Forums:
Buenas, amigos. les solicito encarecidamente su ayuda. Tengo un firewall en centos 5 con squid, el problema es que el servicio squid se paraliza aleatoriamente una 5 veces al dia, a veces es insoportable porque se paraliza cada 10 o 5 minutos. No es la conexion al internet porque se puede navegar desde el servidor, y el ping al dns del isp no se detiene. Simplemente se detiene el servicio squid. Le tengo que poner service squid restart y todo vuelve a la normalidad y los usuarios pueden navegar, pero en cualquier momento se vuelve a detener y hay que repetir el reinicio. Por favor indiquenme cual puede ser el problema. Hay dias en los que no molesta, pero otros vuelve a detenerse. Hace un mes se cayo el servidor y le restableci los directorios con squid -z. El firewall tiene en total 3 tarjetas de red, por una recibe y por las otras dos reparte a dos bloques de usuarios. De antemano, muchas gracias por ayudarme.
ENCONTRE A INTRUSO POR WEBMIN, AUX!
Hola FALCON, me parece mas apropiado contestarle individualmente ya que ha tenido la mabilidad de responderme y me ha sido de ayuda, mas no quiero parecer descortes al repetir la consulta a otros usuarios del blog, justamente por responderle a cada uno de manera individual. (es solo una pequena aclaracion). Quisiera por favor saber sus comentarios siguiendo el caso del problema de la paralizacion del squid:
Revise el servidor en el /var/log/secure y aparece:
Jun 29 08:42:53 xxx webmin[28483]: Successful login as admin from 200.124.247.43
Jun 29 09:06:29 xxx webmin[28678]: Successful login as admin from 200.124.247.43
Jun 29 09:47:11 xxx userhelper[29012]: pam_timestamp: updated timestamp file `/var/run/sudo/root/unknown'
Jun 29 09:47:11 xxx userhelper[29015]: running '/usr/sbin/system-config-network' with root privileges on behalf of 'root'
Yo nunca entre por webmin, asi que por este medio esta entrando un intruso y justo a esta hora aparece cambiada la configuracion squid y el archivo de iplibres, tambien se paro el servicio squid.
en var/log/squid.out aparece:
squid: ERROR: No running copy
squid: ERROR: No running copy
squid: ERROR: No running copy
y en cache.log aparece que el squid entra a shutdown de manera normal pero yo no le he dado ningun comando para que se apague solo, por favor ayudame a bloquear a este intruso y resolver el problema, como desactivo el webmin, tengo entendido que el administrador anterior lo usaba para crear usuarios y cambiarles las claves, pero yo nunca lo he usado ni se como se desinstala el servicio, ni como accesarlo desde otra maquina, si lo desinstalo, no se pierden las claves de los usuarios?
Por favor ayuda, no he manejado antes estas herramientas y no se como corregir este error.
Hace dos dias se cayo por completo el servicio y se soluciono borrando el cache del squid con rm -Rf /var/log/squid/* y rm -Rf /var/spool/squid/* y reconstruyendo los directorios swap con squid -z y se soluciono temporalmente el problema, pero como el intruso se sigue metiendo, no se soluciona definitivamente.
Muchas gracias por auxiliarme.
Le envio una parte del cache.log y de la configuracion squid que es bastante basica.
