LINUX.ORG.RU

centos, cpanel, проблема с sshd


0

1

сервер CentOS 6.5 c cpanel. на сервере висит куча sshd процессов, хотя залогинен тока я:

sshd     20699  0.0  0.0  67992  1740 ?        S    Aug08   0:00 sshd: unknown [net]
root     21796  0.0  0.0 101240  3024 ?        Ss   Aug06   0:00 sshd: root [priv]
sshd     21800  0.0  0.0  67992   856 ?        S    Aug06   0:00 sshd: root [net] 
root     22205  0.0  0.0 101104  3964 ?        Ss   Aug09   0:00 sshd: root [priv]
sshd     22206  0.0  0.0  67992  1648 ?        S    Aug09   0:00 sshd: root [net] 
root     24213  0.0  0.0 101104  2920 ?        Ss   Aug07   0:00 sshd: unknown [priv]
sshd     24214  0.0  0.0  67992  1004 ?        S    Aug07   0:00 sshd: unknown [net]
root     24531  0.0  0.0 101240  4092 ?        Ss   Aug09   0:00 sshd: root [priv]
root     24532  0.0  0.0 101104  3960 ?        Ss   Aug09   0:00 sshd: root [priv]
sshd     24536  0.0  0.0  67992  1652 ?        S    Aug09   0:00 sshd: root [net] 
sshd     24537  0.0  0.0  67992  1652 ?        S    Aug09   0:00 sshd: root [net] 
root     24540  0.0  0.0 101240  3968 ?        Ss   Aug09   0:00 sshd: root [priv]
sshd     24542  0.0  0.0  67992  1656 ?        S    Aug09   0:00 sshd: root [net] 
root     25011  0.0  0.0 101104  2888 ?        Ss   Aug05   0:00 sshd: unknown [priv]
sshd     25012  0.0  0.0  67992   964 ?        S    Aug05   0:00 sshd: unknown [net]
root     25312  0.0  0.0 101236  4080 ?        Ss   Aug08   0:00 sshd: root [priv]
sshd     25313  0.0  0.0  67992  1656 ?        S    Aug08   0:00 sshd: root [net]
# who
root     pts/0        2014-08-12 02:03 (54.72.66.255)

в чем причина, куда копать?


Посмотрите вывод ″ps -eo uname,pid,lstart,tty,args″, там будет развёрнутое время старта процесса, поизучайте логи, вывод команды ″last″. Может быть эти прооцессы были вашими и образовались из-за разрывов связи, ЕМНИП, по умолчанию keepalive отключен и оборванная сессия весит сколь угодно долго.

Аналогично эти процессы могут образовыватся при обрыве сессий с помощью ″iptables -j DROP″, когда, например, fall2ban заносит ip-адреса в бан лист при переборе паролей.

mky ★★★★★ ()
Ответ на: комментарий от mky

спасибо!

похоже действительно виноват фаервол. используется csf - plugin для cpanel, блокирутся ip брутфорсеров ssh. так вот, на сервере висят соединения типа:

tcp        0     80 108.163.254.142:22          182.18.166.137:23426        ESTABLISHED 27282/sshd
и для этого же ip есть правило в фаерволе:
root@server [/etc/ssh]# iptables-save|grep 182.18.166.137
-A DENYIN -s 182.18.166.137/32 ! -i lo -j DROP 
-A DENYOUT -d 182.18.166.137/32 ! -o lo -j DROP

правильно я понимаю что дело в этом? из-за этого sshd процесс не может завершиться?

ice-9 ()
Ответ на: комментарий от ice-9

Да, включён. Ну посмотрите на всякий случай общесистемные настройки keepalive:

#sysctl net.ipv4.tcp_keepalive_time net.ipv4.tcp_keepalive_intvl net.ipv4.tcp_keepalive_probes

Если там разумные цифры, значит что-то не работает, тогда можно попробовать активировать в sshd параметр ″ClientAliveInterval″ и запретить протокол версии 1, хотя по умолчанию он и так отключен.

Возможно, что и это не поможет, возможно, что это ошибка в sshd, так как это ″Privilege Separation″ процессы sshd, они не работают с сокетом (с клиентом), и возможно, что при аварийном закрытии сокета sshd забывает их «убить».

mky ★★★★★ ()
Ответ на: комментарий от mky

значения, как я понимаю, дефолтные:

net.ipv4.tcp_keepalive_time = 7200
net.ipv4.tcp_keepalive_intvl = 75
net.ipv4.tcp_keepalive_probes = 9

опция ″ClientAliveInterval″ активирована:

# sshd -T|grep -i alive
clientaliveinterval 5
clientalivecountmax 3
tcpkeepalive yes

протол версии 1 выключен:

# sshd -T|grep -i protocol
protocol 2

Возможно, что и это не поможет, возможно, что это ошибка в sshd, так как это ″Privilege Separation″ процессы sshd, они не работают с сокетом (с клиентом), и возможно, что при аварийном закрытии сокета sshd забывает их «убить».

как я уже говорил система CentOS 6.5, в репозиториях (epel, base) openssh-server 5-й версии. стоит ли ставить 6-ю версию? чревато ли это проблемами совместимости? почему-то же нет 6 версии openssh для 6 версии центоса.

ice-9 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.