Bir süre önce Apache ve Snort'un işlemcinin% 100'ünü işgal ettiği ve sshd'nin uzaktan erişim yoluyla yanıt vermediği bir sunucuyla ilgili bir sorun yaşadım. Yerel bir TTY oturum açmak ve sonra apache / snort durdurmak için sunucuya fiziksel olarak gitmek zorunda kaldı.
% 100 yüklü CPU / bellek durumunda ssh bağlantısını garanti etmenin bir yolu olup olmadığını merak ediyorum. "Güzel" bir öncelik belirlemek yeterli olur mu?
Teşekkür ederim!
Yanıtlar:
Bant dışı bir yöntem kullanmak dışında, SSH'nin tam yüklü bir sunucuda kullanılabileceğini garanti etmenin bir yolu yoktur. Hizmetiniz o kadar yüklüyse, size temel bir SSH terminali bile sunamazsa, başka sorunlarınız da vardır.
Evet reniceve daha düşük bir nicedeğer vermek ağır yüklerdeki performansı artıracaktır, ancak bunun yerine pam_security ( burada gösterilen örnek ) gibi bir şey kullanmak Apache'nin / her şeyin yönetilemez hale gelmesini önleyecektir.
nice'c culprit'in bile SSH erişimine (veya bunun için sahip olduğunuz herhangi bir konsol erişimi kullanılabilir). Altta yatan sorun (kaynak domuz) ele alınması gerekmektedir. Yangınla Mücadele kötü sistem yönetimidir.
Bunun için genel amaçlı çözümünüz, Dell iDRAC, IBM Uzaktan Süpervizör veya HP iLO gibi bant dışı bir yönetim aracıdır. Her zaman bir konsol sunabilir (işletim sisteminin buna yanıt verip veremeyeceği özel durumunuza bağlıdır) ve istediğiniz güç durumlarını gerektiği gibi uygulayabilir.
SSHD'ye gerçek zamanlı ayrıcalık tanıyarak bazı başarılar elde ettim, ancak bu, gerçek zamanlı süreçlerden biri kaçtığında makineyi yeniden başlatmanın maliyeti.
Bu nedenle, bu rotaya inmek istiyorsanız, sadece acil durumlar için ikinci bir ssh arka plan programı başlatın. :)
realtimeing sshd benim için tehlikeli görünüyor, özellikle port 22'de (SSH taraması DoS saldırısı olabilir - alternatif bir portta koşmak bunu hafifletebilir, ancak yine de