]: Database updated (821341 signatures) from db.local.clamav.net (IP: 168.143.19.95) Aug 30 04:02:12 dea freshclam[17447]: Clamd was NOT notified: Can't connect to clamd on 127.0.0.1:3310 Aug 30 04:02:12 dea logrotate: ALERT exited abnormally with [1] Aug 30 04:05:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:05:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:10:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:10:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:15:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:15:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout. Aug 30 04:20:01 dea pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Aug 30 04:20:01 dea pure-ftpd: (?@127.0.0.1) [INFO] Logout.

Вижу что какая-то трабла с антивирем и постоянно какие-то соединения по ftp. Скорее всего ISPCongig проверяет коннект к FTP. В boot логах ничего нет.

Посмотрел secure логи и ужаснулся, увидел что следующее сообщение повторяется чуть-ли не каждую секунду:

Sep 19 04:33:18 dea sshd[3880]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX user=root Sep 19 04:33:20 dea sshd[3880]: Failed password for root from XXX.XXX.XXX.XXX port 40139 ssh2 Sep 19 04:33:21 dea sshd[5125]: Received disconnect from XXX.XXX.XXX.XXX: Bye Bye Sep 19 04:33:21 dea sshd[5468]: Address 188.72.197.75 maps to XXX.XXX.XXX.XXX.YYYYYYYYYYY.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

Кто-то пытается меня ломануть. Быть может из-за этого сервисы падают? Как поставить защиту от брутфорса?

Не могу найти логи, в которых бы было видно когда сервисы отключаются.

C колонкой failcnt все в порядке - везде нули.

dealancer
() автор топика
Ответ на: комментарий от dealancer

С clamav проблем нету, про фтпшник вы праввильно подумали.

Записи в secure - брутфорс. Если брутить настойчиво, то тормоза могут иметь место. Самый простой способ защититься от брута - перевесить sshd на любой другой порт (как правило, юные скриптктддисы пользуются гибридами сканеров и брутфорсеров). В дополнение к этому можно еще поставить denyhosts.

leave ★★★★★
()
Ответ на: комментарий от leave

Спасибо, буду следовать вашим советам. А насчет логов, как все-таким можно посмотреть почему сервисы выключаются?

Странно, что после перезагрузки некоторые сервисы не запустились. Один админ, который смотрел мой сервер пару месяцев назад, сказал, что порядок запуска сервисов неправильный. Как это можно проверить?

dealancer
() автор топика
Ответ на: комментарий от dealancer

Вообще, демоны, как правило, о выходе информацию логируют, если только их убивают не через kill -9. «Порядок запуска сервисов» - это, видимо, товарищ про rc`default runlevel`.d . В вашем случае влиять на перезапуск демонов не влияет.

Вообще, я бы поставил monit и не парился.

leave ★★★★★
()
Ответ на: комментарий от Pantserovik

MemTotal:   402653184 MemFree:   293011456 LowTotal:   402653184 LowFree:   293011456

dealancer
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.