[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian] ntpd frisst den gesamten Speicher

Waldemar Brodkorb schrieb:

> Hallo Guenther,
>
> * Guenther Orth schrieb:
>
> > Am Montag, 23. April 2001 16:19 schrieb Michael Hierweck:
> > > Hallo zusammen,
> > >
> > > ich habe folgendes "Phänomen" unter Debian (sid mit 2.4.3er Kernel auf
> > > 486er mit 16MB + 16MB Swap):
> > Hallo!
> > Ist das nicht mit Kanonen aus Spazen geschossen??? Einen 486 mit neustem
> > Kernel und nur 16 MB RAM. Wäre da ein Kernel aus der 2.0.x-Serie wie z. B.
> > der 2.0.39 nicht schlanker, schneller, stabiler, ....???
>
> Schwachfug.
>
> > Der neue Kernel ist zum ersten richtig groß und frisst schon beinahe die
> > Hälfte Deines RAMs, zum anderen kann er richtig fette Swap-Spaces verwalten.
>
> Hä? Wieder Schwachfug.

Vielleicht war "frisst" das falsche Wort: Er belegt und reserviert! Leider weiss
ich nicht, ob die Filter den reservierten RAM belegen oder ob sie nur den
restlichen nutzen können. Da müsste ein Kernelexperte dran.

>
>
> uname -a
> Linux server 2.4.2 #1 Die Mär 6 13:39:29 CET 2001 i486 unknown
>
> Der komprimierte Kernel schein mir keine 8 MB groß zu sein.
> -rw-r--r--    1 root     root       988084 Mar  6 14:03
> vmlinuz-2.4.2
>

Wie groß der Kernel nach dem Start ist kann man doch relativ leicht sehen - oder?

Entweder mit dmesg schauen oder in /var/log/kern.log. Da stehen dann folgende
Zeilen:

Memory: 387152k/393216k available (1400k kernel code, 420k reserved, 4184k data,
60k init)

Der Kernel ist in diesem Falle ca. 1,4 MB groß (explodet!!!)

>
> In diesem Fall habe ich keine Module, Ausnahme fcpci.o .
>
> > Wie er sich da mit Deinem Mini-System verträgt, weiss ich nicht.
> > Guter Tipp: Wenn Du den Rechner in produktivem Einsatz (als Router oder so)
> > hast, nimm lieber einen kleineren Kernel. Vielleicht löst das auch die
> > anderen Probleme!
>
> Aber wenn man das System zusätzlich mit "Stateful Paketfilter"
> zur Firewall erklärt kommt man an 2.4.x nicht vorbei,
> außer man schwenkt zu OpenBSD über.

Da gebe ich Dir recht! Wie gesagt: Wenn Du es nicht unbedingt brauchst. Ein
Paketfilter brauche schließlich auch RAM um die Pakete zu filtern. Je kleiner das
System, desto besser. Und 16MB-RAM für einen Firewall ist sehr wenig. Wenn das
Teil nur für privat mit einem Rechner hintendran und ISDN ist, langt es
vollkommen, aber wenn noch mehrere Rechner hinten dran sind, das Teil noch NAT
macht und vielleicht noch Proxy, dann: Viel Spaß. Da werden die Pakte im Swap
gefiltert! Für solche Systeme gibt es extra Mini-Distributionen, die auch
Firewall unterstützen. Vielleicht nicht so komfortabel wie netfilter, aber auch
sehr effektiv!
Ich habe Firewalls auf 486 mit 32MB-RAM unter angepasstem Kernel 2.0.x aufgesetzt
und nach drei Rechnern mit viel Netzverkehr war die Maschine RAM-mäßig ziemlich
am Ende (10MBit Netz auf beiden Seiten in einem Labor für meine Diplomarbeit).


>
>
> > > wonach ntpd mehr als 75% des Speichers frisst. Ich habe das mit dem
> > > Verhalten auf anderen Rechnern verglichen. Ergebnis: die hungrigen
> > > Prozesse 271, 275, 276 sollten eigentlich gar nicht da sein.
> > >
> > > Das Verhalten ist stabil. Wenn man mehr oder weniger Swapspace verfügbar
> > > macht (getestet bis 64 MB), dann verwendet ntpd dennoch immer diese
> > > 27.6% pro Instanz.
> > >
> > > Interessanterweise schlägt /etc/init.d/ntp stop fehl:
> > >
> > > Stopping NTP server: ntpdstart-stop-daemon: warning: failed to kill 275:
> > > No such process
> > > start-stop-daemon: warning: failed to kill 271: No such process.
> > >
> > > Danach lebt noch Prozess 276 mit den obigen Werten.
> > >
> > > /etc/ntp.conf:
> > >
> > > #################################
> > > driftfile /var/lib/ntp/ntp.drift
> > > server server.hierweck.fam
> > > #################################
> > >
> > > Diese Konfiguration läuft auf den anderen Systemen (Potato) problemlos.
> > >
> > > Fazit: ich habe keine Ahnung, was da passiert.
>
> Ich auch nicht. Schonmal das Ntpd von der Platte geputzt,
> komplett, und neu installiert?
> Trojaner mit selben Namen? Rootkit?
> Vergleich mal die md5 Summen der verschiedenen ntp dateien auf den
> unterschiedlichen Systemen.
> War da nicht zuletzt auch irgendein Buffer-Overflow, hat
> zwar eigentlich nichts damit zutun, aber ein update wäre
> wohl trotzdessen sinnvoll.
>
> --
> It's naive to assume that just installing a firewall is going to protect
> you from all potential security threat. That assumption creates a false
> sense of security, and having a false sense of security is worse than having
> no security at all.
> -- Kevin Mitnick
>

Gruß
         Günther



--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

797 eingetragene Mitglieder in dieser Liste.
Reply to: