Procesos duplicados, triplicados, cuatriplicados…



  • Hola foreros, tengo un problemilla curioso, hasta ahora no le di mucha importancia pero necesito meter snort y me come toda la ram. Y es que el caso es que tengo varias ejecuciones simultáneas si muestro los procesos que incluyan el nombre snort me sale:

    $ ps uxawww | grep snort
    root  12767  0.0  0.1  3492  916  ??  I    2:19PM  0:00.00 sh -c /bin/sh /usr/local/etc/rc.d/snort.sh start
    root  12768  0.0  0.1  3492  964  ??  I    2:19PM  0:00.00 /bin/sh /usr/local/etc/rc.d/snort.sh start
    root  12773  0.0  0.4 39688  4084  ??  Is    2:19PM  0:00.01 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.php
    root  12775  0.0  0.4 39688  4092  ??  I    2:19PM  0:00.00 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.php
    root  41360  0.0  0.1  3492  964  ??  S    5:25PM  0:00.00 sh -c ps uxawww | grep snort
    root  41362  0.0  0.1  3364  1012  ??  S    5:25PM  0:00.00 grep snort

    Si hago lo mismo con el Bandwidthd :

    $ ps uxawww | grep bandwidthd
    root  41685  0.0  0.1  3492  964  ??  S    5:27PM  0:00.00 sh -c ps uxawww | grep bandwidthd
    root  41687  0.0  0.1  3364  1012  ??  S    5:27PM  0:00.00 grep bandwidthd
    root    1025  0.0  0.1  7308  1092 con- S    Mon07PM  0:03.22 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
    root    1026  0.0  0.1  6284  1036 con- S    Mon07PM  0:03.14 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
    root    1027  0.0  0.1  5260  664 con- S    Mon07PM  0:03.01 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
    root    1028  0.0  0.0  5260  428 con- S    Mon07PM  0:03.15 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
    root    1110  0.0  0.1  7308  1096 con- S    Mon07PM  0:03.41 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
    root    1113  0.0  0.1  6284  1036 con- S    Mon07PM  0:03.46 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
    root    1114  0.0  0.1  5260  664 con- S    Mon07PM  0:03.27 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf
    root    1115  0.0  0.0  5260  428 con- S    Mon07PM  0:03.53 /usr/local/bandwidthd/bandwidthd /usr/local/bandwidthd/etc/bandwidthd.conf

    Alguna idea de como puedo depurar esto?
    Archivos de inicio de Freebsd para limpiar entradas duplicadas o algo asi?



  • ¡Hola!

    No tengo claro que sea una duplicación errónea de procesos …

    root  12767  0.0  0.1  3492  916  ??  I    2:19PM  0:00.00 sh -c /bin/sh /usr/local/etc/rc.d/snort.sh start

    abre un proceso nuevo:

    root  12768  0.0  0.1  3492  964  ??  I    2:19PM  0:00.00 /bin/sh /usr/local/etc/rc.d/snort.sh start

    Porque lo hacen así no lo sé.

    En un FreeBSD "normal" el arranque mira a /etc/rc.d (sistema) y a /usr/local/etc/rc.d (aplicaciones) ejecutando los scripts que hay en estas carpetas en función de las variables definidas en /etc/rc.conf.

    root  12773  0.0  0.4 39688  4084  ??  Is    2:19PM  0:00.01 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.php
    root  12775  0.0  0.4 39688  4092  ??  I    2:19PM  0:00.00 /usr/local/bin/php -f /usr/local/pkg/pf/snort_dynamic_ip_reload.php

    Bien puede ser que llamen dos veces a este código PHP. ¿Por qué no?

    En cuanto a bandwidthd no sé cómo funciona, a pesar que lo probé un día. Es frecuente ver a los daemons con varias sesiones porque precisamente las abren a medida que hay peticiones. Esto se puede ver fácilmente en servidores web, de correo…

    http://www.freebsd.org/cgi/url.cgi?ports/net-mgmt/bandwidthd/pkg-descr

    snort necesita bastante máquina para capturar paquetes, analizarlos e informar a PF de los bloqueos/desbloqueos a hacer. No es de estrañar que te aumente el consumo ... ¿Cuánta RAM tienes? ¿Qué hardware?

    Saludos,

    Josep Pujadas



  • Pues tengo un HP ML110 G5 con 1 Gb de RAM y como vi que el consumo de RAM subia mucho le meti otro así que ahora son 2Gb.
    Como dices puede ser que tenga varias llamadas al proceso para varias estadisticas y en efecto no me fije bien tienes razon con el proceso que lanza el snort con sh.

    Va a ser que el snort come mucho…
    Jugare un poco con ello a ver como se porta, muchas gracias bellera.



  • ¡De nada!

    Mírate http://www.bellera.cat/josep/snort2pfsense/

    El snort está justamente en un HP ML110 G5 con 1 Gb de RAM para él solito, con MySQL y Apache servers para su administración.

    Saludos,

    Josep Pujadas


Log in to reply