VSFTPD alapkérdések

Hálózatok általános

Sziasztok!

Kezdőként belefogtam egy otthoni NAS/FTP szerver építésébe. Amit a rendszerről tudni kell:

- Via C7 1000 MHz CPU
- 1 GB DDR2 RAM
- SATA 500 GB HDD
- Onboard RTL8139 100Mbit LAN kártya
- Debian 6.0.10 oprendszer (mert a 7-esben a vsftpd bugos mint a dög, a 8-as meg túl sok ennek a kis gépnek)

A probléma:

A NAS része remekül megy, a vsftpd bekonfigurálása sem volt egy agyműtét, még kezdőként sem, hála a sok jó netes leírásnak. Sajnos pont a 7-es debiannal kezdtem és túl későn jöttem rá, hogy az alatt bugos a vsftpd és nem tudtam megoldani a problémát, így rendszert váltottam, ez egyszerűbb volt. A gondom az, hogy a vsftpd esetén valamiért belassul a hálózat, sőt egyes esetekben minden külső forgalom leáll, különösen igaz ez a levelezésre (másik gépeken). Az FTP forgalom minimális. Szó szerint pár 10 MB/nap. Ez nulla. Amennyiben a vsftpd-t futtató gépet lehúzom a hálózatról vagy lelövöm a progit, a hálózat ismét visszaáll normális üzemmódba. Wireshark-al próbáltam kideríteni a hibát de nem találtam semmi szokatlant.

A vsftpd-t az alábbi opciókkal telepítettem:

- anonymous letiltva
- local userek bejelentkezhetnek ftp-re
- teszt nevű user hozzáadva a rendszerben
- teszt userhez hozzárendeltem egy külön home mappát
- chroot lista beállítva, teszt user nem léphet ki a mappájából

Mást az alap vsftpd.conf-on nem változtattam meg.

Ez így rendben megy. 1-2 órát, majd belassul a háló, s végül leáll.

A hiba ugyígy fennáll másik gépen is, ha oda telepítem a fenti beállításokkal a rendszert, ezt több gépen is kipróbáltam, hogy kizárhassam a lan kártya hibát.

Plíz help mí....

  • 2074 megtekintés

( sj | 2015. 08. 26., sze – 11:41 )

elso korben mrtg-vel megneznem az uplink ill. az egyes switch portok forgalmat. Aztan azt is erdemes lenne kiprobalni, hogy nem lehuzod a vsftpd-t futtato gepet, hanem csak leallitod a vsftpd-t.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

( segej | 2015. 08. 26., sze – 11:42 )

Személy szerint proftpd párti vagyok, nyilván - mint ez is - megszokás kérdése, ki-mit szeret/szokott meg, de egy hivatalos repoból feltett alap konfiguráció ilyet biztos nem csinál, valami más lesz inkább (bár ha különböző gépeken is ugyanez, az akkor inkább vs-malfunctionre utal)

jelenleg túl sok az ötlet, ez a "belassul" a háló, "leáll" történetet kéne pontosítsd, az adott gépre van csak ilyen hatással, vagy a teljes lan-t "bénítja"?

Ha útobbi az érdekes, ez esetben valamilyen eltérítés (kéretlen icmp-redirect és/vagy man-in-the-middle) jellegű történet szórna a service (ami önmagában is "érdekes" lenne), ezt valamelyest kétlem:) mindenesetre a jelenség arra utal + az is ezt a verziót támasztaná alá, hogy ha lelövöd a service-t akkor "helyre" áll magától a történet.

Ha vs-t szeretnél, tedd el *.conf-ot tegyél fel egy régebbi/újabb verziót forrásból. Persze fenntartásokkal kezelendő de a linuxfromscratch.org-on használható leírások találhatók a legkedveltebb servicekhez így a vs-hez is :)

A jelenség leginkább úgy írható le, hogy pár óra vsftpd futás után a hálózat érezhetően lassulni kezd, az oldalak betöltési ideje megnő, mail letöltésnél is érezhetően lassul a forgalom. Ezek a jelenségek a hálózat összes gépén tapasztalhatóak. Egy idő után annyira belassul az egész, hogy pl. A winfosos gépeken az outlook timeout error-al el is dobja a letöltéseket és nem is próbálkozik.