ARCHIVO squid.conf
http_port 192.168.X1.253 8080
http_port 192.168.X2.253 8080
http_port 192.168.X1.253 3128
http_port 192.168.X2.253 3128
icp_port 3130
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 256 MB
cache_dir ufs /var/spool/squid 2048 16 256
cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log
logfile_rotate 10
redirect_rewrites_host_header off
cache_replacement_policy GDSF
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves
auth_param basic realm xxxxxxxxxxxxxx - Squid proxy-cache
acl porno url_regex "/etc/squid/listas/sitios_xxx"
acl ipsacceso_total src "/etc/squid/listas/ipsacceso_total"
acl localnet src 192.168.X1.0/255.255.255.0
acl localnet src 192.168.X2.0/255.255.255.0
acl ipsconta src "/etc/squid/listas/ips_cont"
acl password proxy_auth REQUIRED
acl sitios url_regex "/etc/squid/listas/sitios_cont"
acl localhost src 127.X.X.X/255.255.255.255
acl Safe_ports port 80 443 210 119 70 20 21 1025-65535
acl CONNECT method CONNECT
deny_info ERR_ACCESS_DENIED sitiosdegenerados
acl all src 0.0.0.0/0.0.0.0
http_access allow ipsacceso_total
http_access deny porno
http_access deny ipsconta !sitios
http_access allow ipsconta password sitios
http_access allow localnet password
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
maximum_object_size 60096 KB
store_avg_object_size 50 KB
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#fake_user_agent Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122
cache_effective_user squid
cache_effective_group squid
visible_hostname xxx.xxx.ec
log_icp_queries off
buffered_logs on
#EOF
POR FAVOR, SI HAY ALGUNA LINEA QUE CORREGIR LE AGRADECERIA UN MUNDO QUE ME LO INDICARA. MUCHAS GRACIAS
extracto de cache.log:
2009/06/29 10:41:22| WARNING: Closing client 192.168.X1.77 connection due to lifetime timeout
2009/06/29 10:41:22| WARNING: Closing client 192.168.X2.100 connection due to lifetime timeout
2009/06/29 10:41:22| WARNING: Closing client 192.168.X2.23 connection due to lifetime timeout
2009/06/29 10:41:22| http://emerpad.iforex.com/receive.php?time=20090629161020375&uid=73505179-D509-72C7-1116-2293616238C0&mid=22&pid=99083_a684405e-fde9-464c-af96-fb17efaf78ca&type=loader.loaded&url=http%3A%2F%2Femerpas.iforex.com%2Fflex%2FFiles%2F99083_a684405e-fde9-464c-af96-fb17efaf78ca.html&sent=20090629161022328
2009/06/29 10:41:22| Closing unlinkd pipe on FD 15
2009/06/29 10:41:22| storeDirWriteCleanLogs: Starting...
2009/06/29 10:41:22| Finished. Wrote 38901 entries.
2009/06/29 10:41:22| Took 0.1 seconds (301070.4 entries/sec).
CPU Usage: 176.541 seconds = 105.374 user + 71.167 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
total space in arena: 26644 KB
Ordinary blocks: 26445 KB 117 blks
Small blocks: 0 KB 5 blks
Holding blocks: 208 KB 1 blks
Free Small blocks: 0 KB
Free Ordinary blocks: 198 KB
Total in use: 26653 KB 100%
Total free: 198 KB 1%
2009/06/29 10:41:22| Squid Cache (Version 2.5.STABLE14): Exiting normally.
2009/06/29 10:42:32| Starting Squid Cache version 2.5.STABLE14 for i686-redhat-linux-gnu...
2009/06/29 10:42:32| Process ID 29680
2009/06/29 10:42:32| With 1024 file descriptors available
2009/06/29 10:42:32| DNS Socket created at 0.0.0.0, port 47388, FD 5
2009/06/29 10:42:32| Adding nameserver xxx.xx.xxx.xxx from /etc/resolv.conf
2009/06/29 10:42:32| Adding nameserver xxx.xx.xxx.xxx from /etc/resolv.conf
2009/06/29 10:42:32| helperOpenServers: Starting 5 'ncsa_auth' processes
2009/06/29 10:42:32| User-Agent logging is disabled.
2009/06/29 10:42:32| Referer logging is disabled.
2009/06/29 10:42:32| Unlinkd pipe opened on FD 15
2009/06/29 10:42:32| Swap maxSize 2097152 KB, estimated 41943 objects
2009/06/29 10:42:32| Target number of buckets: 2097
2009/06/29 10:42:32| Using 8192 Store buckets
2009/06/29 10:42:32| Max Mem size: 262144 KB
2009/06/29 10:42:32| Max Swap size: 2097152 KB
2009/06/29 10:42:32| Rebuilding storage in /var/spool/squid (CLEAN)
2009/06/29 10:42:32| Using Least Load store dir selection
2009/06/29 10:42:32| Current Directory is /
2009/06/29 10:42:32| Loaded Icons.
2009/06/29 10:42:32| commBind: Cannot bind socket FD 17 to *:192: (13) Permission denied
2009/06/29 10:42:32| Accepting HTTP connections at 0.0.0.0, port 8080, FD 17.
2009/06/29 10:42:32| commBind: Cannot bind socket FD 18 to *:192: (13) Permission denied
2009/06/29 10:42:32| commBind: Cannot bind socket FD 18 to *:8080: (98) Address already in use
2009/06/29 10:42:32| commBind: Cannot bind socket FD 18 to *:192: (13) Permission denied
2009/06/29 10:42:32| Accepting HTTP connections at 0.0.0.0, port 3128, FD 18.
2009/06/29 10:42:32| commBind: Cannot bind socket FD 19 to *:192: (13) Permission denied
2009/06/29 10:42:32| commBind: Cannot bind socket FD 19 to *:3128: (98) Address already in use
2009/06/29 10:42:32| Accepting ICP messages at 0.0.0.0, port 3130, FD 19.
2009/06/29 10:42:32| WCCP Disabled.
2009/06/29 10:42:32| Ready to serve requests.
2009/06/29 10:42:33| Store rebuilding is 10.5% complete
2009/06/29 10:42:33| Done reading /var/spool/squid swaplog (38901 entries)
2009/06/29 10:42:33| Finished rebuilding storage from disk.
2009/06/29 10:42:33| 38901 Entries scanned
2009/06/29 10:42:33| 0 Invalid entries.
2009/06/29 10:42:33| 0 With invalid flags.
2009/06/29 10:42:33| 38898 Objects loaded.
2009/06/29 10:42:33| 0 Objects expired.
2009/06/29 10:42:33| 0 Objects cancelled.
2009/06/29 10:42:33| 1 Duplicate URLs purged.
2009/06/29 10:42:33| 2 Swapfile clashes avoided.
2009/06/29 10:42:33| Took 1.3 seconds (28817.1 objects/sec).
2009/06/29 10:42:33| Beginning Validation Procedure
2009/06/29 10:42:33| Completed Validation Procedure
2009/06/29 10:42:33| Validated 38898 Entries
2009/06/29 10:42:33| store_swap_size = 1358452k
2009/06/29 10:42:34| storeLateRelease: released 0 objects
2009/06/29 10:43:34| sslReadServer: FD 50: read failure: (104) Connection reset by peer
2009/06/29 10:43:39| Preparing for shutdown after 196 requests
2009/06/29 10:43:39| Waiting 30 seconds for active connections to finish
2009/06/29 10:43:39| FD 17 Closing HTTP connection
2009/06/29 10:43:39| FD 18 Closing HTTP connection
2009/06/29 10:43:59| sslReadServer: FD 59: read failure: (104) Connection reset by peer
2009/06/29 10:44:10| Shutting down...
2009/06/29 10:44:10| FD 19 Closing ICP connection
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.65 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts09.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.74 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts05.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.74 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts00.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.61 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts07.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.64 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts07.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.65 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts06.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.64 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts09.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.61 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts04.eset.com/query/chsquery.php
2009/06/29 10:44:10| Closing unlinkd pipe on FD 15
2009/06/29 10:44:10| storeDirWriteCleanLogs: Starting...
2009/06/29 10:44:10| Finished. Wrote 38900 entries.
2009/06/29 10:44:10| Took 0.1 seconds (495832.0 entries/sec).
CPU Usage: 2.046 seconds = 1.236 user + 0.810 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
total space in arena: 20284 KB
Ordinary blocks: 19611 KB 98 blks
Small blocks: 0 KB 6 blks
Holding blocks: 208 KB 1 blks
Free Small blocks: 0 KB
Free Ordinary blocks: 672 KB
Total in use: 19819 KB 98%
Total free: 672 KB 3%
2009/06/29 10:44:10| Squid Cache (Version 2.5.STABLE14): Exiting normally.
