Merkwürdiges von Marc Heuses Security Script...
Hallo! Ich habe auf meinem Suse 9.0 Marc Heuses Security-Script installiert (wird ja mitgeliefert) und lasse es per cron täglich laufen. Was mir auffällt, ist dass ich fast täglich (!) Einträge habe dass zB plötzlich amavis oder postfix nicht mehr resp doch wieder an einem Port horchen.... Obwohl die durchgehend laufen und ich nirgends ein Anzeichen finde dass sie mal kurz gestoppt würden oder so...? Das sieht dann zB so aus: * Changes (+: new entries, -: removed entries): - amavisd vscan TCP 127.0.0.1:10024 (LISTEN) * Changes (+: new entries, -: removed entries): - smtpd postfix TCP *:25 (LISTEN) - smtpd postfix TCP 127.0.0.1:10025 (LISTEN) (eigentlich sowieso interessant warum er die auch getrennt auflistet?? Irgendeine Idee? Vielen Dank Matti
Am Sonntag, 2. Mai 2004 01:19 schrieb Matthias Keller:
Hallo!
Ich habe auf meinem Suse 9.0 Marc Heuses Security-Script installiert (wird ja mitgeliefert) und lasse es per cron täglich laufen. Was mir auffällt, ist dass ich fast täglich (!) Einträge habe dass zB plötzlich amavis oder postfix nicht mehr resp doch wieder an einem Port horchen.... Obwohl die durchgehend laufen und ich nirgends ein Anzeichen finde dass sie mal kurz gestoppt würden oder so...?
Das sieht dann zB so aus:
* Changes (+: new entries, -: removed entries): - amavisd vscan TCP 127.0.0.1:10024 (LISTEN)
* Changes (+: new entries, -: removed entries): - smtpd postfix TCP *:25 (LISTEN) - smtpd postfix TCP 127.0.0.1:10025 (LISTEN)
(eigentlich sowieso interessant warum er die auch getrennt auflistet??
Versuch mal das Kommando lsof -i einige male hintereinander auszuführen, und sie zu was da alles geschieht. Möglicherweise erklärt das vieles. hth, Andreas.
Andreas Scherer wrote:
Am Sonntag, 2. Mai 2004 01:19 schrieb Matthias Keller:
Hallo!
Ich habe auf meinem Suse 9.0 Marc Heuses Security-Script installiert (wird ja mitgeliefert) und lasse es per cron täglich laufen. Was mir auffällt, ist dass ich fast täglich (!) Einträge habe dass zB plötzlich amavis oder postfix nicht mehr resp doch wieder an einem Port horchen.... Obwohl die durchgehend laufen und ich nirgends ein Anzeichen finde dass sie mal kurz gestoppt würden oder so...?
Das sieht dann zB so aus:
* Changes (+: new entries, -: removed entries): - amavisd vscan TCP 127.0.0.1:10024 (LISTEN)
* Changes (+: new entries, -: removed entries): - smtpd postfix TCP *:25 (LISTEN) - smtpd postfix TCP 127.0.0.1:10025 (LISTEN)
(eigentlich sowieso interessant warum er die auch getrennt auflistet??
Versuch mal das Kommando
lsof -i
einige male hintereinander auszuführen, und sie zu was da alles geschieht. Möglicherweise erklärt das vieles.
hth, Andreas.
Hi Andreas Hmm möglicherweise :) Ich sehe den amavisd auf port 10024 3x in der Liste.... bedeutet das, dass der sozusagen 3 threads gleichzeitig hat die auf dem Port horchen? Und dass dann halt einer kurz von der lsof-liste verschwindet wenn er grad ein Mail am durchmühlen ist? Dabei fällt mir grad noch etwas auf, vielleicht kannst du ja was sagen: auf port 80 horcht 3x der httpd, ABER einmal als root, 2x als wwwrun (so wies sein muss)..... hat das seine richtigkeit so...? wieso laufen nicht alle unter wwwrun? Vielen Dank! Matti
Am Sonntag, 2. Mai 2004 08:24 schrieb Matthias Keller:
Andreas Scherer wrote:
Am Sonntag, 2. Mai 2004 01:19 schrieb Matthias Keller: [...]
Das sieht dann zB so aus:
* Changes (+: new entries, -: removed entries): - amavisd vscan TCP 127.0.0.1:10024 (LISTEN)
* Changes (+: new entries, -: removed entries): - smtpd postfix TCP *:25 (LISTEN) - smtpd postfix TCP 127.0.0.1:10025 (LISTEN)
(eigentlich sowieso interessant warum er die auch getrennt auflistet??
Versuch mal das Kommando
lsof -i
einige male hintereinander auszuführen, und sie zu was da alles geschieht. Möglicherweise erklärt das vieles.
[...]
Hmm möglicherweise :) Ich sehe den amavisd auf port 10024 3x in der Liste.... bedeutet das, dass der sozusagen 3 threads gleichzeitig hat die auf dem Port horchen? Und dass dann halt einer kurz von der lsof-liste verschwindet wenn er grad ein Mail am durchmühlen ist?
Eigentlich sollte der Eintrag dann nicht verschwinden. Es ist nur gegebenenfalls so, dass weitere Threads erzeugt werden und dann sobald sie ihr Werk vollendet haben, dann halt beendet werden.
Dabei fällt mir grad noch etwas auf, vielleicht kannst du ja was sagen: auf port 80 horcht 3x der httpd, ABER einmal als root, 2x als wwwrun (so wies sein muss)..... hat das seine richtigkeit so...? wieso laufen nicht alle unter wwwrun?
Ich nehm mal an, weil der apache unter root gestartet wird und dann, je nach http.conf, einige weitere Instanzen, jedoch mit UID wwwrun erzeugt, welche dann die Requests am Port 80 bedienen. Vielleicht hilft Dir ja dies: ---- schnipp ---- # Server-pool size regulation. Rather than making you guess how many # server processes you need, Apache dynamically adapts to the load it # sees --- that is, it tries to maintain enough server processes to # handle the current load, plus a few spare servers to handle transient # load spikes (e.g., multiple simultaneous requests from a single # Netscape browser). # # It does this by periodically checking how many servers are waiting # for a request. If there are fewer than MinSpareServers, it creates # a new spare. If there are more than MaxSpareServers, some of the # spares die off. The default values are probably OK for most sites. # # Note: these two values are set by SuSEconfig according to the setting of the # HTTPD_PERFORMANCE variable in /etc/sysconfig/apache! MinSpareServers 1 MaxSpareServers 1 ---- schnipp ---- hth, Andreas.
participants (2)
-
Andreas Scherer
-
Matthias Keller