URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87155
[ Назад ]

Исходное сообщение
"Вытащить BIND из CHROOT"

Отправлено DJ_Kill , 05-Ноя-09 12:47 
Есть FreeBSD 7.1
Есть в ней named.
Который кто-то когда-то втащил в chroot.
Ибо всё это имеет ряд неприятных глюков хочется (хотя бы в целях эксперимента) вытащить его из chroot. Но не могу понять как. Смущает то, что:

ps ax | grep named
  402  ??  Ss     0:19.82 /usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s
  858  ??  Ss    36:31.50 /usr/sbin/named -u bind
61545  p2  R+     0:00.00 grep named

То есть он вроде как без -t и указания пути.

Хотя все конфиги лежат в /var/named/etc/named вместо /etc/named. Все пути прописанные в конфигах как /etc/named/что-то реально идут от /var/named/
То есть по всем параметрам он живёт в клетке...

Куда смотреть? Как его выпустить на волю?


Содержание

Сообщения в этом обсуждении
"Вытащить BIND из CHROOT"
Отправлено ALex_hha , 05-Ноя-09 13:46 
> Ибо всё это имеет ряд неприятных глюков

это каких например?


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 05-Ноя-09 14:08 
Время от времени сервер "останавливается".

То есть всё вроде как работает, на консоль зайти можно, на пинги отвечает, но любой процесс обращающийся к DNS умирает. Просто набрать nslookup в консоли - потеря этой консоли.

В логах вообще ничего, хотя verbose везде включен.


"Вытащить BIND из CHROOT"
Отправлено Pahanivo , 05-Ноя-09 14:08 
>Есть FreeBSD 7.1
>Есть в ней named.
>Который кто-то когда-то втащил в chroot.
>Ибо всё это имеет ряд неприятных глюков хочется (хотя бы в целях
>эксперимента) вытащить его из chroot. Но не могу понять как. Смущает

поподробней про глюки - чето не верится
>[оверквотинг удален]
>  402  ??  Ss     0:19.82
>/usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s
>  858  ??  Ss    36:31.50 /usr/sbin/named
>-u bind
>61545  p2  R+     0:00.00 grep named
>
>
>То есть он вроде как без -t и указания пути.
>
>Хотя все конфиги лежат в /var/named/etc/named вместо /etc/named. Все пути прописанные в

это для последних биндов стандартное размещения
>конфигах как /etc/named/что-то реально идут от /var/named/
>То есть по всем параметрам он живёт в клетке...

/etc/named это просто линк - или командой ls не умеем пользоваться?
>Куда смотреть? Как его выпустить на волю?


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 05-Ноя-09 14:14 
>поподробней про глюки - чето не верится

Отписал выше.

>это для последних биндов стандартное размещения

Ну тут "до" было нормально. Просто систему покорёжили.

>/etc/named это просто линк - или командой ls не умеем пользоваться?

Теперь это, конечно, линк.


"Вытащить BIND из CHROOT"
Отправлено Pahanivo , 05-Ноя-09 16:42 
>Отписал выше.

что именно? там ниче про "странные глюки" не написано ...


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 05-Ноя-09 16:47 
>что именно? там ниче про "странные глюки" не написано ...

Зависание сервер. Точнее только его named части. Требующее перезагрузке.


"Вытащить BIND из CHROOT"
Отправлено Pahanivo , 06-Ноя-09 08:31 
>>что именно? там ниче про "странные глюки" не написано ...
>
>Зависание сервер. Точнее только его named части. Требующее перезагрузке.

ну дак и смотрим логи бинда и прекращаем безсмысленную панику


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 10:26 
>ну дак и смотрим логи бинда и прекращаем безсмысленную панику

При максимальном verbosity в логах ничего нет.



"Вытащить BIND из CHROOT"
Отправлено Pahanivo , 06-Ноя-09 10:28 
>>ну дак и смотрим логи бинда и прекращаем безсмысленную панику
>
>При максимальном verbosity в логах ничего нет.

ничего подозрительного или вообще ничего?
версия бинда какая?


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 10:39 
>ничего подозрительного или вообще ничего?

Ничего подозрительного. Обычные запросы-ответы.

>версия бинда какая?

Была
BIND 9.4.0-P1
Сейчас
BIND 9.6.0-P1


"Вытащить BIND из CHROOT"
Отправлено Pahanivo , 06-Ноя-09 10:41 
>>ничего подозрительного или вообще ничего?
>
>Ничего подозрительного. Обычные запросы-ответы.
>
>>версия бинда какая?
>
>Была
>BIND 9.4.0-P1
>Сейчас
>BIND 9.6.0-P1

ну вроде довольно свежие
мона поигратся с дебагом


"Вытащить BIND из CHROOT"
Отправлено lavr , 05-Ноя-09 18:25 
>[оверквотинг удален]
>61545  p2  R+     0:00.00 grep named
>
>
>То есть он вроде как без -t и указания пути.
>
>Хотя все конфиги лежат в /var/named/etc/named вместо /etc/named. Все пути прописанные в
>конфигах как /etc/named/что-то реально идут от /var/named/
>То есть по всем параметрам он живёт в клетке...
>
>Куда смотреть? Как его выпустить на волю?

/etc/rc.conf
...
named_chrootdir=""

ps. возможно поправить named.conf


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 05-Ноя-09 18:35 
>/etc/rc.conf
>named_chrootdir=""

В том-то и дело что этого нет.

>ps. возможно поправить named.conf

В какой части? Нигде явного или неявного указания на jail нет.


"Вытащить BIND из CHROOT"
Отправлено lavr , 06-Ноя-09 16:43 
>>/etc/rc.conf
>>named_chrootdir=""
>
>В том-то и дело что этого нет.

??? чего нет?

вы спросили как вывести из chroot, выше сказано как: man rc.conf

>>ps. возможно поправить named.conf
>
>В какой части? Нигде явного или неявного указания на jail нет.

причем тут jail? в части named.conf - возможно.

ps. смотреть sysctl или конфиг firewall, скорей всего там начальник накрутил, или
в опциях named.

pps. спросите каким редактором пользовался начальник. собственно можно установить из
портов и перенастроить, скопировать конфиг, поправить если нужно и запустить с одной
зоной, потом зоны добавлять постепенно с интервалом в 30 мин или 1 час или лучше 2 часа,
если какая-то кривая - станет понятно


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 21:22 
>??? чего нет?

Вышеуказанной строчки.

>вы спросили как вывести из chroot, выше сказано как: man rc.conf

Ман читал. Это знаю.
НО!
named работает как будто не в chroot (если по конфигам судить), но все файлы кладёт не относительно /, а относительно /var/named/

>ps. смотреть sysctl или конфиг firewall, скорей всего там начальник накрутил, или
>в опциях named.

sysctl и Firewall уже я крутил. Как раз это и помогло.

>pps. спросите каким редактором пользовался начальник. собственно можно установить из
>портов и перенастроить, скопировать конфиг, поправить если нужно и запустить с одной

Редактор - MC.
Уже установил. Уже вроде бы всё работает. Проблема только в том, что пока времени мало прошло. Глюк мог и не проявиться.

>зоной, потом зоны добавлять постепенно с интервалом в 30 мин или 1
>час или лучше 2 часа,
>если какая-то кривая - станет понятно

Там несколько внутренних офисных зон сложные. С апдейтами через DHCP. Могут они глючить, а их постепенно нельзя вводить.


"Вытащить BIND из CHROOT"
Отправлено daevy , 06-Ноя-09 08:41 
может проще его будет вынести из системы, все линки и прочую лабуду, оставитьтолько файлы зон и намед.конф, и установить заново, делов на 1-2 минуты.

"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 10:27 
>может проще его будет вынести из системы, все линки и прочую лабуду,
>оставитьтолько файлы зон и намед.конф, и установить заново, делов на 1-2
>минуты.

Сделал, но пока нет уверенности на 100% что это помогло.


"Вытащить BIND из CHROOT"
Отправлено daevy , 06-Ноя-09 11:01 
>Сделал, но пока нет уверенности на 100% что это помогло.

dig как минимум c локалхоста имя домена резолвит? если да то природа глюков наверняка вдругом...


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 11:13 
>dig как минимум c локалхоста имя домена резолвит? если да то природа
>глюков наверняка вдругом...

В момент такого подвисания - нет.
То есть с локальной консоли говорим dig (смотря на логи в другой консоли) и консоль перестаёт реагировать на что либо. В логах при этом уже ничего не появляется.
То есть консоль перестаёт реагировать даже на Ctrl+Alt+Del.



"Вытащить BIND из CHROOT"
Отправлено daevy , 06-Ноя-09 11:41 
а покажите grep -v ^# /etc/nsswitch.conf какой вобще порядок разрешения имен?

"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 11:44 
>а покажите grep -v ^# /etc/nsswitch.conf какой вобще порядок разрешения имен?

Сначала локально, потом в DNS.

group: compat
group_compat: nis
hosts: files dns
networks: files
passwd: compat
passwd_compat: nis
shells: files


"Вытащить BIND из CHROOT"
Отправлено daevy , 06-Ноя-09 11:50 
>Сначала локально, потом в DNS.

полагаю в resolv.conf указан 127,0,0,1 и фаервольных правил и порграм типа portsentry нет?
и после убития процесса, стартует нормально, пробелема зависания проявляется именно в перезапуске и при попытке запроса разрешения какого-то имени?


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 11:58 
>полагаю в resolv.conf указан 127,0,0,1 и фаервольных правил и порграм типа portsentry
>нет?

Не совсем.
В резолве только сервера.
Програм таких нет.

nameserver      192.168.100.24
nameserver      192.168.100.3
nameserver      192.168.100.9


>и после убития процесса, стартует нормально, пробелема зависания проявляется именно в перезапуске и при попытке запроса разрешения какого-то имени?

Убить процесс уже не возможно. Только перегазгрузка сервера по питанию. :(
Стартует всё нормально.
Когда и почему он виснет тоже пока не понятно. Мониторится у сервера уже всё что только можно включая количество запросов DNS - никакого криминала.


"Вытащить BIND из CHROOT"
Отправлено daevy , 06-Ноя-09 12:04 

>nameserver      192.168.100.24
>nameserver      192.168.100.3
>nameserver      192.168.100.9

адрес сервера принадлежит к этим адресам?

>Убить процесс уже не возможно. Только перегазгрузка сервера по питанию. :(
>Стартует всё нормально.

точно не стоит портсентри???

физически, а не по сети, можно залогиниться в систему когда она "зависшая"?


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 12:21 
>адрес сервера принадлежит к этим адресам?

Да. 24-ка.

>точно не стоит портсентри???

Точно.
pkg_info | grep port
cairo-1.8.6,1       Vector graphics library with cross-device output support
ezm3-1.2_1          Easier, more portable Modula-3 distribution for building CV
freetype2-2.3.7     A free and portable TrueType font rendering engine
libtool-1.5.26      Generic shared library support script
p5-XML-NamespaceSupport-1.09_1 A simple generic namespace support class
perl-threaded-5.8.9 Practical Extraction and Report Language
php5-extensions-1.0 A "meta-port" to install PHP extensions
php5-extensions-1.2 A "meta-port" to install PHP extensions
portupgrade-2.4.6,2 FreeBSD ports/packages administration and management tool s
python-2.5,2        The "meta-port" for the default version of Python interpret

>физически, а не по сети, можно залогиниться в систему когда она "зависшая"?

Нет. SSH не отрабатывает.
В логах при этом он делает резолв того кто к нему обращается ну и умирает.
При этом на консольку зайти локально можно. Пинги ходят. Первый же пинг по имени, а не по IP тоже умирает.


"Вытащить BIND из CHROOT"
Отправлено daevy , 06-Ноя-09 12:31 
>Нет. SSH не отрабатывает.
>В логах при этом он делает резолв того кто к нему обращается
>ну и умирает.
>При этом на консольку зайти локально можно. Пинги ходят. Первый же пинг
>по имени, а не по IP тоже умирает.

весьма интересно
на другую консоль через ALT+F2/F3... переключается?

и несколько вопросов не в тему:
давно он так себя ведет? кто ставил систему? где этот человек? по каким причинам его уволили:) со скандалом или по тихому?:))))


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 12:33 
>весьма интересно
>на другую консоль через ALT+F2/F3... переключается?

Да. Пока не кончатся консоли.

>и несколько вопросов не в тему:
>давно он так себя ведет?

Достаточно, к сожалению.

> кто ставил систему? где этот человек? по
>каким причинам его уволили:) со скандалом или по тихому?:))))

Я. Меня не увольняли. Просто во время моего отпуска туда ещё начальник руками влез. Вот после этого и пошли такие глюки. Но он не помнит что он сделал. :(



"Вытащить BIND из CHROOT"
Отправлено daevy , 06-Ноя-09 13:48 
>Я. Меня не увольняли. Просто во время моего отпуска туда ещё начальник
>руками влез. Вот после этого и пошли такие глюки. Но он
>не помнит что он сделал. :(

радует что ставили вы:-) пробовали посмотреть по истории команд что набивал начальник или хотя бы что он пытался делать(какую задачу ставил себе залезая на серв)?


"Вытащить BIND из CHROOT"
Отправлено DJ_Kill , 06-Ноя-09 14:13 
>пробовали посмотреть по истории команд что набивал начальник
>или хотя бы что он пытался делать(какую задачу ставил себе залезая
>на серв)?

Нет. Ибо история команд на несколько месяцев не храниться. :(
Задачу - сервак за DDoSили. Он его "лечил". По "какой-то статье из интернета".
Причём безрезультатно.