Egy kis segítséget kérnék, hogy pontosan mit nézzek meg, mi okozhatja a bajt? Lehet, hogy a hardver gyenge a vsftpd alatt és az okoz gondot?

legvalószínűbbnek a duplikált IP-t tartanám, de ez ugye nem kapcsolódik a servicehez (legalábbis kizárólagosan), viszont azért ezt checkolnám legelsőre, mert ha valamilyen ok miatt "néha" beérkeznek a tcp szegmensek a jó helyre, néha meg máshova az inkább ennek a jele. Ez jelentkezhet nem menedzselt eszközön szimpla "lassulásként". Ebben az esetben rengeteg tcp timeout-ot és/vagy retranmission csomagokat látsz wiresharkban.

Gondolom nem menedzselt switchen van így nincs DAI (dynamic arp inspection)/dhcp snooping vagy egyéb hasonló beállítva ami az ilyen jelenséget észlelné és lelőné a portot.
Így látatlan második legvalószínűbb pedig amit előbb is írtam, hogy a service hülyíti meg, de akkor meg tuti nem "hivatalos" forrásból tetted és/vagy valami teljesen más okozza ezt és csak véletlen, hogy a vs-re gyanakodsz :)

Ellenőriztem minden IP és gépnevet. Nincsen duplikáció a hálózaton. Az egyszerűség kedvéért csak 3 gép van most a hálózaton. Az FTP szerver és két sima munkaállomás. A switch egy mezei sima 4 portos, otthoni eszköz, nem menedzselhető.

Nemsokára nekiülök és megnézem a Wireshark-ban a retransmission csomagokat. Emlékeim szerint ezek piros fekete színnel jelentkeznek a listában?

Az összes programot a hivatalos forrásból szedtem, mindent a synaptic-on keresztül, nem harmadik féltől.

asszem jah, de egyszerűbb lesz ez tcpdump-pal
csinálj egy ilyet amikor már "belassult" a történet

tcpdump -v "icmp or arp or dns" -w icmparp-vsftpd.cap -s 10485760 &
tcpdump -n "broadcast or multicast" -w broadcast-vsftpd.cap -s 10485760 &

a vége az, hogy 10M-ig van elfogás, utána leáll +- növeld ha akarod, akár 1MB is elég lehet simán
majd csinálj egy ugyanilyet (csak más .cap filenévvel) amikor normálisan megy a hálózat (persze úgy hogy rajta van :D) és generálj rajta valami netes forgalmat (elég ping/dns lekérzdés ... )
kettőt összehasonlítva szvsz meg lesz, hogy mi történik.

ugyanmár, senki sem úgy született, hogy ezeket a ****okat tudja ;-) problémád viszonylag érdekes én megoldás-orientált vagyok :D
szerk:
most ki is próbáltam a parancsokat, "dns" helyett "port 53" és a méretnél valamiért nem bír sokat, nem lényeg, kevésből is kiderül, "-s 200000" pl.
off:
egyébként vicces a técépédámp, brend nyúv openssl-openssh kombót feltettem és eldobja az agyát az új libcrypto miatt
tcpdump: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by tcpdump)
LOL

( eleinor v | 2015. 08. 27., cs – 21:21 )

Épp egy minibian nevű disztribúciót akarok felrakni egy raspberry pi-re, ez debian 7 alapú. Mit takar, hogy bugos a 7-es debian alatt a vsftpd?

Ez azt jelenti, hogy a chroot opció nem működik megfelelően:

1.) ha a chroot ki van kapcsolva

- tudsz csatlakozni
- elérhető az ftp szerver

DE:

- minden user ki tud lépni a saját mappájából, ami nem feltétlen előnyös

2.) ha a chroot be van kapcsolva

- Error 500 üzenettel nem tudsz felcsatlakozni a szerverre

Legnagyobb döbbenetemre most rendben megy a rendszer, már 2 napja. Semmi gond. Oda-vissza tudok másolni. Pedig egyik gépen sem módosítottam semmit.

Ami érdekes:

Bár a vsftpd-nek a korai kiadásai (Debian 6) nem igényelnek atomerős hardvert, mégis egy 300-400 MHz-es gépen már fennakadások vannak. Ajánlott az 1 GHz-es CPU, MINIMUM. Javítsatok ki ha tévedek.