Procesos duplicados, triplicados, cuatriplicados…
-
Hola foreros, tengo un problemilla curioso, hasta ahora no le di mucha importancia pero necesito meter snort y me come toda la ram. Y es que el caso es que tengo varias ejecuciones simultáneas si muestro los procesos que incluyan el nombre snort me sale:
$ ps uxawww | grep snort
root 12767 0.0 0.1 3492 916 ?? I 2:19PM 0:00.00 sh -c /bin/sh /usr/local/etc/rc.d/snort.sh start
root 12768 0.0 0.1 3492 964 ?? I 2:19PM 0:00.00 /bin/sh /usr/local/etc/rc.d/snort.sh start
root 12773 0.0 0.4 39688 4084 ?? Is 2:19PM 0:00.01 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.php
root 12775 0.0 0.4 39688 4092 ?? I 2:19PM 0:00.00 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.php
root 41360 0.0 0.1 3492 964 ?? S 5:25PM 0:00.00 sh -c ps uxawww | grep snort
root 41362 0.0 0.1 3364 1012 ?? S 5:25PM 0:00.00 grep snortSi hago lo mismo con el Bandwidthd :
$ ps uxawww | grep bandwidthd
root 41685 0.0 0.1 3492 964 ?? S 5:27PM 0:00.00 sh -c ps uxawww | grep bandwidthd
root 41687 0.0 0.1 3364 1012 ?? S 5:27PM 0:00.00 grep bandwidthd
root 1025 0.0 0.1 7308 1092 con- S Mon07PM 0:03.22 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
root 1026 0.0 0.1 6284 1036 con- S Mon07PM 0:03.14 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
root 1027 0.0 0.1 5260 664 con- S Mon07PM 0:03.01 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
root 1028 0.0 0.0 5260 428 con- S Mon07PM 0:03.15 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
root 1110 0.0 0.1 7308 1096 con- S Mon07PM 0:03.41 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
root 1113 0.0 0.1 6284 1036 con- S Mon07PM 0:03.46 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
root 1114 0.0 0.1 5260 664 con- S Mon07PM 0:03.27 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
root 1115 0.0 0.0 5260 428 con- S Mon07PM 0:03.53 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.confAlguna idea de como puedo depurar esto?
Archivos de inicio de Freebsd para limpiar entradas duplicadas o algo asi? -
¡Hola!
No tengo claro que sea una duplicación errónea de procesos …
root 12767 0.0 0.1 3492 916 ?? I 2:19PM 0:00.00 sh -c /bin/sh /usr/local/etc/rc.d/snort.sh start
abre un proceso nuevo:
root 12768 0.0 0.1 3492 964 ?? I 2:19PM 0:00.00 /bin/sh /usr/local/etc/rc.d/snort.sh start
Porque lo hacen así no lo sé.
En un FreeBSD "normal" el arranque mira a /etc/rc.d (sistema) y a /usr/local/etc/rc.d (aplicaciones) ejecutando los scripts que hay en estas carpetas en función de las variables definidas en /etc/rc.conf.
root 12773 0.0 0.4 39688 4084 ?? Is 2:19PM 0:00.01 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.php
root 12775 0.0 0.4 39688 4092 ?? I 2:19PM 0:00.00 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.phpBien puede ser que llamen dos veces a este código PHP. ¿Por qué no?
En cuanto a bandwidthd no sé cómo funciona, a pesar que lo probé un día. Es frecuente ver a los daemons con varias sesiones porque precisamente las abren a medida que hay peticiones. Esto se puede ver fácilmente en servidores web, de correo…
http://www.freebsd.org/cgi/url.cgi?ports/net-mgmt/bandwidthd/pkg-descr
snort necesita bastante máquina para capturar paquetes, analizarlos e informar a PF de los bloqueos/desbloqueos a hacer. No es de estrañar que te aumente el consumo ... ¿Cuánta RAM tienes? ¿Qué hardware?
Saludos,
Josep Pujadas
-
Pues tengo un HP ML110 G5 con 1 Gb de RAM y como vi que el consumo de RAM subia mucho le meti otro así que ahora son 2Gb.
Como dices puede ser que tenga varias llamadas al proceso para varias estadisticas y en efecto no me fije bien tienes razon con el proceso que lanza el snort con sh.Va a ser que el snort come mucho…
Jugare un poco con ello a ver como se porta, muchas gracias bellera. -
¡De nada!
Mírate http://www.bellera.cat/josep/snort2pfsense/
El snort está justamente en un HP ML110 G5 con 1 Gb de RAM para él solito, con MySQL y Apache servers para su administración.
Saludos,
Josep Pujadas