GRACIAS POR AYUDARME.
Muchas Gracias
Muchas gracias Falcon, ya aplique los cambios al squid; pero te queria comentar algo extraño que paso, que tambien se lo comente a NEO, el archivo de texto que guardaba las direcciones ip libres de un ACL que defini como IPLIBRES estaba vacio. y alguien o algo habia cambiado la configuracion de squid por otro archivo mas antiguo. ?Es posible que alguien, por ejemplo, la persona que configuro el servidor y que ya no trabaja en la institucion, pueda entrar al servidor y hacer esto?. ?comoque tendria que hacer para evitarlo?, la verdad no se mucho de seguridades anti hackers en linux y yo no configure este servidor sino que ya estaba configurado, y esta persona tengo entendido que no salio en buenos terminos.
Tambien gracias por el comentario del "hilo", la verdad no le entendi nada a este pana.
Todo Bien,
YA te paso la configuracion del squid para que la cheques,
Nuevamente Gracias
respeto yu admito tu interés
respeto yu admito tu interés en comprender el por qué del problema.
puedes indicar qué dicen los logs poco antes de ocurrir el problema? pienso que algún recurso estás agotando
qué dice además el comando dmesg ?
cuando esto ocurre yo primero me oriento a verificar si no se ha agotado algún recurso (filedescriptors por ejemplo) y además a verificar el tamaño del archivo de log del squid.
mira los logs relacionados con el squid y mira /var/log/messages
si alguien cambió tu archivo de configuración es porque alguien pudo entrar a cambiarlo, quizá debas verificar el archivo de claves y quizá debas asegurar un poco más el servidor, cierra puertos.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Gracias por responder, en efecto, hay un intruso por webmin
Muchas gracias por responder EPE, ya puse en el foro lo que dice el /var/log/squid/cache.log y squid.out, tambien lo que dice /var/log/secure y aparece:
Jun 29 08:42:53 xxx webmin[28483]: Successful login as admin from 200.124.247.43
Jun 29 09:06:29 xxx webmin[28678]: Successful login as admin from 200.124.247.43
Jun 29 09:47:11 xxx userhelper[29012]: pam_timestamp: updated timestamp file `/var/run/sudo/root/unknown'
Jun 29 09:47:11 xxx userhelper[29015]: running '/usr/sbin/system-config-network' with root privileges on behalf of 'root'
Yo nunca entre por webmin, asi que hay un intruso que entro y justo a esta hora aparece cambiada la configuracion squid y el archivo de iplibres, tambien se paro el servicio squid.
tambien publique el contenido de squid.conf, por favor, envieme sus comentarios para resolver este molestoso y riesgoso problema.
Nuevamente muchas gracias por ayudarme.
Tiene que ver y mucho (talvez
Tiene que ver y mucho (talvez no desde el aspecto estrictamente tecnico) ya que el amigo esta usando algo que no es simple de mantener, cuando podria usar una solution mas simple y facil de administrar.
Te apuesto que si el tipo que instalo ese server (que ahora salio en "malos" terminos con la compania), lo hubiera instalado con un ClarkConnect de la vida, hoy nuestro amigo no tuviera problemas para hacer el server funcionar correctamente ya que podria usar un simple webGUI y no andar metiendose a los logs y los arquivos de config. de la vida...
Yo le daria format a ese server y le pondria algo con un webGUI (no cometamos el mismo error del señor que se acaba de ir).
Diria tambien q como minimo, hay documentar lo que esta hecho ahora (talves en un wiki interno de la compania) - otro error del señor ese no haber documentado - para que si manana llegas as salir de la compania no les vaya a pasar lo mismo que esta pasando ahora ;)
Como responsable de esa empresa yo no permitiria tener una solucion a la cual mi gente no la sabe manejar (por lo menos el basico). Y cuando digo mi gente, me refiero a los que estan hoy y a los que eventualmente contratare manana. Las cosas tienen que ser simple de usar/mantener (siempre que posible) y estar bien documentadas.
