Qualche tempo fa ho avuto un problema con un server in cui Apache e Snort occupavano il 100% del processore, rendendo l'sshd non rispondente attraverso l'accesso remoto. Ho dovuto andare fisicamente al server per accedere a un TTY locale e quindi interrompere apache / snort.
Mi chiedo se esiste un modo per garantire la connettività ssh in una situazione di CPU / memoria caricata al 100%. Impostare una "bella" priorità sarebbe sufficiente?
Grazie!
Risposte:
Oltre all'utilizzo di un metodo fuori banda, non c'è modo di garantire che SSH sarà disponibile su un server completamente caricato. Se il tuo servizio è così caricato che non può nemmeno servirti un terminale SSH di base, allora hai altri problemi.
Sì, renicee assegnando un nicevalore inferiore migliorerà le prestazioni in carichi pesanti, ma invece usare qualcosa come pam_security (esempio mostrato qui ) eviterà che Apache / qualunque cosa diventi ingestibile all'inizio.
nicecolpevole verrà avviato dalla CPU abbastanza velocemente da assicurarti di avere accesso SSH (o del resto) qualsiasi accesso alla console che hai sarebbe utilizzabile). Il problema di fondo (risorse-maiale) deve essere affrontato. Antincendio è una cattiva gestione del sistema.
La soluzione per questo scopo generale è uno strumento di gestione fuori banda, come Dell iDRAC, IBM Remote Supervisor o HP iLO. Può sempre presentare una console (indipendentemente dal fatto che il sistema operativo possa rispondere o meno a seconda della situazione specifica) e applicare gli stati di alimentazione desiderati secondo necessità.
Ho avuto un certo successo dando privilegio in tempo reale a sshd, tuttavia ciò ha il costo di dover riavviare la macchina se uno dei processi in tempo reale scappa.
Quindi, se vuoi seguire questa strada, avvia un secondo demone ssh che è solo per le emergenze. :)
realtimeing sshd mi sembra pericoloso, in particolare sulla porta 22 (una scansione SSH potrebbe diventare un attacco DoS - l'esecuzione su una porta alternativa può mitigarlo, ma sarei ancora spaventato ...)