Re: висы сервера
Здравствуйте,
On Mon, Feb 10, 2003 at 03:12:21PM +0400, Ринат wrote:
> wins отключены на виндовых машинах (их кста.... не много)
> а почему тогда это идёт от eth0, которая глядит наружу и адреса в моей
> локалке 192.168.2.*
> и вообще, может это и не имеет никакого значения, просто перед зависами
> несколько раз замечены DENY на адрес 192.168.191.5
Ну мало ли машин в этом ethernet-сегменте. :-(
У меня тоже было достаточно много записей в логах, пока я не отключила
логгивование в ipchains. Полгорода висит в одном ethernet-сегменте. :-((
14:09:23.378691 192.168.20.222.netbios-dgm > 192.168.20.223.netbios-dgm:
>>> NBT UDP PACKET(138) Res=0x110A ID=0x86BE IP=192 (0xc0).168 (0xa8).20 (0x14).222 (0xde) Port=138 (0x8a) Length=194 (0xc2) Res2=0x0
SourceName=SHURA_K NameType=0x00 (Workstation)
DestName=
WARNING: Short packet. Try increasing the snap lengt
>
> > вас бегать такие пакеты. По поводу руткитов - проверить все открытые
> > соединения, проверить md5 всех установленных пакетов (особенно тех, которые
> > работают как демоны). Проверить права на /tmp.
> lrwxrwxrwx 1 root root 5 Sep 27 18:30 /tmp -> m/tmp
> что-то не так?
Ну тогда с правами реального каталога. Кто туда может писать, кто читать.
Достаточно много руткитов сваливают себя в /tmp, потом запускают себя оттуда.
Поэтому хорошо бы его держать на разделе, который монтируется с noexec.
>
> > В крайнем случае, всегда есть консоль, на которую можно зайти с соседнего
> > сервера и посмотреть, в чем проблема (нуль-модемный кабель + getty).
> а чем смотреть? на solaris вроде было через hardwire
На самом деле у меня стоит мультипортовка, концы которой воткнуты в рутеры,
свитч, сервера. На сервере
T2:2345:respawn:/sbin/getty -L ttyS01 9600
на машине с мультипортовкой просто соединяюсь миникомом с нужным ком-портом
(точнее, определен файл конфигурации для данного сервера).
--
Elena Egorova
Reply to: