ฉันมีปัญหาเมื่อไม่นานมานี้กับเซิร์ฟเวอร์ที่ Apache และ Snort ครอบครอง 100% ของโปรเซสเซอร์ทำให้ sshd ไม่ตอบสนองผ่านการเข้าถึงระยะไกล ฉันต้องไปที่เซิร์ฟเวอร์เพื่อเข้าสู่ระบบ TTY ในพื้นที่แล้วหยุด apache / snort
ฉันสงสัยว่ามีวิธีการรับประกันการเชื่อมต่อ ssh กับสถานการณ์ที่โหลด CPU / หน่วยความจำ 100% หรือไม่ การตั้งค่าลำดับความสำคัญ "ดี" จะเพียงพอหรือไม่
ขอขอบคุณ!
คำตอบ:
นอกเหนือจากการใช้วิธีการนอกแบนด์ไม่มีวิธีรับประกันว่า SSH จะพร้อมใช้งานบนเซิร์ฟเวอร์ที่โหลดเต็ม หากบริการของคุณโหลดจนไม่สามารถให้บริการสถานี SSH พื้นฐานแก่คุณได้แสดงว่าคุณมีปัญหาอื่น ๆ
ใช่reniceและการให้niceค่าที่ต่ำกว่าจะปรับปรุงประสิทธิภาพในการโหลดจำนวนมาก แต่การใช้บางอย่างเช่น pam_security (ตัวอย่างที่แสดงในที่นี้ ) จะป้องกัน Apache / สิ่งที่ไม่สามารถจัดการได้ตั้งแต่เริ่มต้น
niceผู้กระทำผิดจะถูกปิดการทำงานของ CPU เร็วพอที่จะให้แน่ใจว่าคุณสามารถเข้าถึง SSH ได้ การเข้าถึงคอนโซลใด ๆ ที่คุณจะสามารถใช้งานได้) ต้องแก้ไขปัญหาพื้นฐาน (ทรัพยากรหมู) การดับไฟเป็นการจัดการระบบที่ไม่ดี
โซลูชันทั่วไปของคุณสำหรับเครื่องมือนี้เป็นเครื่องมือการจัดการนอกวงเช่น Dell iDRAC, IBM Remote Supervisor หรือ HP iLO มันสามารถนำเสนอคอนโซล (หรือไม่ว่าระบบปฏิบัติการสามารถตอบสนองได้หรือไม่นั้นขึ้นอยู่กับสถานการณ์ของคุณ) และใช้สถานะพลังงานที่ต้องการได้ตามต้องการ
ฉันประสบความสำเร็จในการมอบสิทธิพิเศษเรียลไทม์ให้กับ sshd แต่นั่นก็มาพร้อมกับการรีบูตเครื่องหากกระบวนการเรียลไทม์หายไป
ดังนั้นหากคุณต้องการที่จะลงเส้นทางนี้เริ่มต้น ssh daemon ที่สองที่มีไว้สำหรับกรณีฉุกเฉินเท่านั้น :)
realtimeดูเหมือนว่าฉันจะเป็นอันตรายโดยเฉพาะอย่างยิ่งในพอร์ต 22 (การสแกน SSH อาจกลายเป็นการโจมตี DoS - การทำงานบนพอร์ตสำรองสามารถลดขนาดลงได้ แต่ฉันยังคงกลัว ... )