Спасибо за парней ответов.
Моя цель здесь состоит в том, чтобы понять, почему скачки в графике являются регулярными и цикличными, и затем заставляют их остановиться. Они входят в медленной струйке (приблизительно 5 за один раз). Я понимаю, что соединения TCP перестали работать по той или иной причине, но существует, очевидно, что-то в движении из-за их регулярности. Я подозреваю задание крона где-нибудь, неверную конфигурацию подсистемы балансировки нагрузки или устройство мониторинга как преступник.
Я решил проявить подход UTSL, и вот то, где я в до сих пор:
netstat-s добирается, это - статистика от/proc/net/snmp.
Отлично. Таким образом, ядро обновляет счетчик SNMP каждый раз, когда существует неудавшаяся попытка подключения.
То, что я хотел бы выполнить, является каждым разом, когда существует неудавшееся соединение, к не только обновляет этот счетчик, но и также зарегистрировать "отказавшую попытку подключения от $foo IP на уровне $timestamp"
Так же..., что квалифицирует как неудавшаяся попытка подключения?
исходные власти ядра загрузок вокруг приходят к заключению, что счетчик, который я ищу, является TCP_MIB_ATTEMPTFAILS
держа через 2.6.18 исходных деревьев, я нашел два места, где на это ссылаются:
./net/ipv4/tcp_minisocks.c:
453 struct sock *tcp_check_req(struct sock *sk,struct sk_buff *skb,
454 struct request_sock *req,
455 struct request_sock **prev)
456 {
592 if (flg & (TCP_FLAG_RST|TCP_FLAG_SYN)) {
593 TCP_INC_STATS_BH(TCP_MIB_ATTEMPTFAILS);
594 goto embryonic_reset;
595 }
640 }
... и, include/net/tcp.h
915 static inline void tcp_done(struct sock *sk)
916 {
917 if(sk->sk_state == TCP_SYN_SENT || sk->sk_state == TCP_SYN_RECV)
918 TCP_INC_STATS_BH(TCP_MIB_ATTEMPTFAILS);
919
920 tcp_set_state(sk, TCP_CLOSE);
921 tcp_clear_xmit_timers(sk);
922
923 sk->sk_shutdown = SHUTDOWN_MASK;
924
925 if (!sock_flag(sk, SOCK_DEAD))
926 sk->sk_state_change(sk);
927 else
928 inet_csk_destroy_sock(sk);
929 }
Я немного удивлен, что это только два условия, которые генерируют встречное обновление, но безотносительно.
Первый блок кажется довольно очевидным. "Если Вы видите пакет TCP и с RST и с набором флагов SYN, обновляете счетчик TCP_MIB_ATTEMPTFAILS и сбрасываете соединение".
В попытке поймать их, я вставил следующие правила iptables
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG
iptables -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG
ожидает …..ничего. = (
Второй блок является немного более таинственным, но я собираюсь предположить и предположить, что это означает, "обновляют счетчик TCP_MIB_ATTEMPTFAILS, если сокет находится в определенном состоянии при разъединении его"
Это, я понятия не имею, как протестировать на это.
Мои вопросы, теперь: 1) Я неправильно истолковываю этот график так или иначе? 2) Я на правильном пути? 3) За исключением записи модуля ядра (который я не, где почти достаточно квалифицированный, чтобы сделать), как я могу выполнить свою цель входа?
Спасибо
- s
Неполный список в произвольном порядке:
cn = config
(см. man slapd-config
). uidNumber
и gidNumber
). ldapseach -x -H $ URI
- это анонимный поиск. ( ldapwhoami -x -H $ URI
). nscd
(самостоятельный доступ через ldapi: ///
). memberof
очень удобен для членство в группе. Вероятно, важно:
Изучите документацию . Это не все, что вам нужно, но, безусловно, помогает.
Этот вопрос слишком общий, чтобы ответить на него, и любой ответ будет сильно зависеть от вашей среды.
Некоторые вещи , которые я мог бы рассмотреть, следующие:
sudoers
)
Пакет Debian (и, следовательно, Ubuntu) OpenLDAP скомпилирован с использованием gnuTLS вместо OpenSSL. Это нормально для игры, но gnuTLS значительно медленнее в нашей сети. Я всегда перестраиваю пакет Ubuntu, скомпилированный для OpenSSL.
Другие дистрибутивы могут делать то же самое или отличаться.
Kerberos действительно не кажется полезным в моей среде (~ 200 рабочих станций Linux, ~ 40 Mac, nfs серверы, imap, smtp, веб-сервер). Ни одно из наших стандартных клиентских приложений не поддерживает аутентификацию Kerberos (Firefox, Thunderbird). Он будет просто использоваться на уровне хоста для NFS и как модуль PAM для аутентификации. Я думаю, что SSL может так же хорошо хранить пароли в секрете.
Если вы действительно используете kerberos, вы должны использовать Heimdal для интеграции с оверлеем OpenLDAP smbk5pwd.
Библиотека по умолчанию для nss от PADL немного раздута и неудобна. Я рекомендую вам попробовать SSS или nss-pam-ldapd. Оба они очень хорошо работают в моей среде.
SSS делает гораздо больше, чем библиотеки PADL. Он включает в себя кеширование, поэтому вам не нужен nscd.
nss-pam-ldapd - это переработанная библиотека PADL, сделанная для более эффективной работы.
Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.
Они могут быть медленнее, но у них есть более продвинутые функции.
Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.
Оба они очень хорошо работают в моей среде.SSS делает гораздо больше, чем библиотеки PADL. Он включает в себя кеширование, поэтому вам не нужен nscd.
nss-pam-ldapd - это переработанная библиотека PADL, сделанная для более эффективной работы.
Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.
Они могут быть медленнее, но у них есть более продвинутые функции.
Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.
Оба они очень хорошо работают в моей среде.SSS делает гораздо больше, чем библиотеки PADL. Он включает в себя кеширование, поэтому вам не нужен nscd.
nss-pam-ldapd - это переработанная библиотека PADL, сделанная для более эффективной работы.
Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.
Они могут быть медленнее, но у них есть более продвинутые функции.
Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.
Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.
Они могут быть медленнее, но у них есть более продвинутые функции.
Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.
Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.
Они могут быть медленнее, но у них есть более продвинутые функции.
Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.