| View previous topic :: View next topic |
| Author |
Message |
fank
l33t
Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus
|
 Posted: Tue Jun 30, 2009 2:26 pm Post subject: hardened сервер не отвечает на запросы |
 |
|
привет всем!
есть сервер как виртуальная машина vmware
поднят hardened профиль
через какое-то время после старта сервера он перестает реагировать на подключения по tcp
пинг продолжает работать, tracepath в то же время не работает
фаерволы проверены (их нет на госте, на хостовой машине крайне примитивный)
все виртуальные машины настроены на NAT, все друг друга видят и нормально работают
только с одной проблемы
что сделал
1. ulimit -n 4096 (было 1024) на госте и на хосте
2. внимательно пересобрал ядро на госте.
3. обновил glibc
4. написал этот пост =)
как выяснить причину сбоя?
_________________
Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
| Back to top |
|
 |
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Tue Jun 30, 2009 8:14 pm Post subject: Re: hardened сервер не отвечает на запросы |
|
|
| fank wrote: | | привет всем!есть сервер как виртуальная машина vmware |
значит локальная консоль в эту вирт машину есть?
что на консоли?
залогиниться дает?
последние строчки dmesg-а на госте?
что говорит netstat -an на госте? |
|
| Back to top |
|
|
fank
l33t
Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus
|
| Posted: Wed Jul 01, 2009 7:27 am Post subject: |
|
|
| Quote: | | значит локальная консоль в эту вирт машину есть? |
не понял, что значит "локальная" - ssh естественно есть
на консоли все в порядке, никаких странных сообщений
не уловил сути вопроса, сорри, уточни плиз
| Quote: | | залогиниться дает? |
без малейших проблем по ssh
| Quote: | | последние строчки dmesg-а на госте? |
| Code: | ReiserFS: sda7: checking transaction log (sda7)
ReiserFS: sda7: Using r5 hash to sort names
grsec: mount of /dev/sda7 to /var by /bin/mount[mount:906] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:903] uid/euid:0/0 gid/egid:0/0
grsec: mount of shm to /dev/shm by /bin/mount[mount:906] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:903] uid/euid:0/0 gid/egid:0/0
grsec: mount of binfmt_misc to /proc/sys/fs/binfmt_misc by /bin/mount[mount:909] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:903] uid/euid:0/0 gid/egid:0/0
Adding 1060248k swap on /dev/sda6. Priority:-1 extents:1 across:1060248k
grsec: time set by /sbin/hwclock[hwclock:925] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:924] uid/euid:0/0 gid/egid:0/0
eth0: link up
grsec: time set by /usr/sbin/ntpdate[ntpdate:3221] uid/euid:0/0 gid/egid:0/0, parent /sbin/runscript.sh[runscript.sh:3220] uid/euid:0/0 gid/egid:0/0
grsec: time set by /usr/sbin/ntpd[ntpd:3273] uid/euid:0/0 gid/egid:0/0, parent /sbin/init[init:1] uid/euid:0/0 gid/egid:0/0
|
| Quote: | | что говорит netstat -an на госте? |
тут все ок, никаких странностей
впрочем, одна странность была
в один момент показывались соединения с соседа, которых на соседе не было
воспроизвести к сожалению не удалось
плюс еще такое
на другом сервере работает мониторинг monit - проверяется коннект на 443 порт на этот глючный сервер
так вот периодически якобы соединение пропадает - тест на коннекшн проваливается
якобы - потому что в браузере все работает нормально
_________________
Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
| Back to top |
|
|
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Wed Jul 01, 2009 8:06 am Post subject: |
|
|
| fank wrote: | | Quote: | | значит локальная консоль в эту вирт машину есть? |
не понял, что значит "локальная" |
значит та которая обычно на экране монитора (/dev/tty*)
| fank wrote: | | - ssh естественно есть |
| fank wrote: | | через какое-то время после старта сервера он перестает реагировать на подключения по tcp |
ммм... тогда я не понял как соотносятся эти два факта, ssh же по tcp |
|
| Back to top |
|
|
fank
l33t
Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus
|
| Posted: Wed Jul 01, 2009 9:51 am Post subject: |
|
|
| Quote: | | значит та которая обычно на экране монитора (/dev/tty*) |
да, тут вобщем ничего странного, обычный старт системы
| Quote: | | ммм... тогда я не понял как соотносятся эти два факта, ssh же по tcp |
собственно, я тоже ничего не понимаю
вот сейчас например - работает апач на 443 порту, быстро и хорошо
я сижу на этом серваке в шелле
он пингуется с любого соседа
НО
с одного из соседей(1) tracepath не идет, с другого(2) работает
с этого же соседа(1) телнет на порт 3306 не работает
а может быть и наоборот
_________________
Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
| Back to top |
|
|
Bircoph
Developer
Joined: 27 Jun 2008
Posts: 261
Location: Moscow
|
| Posted: Thu Jul 02, 2009 8:14 pm Post subject: |
|
|
нужно смотреть все цепочки iptables, правила ip и tc, на всякий случай + sysctl-параметры сети.
_________________
Per aspera ad astra! |
|
| Back to top |
|
|
fank
l33t
Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus
|
| Posted: Mon Aug 03, 2009 7:56 am Post subject: |
|
|
судя по всему, проблема пофиксилась после тюнинга sysctl параметров
каких именно - не скажу точно
_________________
Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Russian
