[EMAIL PROTECTED] wrote:
[Resumo : SaMBa do crioulo doido]
> A quest�o �: O que pode estar causando isto???
>
> Tive que aumentar o limite de arquivos abertos do sistema de 4096 para 16000
> e ainda assim de hora em hora tenho que dar um shutdown no sistema para
> "esvaziar o caldeir�o", pois se n�o fizer isto perco arquivos inteiros do
> meu aplicativo quando os processos ultrapassam o limite.
Aproveitando minhas horas de ins�nia (trabalhei feito burro 10 dias, e agora
que estou de folga estou estranhando...8-P), dei uma pensada no assunto mas s�
consegui chegar a duas possibilidades (por sinal, numa sess�o de filosofia de
w.c.):
1) A Samba abusou do lan�a-perfume, ficou doid�o e t� numa malha morta criando
subprocessos sem motivos.
2) Algum computador cliente, intencionalmente ou n�o, est� atacando o servidor
por DoS.
Diga-se de passagem, vc descreveu didadicamente os sintomas de um ataque por
Denial of Service. Note que n�o estou afirmando que � ISTO o que t� ocorrendo.
Como solucionar isto?
B�o, depende...
Se for a op��o 1, vc vai ter que dar uma checada nos arquivos de configura��o
do sistema pra ver se nenhum deles est� num loop infinito, ou dar uma fu�ada
no crontab e primos para ver se n�o tem nenhum servi�o sendo iniciando pelo
sistema nestes servi�os.
Se for a op��o 2, temos as seguintes probabilidadades:
Se o Samba est� sendo chamado pelo INETD (que pelo 'ps x' que vc enviou est�
ativo), n�o h� muito o que se fazer, porque at� onde eu sei o INETD n�o possui
prote��o contra abuso de acesso. Tire o samba dos bra�os do INETD e deixe que
ele mesmo gerencie as conex�es (ele tem este controle, s� n�o sei como fazer).
Se o Samba est� ele mesmo se gerenciando (me parece que � a instala��o
default), e assumindo que n�o existe nenhuma configura��o escondida nos
quilobytes de texto do /etc causando o problema, s� nos resta os clientes.
Deixe TODOS os clientes desligados e v� ligando um por um, vendo quantos
processos s�o criados a cada vez que vc liga um cliente. Uma maneira mais
inteligente de verificar isto � checar os logs do samba, pois cada vez que um
smbd � "spawnado" (putz), � porque algum cliente solicitou uma conex�o. O IP
que mais aparecer no log *provavelmente* seria o culpado (desde que ele
tivesse uma presen�a est�pidamente maior que os colegas).
> Este servidor est� rodando o Conectiva Linux 6.0 a cerca de 60 dias e o
> problema come�ou a uma semana.
Hummm... Acho que vou botar minhas fichas num ataque DoS... Se o problema
come�ou de repente, *e vc garante* que ningu�m andou brincando de root no
servidor...
> A m�quina � um Pentium III 500Mhz com 128 Mb de RAM (j� coloquei 256 de RAM
> e n�o resolveu).
Mal n�o fez. Seu servidor vai ter melhor performance.
> Apenas 18 usu�rios est�o ligados ao servidor via SAMBA e emulando terminal
> atrav�s de TELNET atrav�s de m�quinas RWindows 95/98.
Hummm... telnet � problem�tico em termos de seguran�a. Muita gente t� partindo
pro ssh por causa das vulnerabilidades do telnet.
> N�o tenho acesso direto � internet pelo servidor apenas pelas m�quinas
> RWindows atrav�s da rede dial-up.
<Paran�ia>
Isto � perigoso. Em todos os servidores comerciais que instalei deixei bem
claro que n�o quero conex�es internet pelos clientes. Eles s�o sempre o ponto
mais fraco de uma cadeia de seguran�a, n�o importa o que se fa�a. Em sistema
que instalo, ou os micros que acessam internet n�o possuem conex�o via rede
com o sistema, ou o fazem por um servidor de linha discada, devidamente
configurado com proxy e firewall. Bom... talvez s� o firewall... 8-)
Se por algum motivo algu�m de fora me instalou um backorifice em um dos
clientes, ele com certeza consegue dar telnet no servidor (a senha ele sabe
com certeza, basta monitorar o video ou usar um key-log - coisa ridiculamente
f�cil de se fazer no win32). Se o cara souber o que t� fazendo (ou se a senha
do usu�rio invadido tiver autoriza��o) ele faz o que bem entender.
</Paran�ia>
O mais prov�vel, contudo, � que alguma m�quina cliente se infectou com algum
v�rus de "script kiddie" pelo OUTLOKO e t� zoneando o teu coreto.
hummm... Espero n�o ter falando muita besteira... 8-P
--
[]s,
([EMAIL PROTECTED])
Quote of week: The day Micro$oft makes something that doesn't suck is the day
they start selling vacuum cleaners.
Assinantes em 27/07/2001: 2260
Mensagens recebidas desde 07/01/1999: 125039
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