Talvez no lo fuera en ese caso especifico, ya que el server deja responder aleatoriamente - pero muy probable que si fuera una solucion completa y de paquete - encontrarias respuesta facil en el forum del fabricante. Y asi no lo encontraras, por lo menos hubieras hecho lo posible para que otras personas sepan como manejar el sistema sin que necesiten ser unos expertos del tema.
Ese era mi punto senores. Igual solo fue una idea/opinion. Talvez hasta algo de cultura.
Perdoname si no tuvo un enfoque tecnico hacia la pregunta, talvez sea algo mas de procedimento y/o del negocio, pero no resisto comentar delante de esas situaciones.
Disculpenme de nuevo.
Salu2,
chopeta
"Toda la unanimidad es tonta." -Nelson Rodrigues
Amigo !!!!
Amigo es probable que la persona que estubo antes configurando el servidor haya creado un par de claves RSA, si es asi el tendria acceso a tu servidor aunque tu cambies la clave de root, tu servidor esta guardando la clave publica ,revisa el archivo home de l usuario .ssh/authorized_keys y si es necesario borra suu contenido
S
Gracias por responder, hay un intruso entarando por webmin
Muchas gracias por responder Roberto, ya puse en el foro lo que dice el /var/log/squid/cache.log y squid.out, tambien lo que dice /var/log/secure y aparece:
Jun 29 08:42:53 xxx webmin[28483]: Successful login as admin from 200.124.247.43
Jun 29 09:06:29 xxx webmin[28678]: Successful login as admin from 200.124.247.43
Jun 29 09:47:11 xxx userhelper[29012]: pam_timestamp: updated timestamp file `/var/run/sudo/root/unknown'
Jun 29 09:47:11 xxx userhelper[29015]: running '/usr/sbin/system-config-network' with root privileges on behalf of 'root'
Yo nunca entre por webmin, asi que hay un intruso que entro y justo a esta hora aparece cambiada la configuracion squid y el archivo de iplibres, tambien se paro el servicio squid.
tambien publique el contenido de squid.conf, por favor, envieme sus comentarios para resolver este molestoso y riesgoso problema.
Nuevamente muchas gracias por ayudarme
Definitivamente reinstalando el server o con un buen Firewall
creo que la solución a todos estos problemas y como ya han comentado es reinstalar el Server completamente eso concluiría todos los dolores de cabeza, pero en dado caso que se complique realizar esa acción pues puedes reforzar tu FW, yo no soy gurú en estos temas pero actualmente estoy usando SHOREWALL como FW y me a dado buenos resultados.. Hay buenos tutoriales y pues es fácilita mucho la administracion de IPTABLES, comenzaría bloqueando completamente el acceso desde interet y desde tu LAN a los puertos:
10000 webmin
22 SSH
23 TeLnet
5801 y 5901 VNC
como comento habrá quien sepa mas del tema pero esa seria el plan de accion INICIAL que aplicaría..
saludos suerte
Problemas de consumo de memoria RAM en squid
Hola, agradeceria si alguien me puede dar una ayuda con un problema que tengo en un servidor squid que lo paso a detallar:
Tengo una maquina con Centos 5.2 de 64 bits con 3G de RAM y un disco de 200G, hecho andar el squid y funciona perfectamente, pero en unos 5 dias o menos la memoria RAM se consume completamente y por tal razon la navegacion se me hace demasiado lenta.
He probado cambiando todos los parametros posibles de squid referentes al manejo de memoria pero el problema persiste, tengo una red con unos 20 usuarios que navegan a todo momento.
Por favor si alguien me puede dar alguna idea de que es lo que puede estar pasando.
umm primero deberias ver q te
umm primero deberias ver q te dicen los logs tail -f /var/log/squid/access.log u otros logs, luego nos avisas
Páginas