मैंने कुछ समय पहले एक सर्वर के साथ एक मुद्दा रखा था जिसमें अपाचे और स्नॉर्ट प्रोसेसर के 100% हिस्से पर कब्जा कर रहे थे, जिससे रिमोट एक्सेस के माध्यम से sshd को अनुत्तरदायी बना दिया गया था। मुझे एक स्थानीय TTY पर लॉग इन करने और फिर Apache / snort को रोकने के लिए सर्वर पर भौतिक रूप से जाना था।
मैं सोच रहा था कि वहाँ 100% लोड CPU / मेमोरी की स्थिति पर ssh कनेक्टिविटी की गारंटी देने का एक तरीका है। "अच्छा" प्राथमिकता निर्धारित करना पर्याप्त होगा?
धन्यवाद!
जवाबों:
एक आउट-ऑफ-बैंड पद्धति का उपयोग करने के अलावा, यह गारंटी देने का कोई तरीका नहीं है कि SSH पूरी तरह से लोड किए गए सर्वर पर उपलब्ध होगा। यदि आपकी सेवा इतनी भरी हुई है कि यह आपके लिए एक बुनियादी एसएसएच टर्मिनल भी नहीं दे सकता है, तो आपको अन्य समस्याएं हैं।
हां, reniceऔर इसे कम niceमूल्य देने से भारी भार में प्रदर्शन में सुधार होगा, लेकिन इसके बजाय pam_security (उदाहरण यहाँ दिखाया गया है ) जैसी किसी चीज़ का उपयोग करने से Apache / जो भी शुरू होने से असहनीय हो रहा है, उसे रोका जा सकेगा।
niceSSH एक्सेस (या उस मामले के लिए) को सुनिश्चित करने के लिए भी 'd' अपराधी पर्याप्त तेजी से सीपीयू से बूट होगा। किसी भी कंसोल का उपयोग आपके लिए उपयोगी होगा)। अंतर्निहित मुद्दा (संसाधन हॉग) को संबोधित किया जाना चाहिए। अग्निशमन व्यवस्था लचर व्यवस्था है।
इसके लिए आपका सामान्य-उद्देश्य समाधान डेल-आईडीआरएसी, आईबीएम रिमोट सुपरवाइज़र या एचपी ओएलओ जैसे एक आउट-ऑफ-बैंड प्रबंधन उपकरण है। यह हमेशा एक कंसोल पेश कर सकता है (ओएस इसका जवाब दे सकता है या नहीं यह आपकी विशिष्ट स्थिति पर निर्भर करता है), और आवश्यकतानुसार वांछित बिजली राज्यों को लागू करें।
मुझे sshd को realtime विशेषाधिकार देने में कुछ सफलता मिली है, हालांकि यह मशीन की रिबूट करने की लागत पर आता है यदि कोई रीयलटाइम प्रक्रिया को चलाता है।
इसलिए यदि आप इस मार्ग से नीचे जाना चाहते हैं, तो दूसरा ssh डेमन शुरू करें जो केवल आपात स्थिति के लिए है। :)
realtimeआईएनजी sshd मेरे लिए खतरनाक लगता है, विशेष रूप से पोर्ट 22 पर (एक SSH स्कैन एक DoS अटैक बन सकता है - एक वैकल्पिक पोर्ट पर चलने से यह कम हो सकता है, लेकिन मुझे अभी भी डर लगेगा ...)