Hallo,
Auf von mir betreuten Servern fällt mir seit längeren unangenehm auf,
dass sich dort im Laufe der Zeit sehr viele sshd-Zombies ansammeln.
Soviele, dass ich gezwungen war, den Eintrag "MaxStartups" von 10 auf 30
hochzusetzen, da sich sonst schon innerhalb weniger Tage niemand mehr
anmelden kann. Selbst jetzt ist es noch im 2-Wochen Rhythmus notwendig,
den sshd neuzustarten. Bevor ich in die Details gehe, muss ich anmerken,
dass auf unseren Servern der sshd aus den "openssh-portable"-Port
verwendet wird, da wir unter anderem GSSAPI-Authentifikation anbieten.
Der openssh-Port bietet diese Möglichkeit interessanterweise nicht. Da
wir gerade in einer Migrationsphase stecken, d.h. noch nicht alle
Benutzer in einen Kerberospasswortsystem erfasst sind, wird für die
Authentifikation PAM verwendet (ChallengeResponse Yes, UsePAM yes).
(Alle relevanten Konfigs sind angehängt). Das ganze läuft auf einen
FreeBSD-5.2.1.
Inzwischen konnte ich die Ursache grob festmachen, diese scheint in der
"privilegeSeperation" zu liegen. Wenn ein Benutzer die Authentifikation
abbricht, z.B. durch CTRL-C, wartet der priviligierte sshd-Prozess nicht
auf das korrekte Ende dess unpriviligierten Prozesses, so dass ein
Zombie zurückbleibt. Dadurch sammeln sich je nach Nutzeraktivität mehr
oder weniger schnell Zombies an, und das ganze lässt sich, da die
Zombies zu der "Maxstartups"-Bedingung hinzugezählt werden, auch als
DoS-Attacke mißbrauchen.
Was ich wissen möchte:
1.) Konnten andere dieses Verhalten bislang
feststellen, oder ist dies eine Besonderheit unserer Konfiguration?
2.) Was für Daten sollte ich alles sammeln, um dafür einen brauchbaren
Bugreport zu erstellen.
-- Wurstsonderpostenladen -----------------> JabberID grafzahl(at)jabber.fsinf.de <------------------ Schl.-Fingerabdruck = 088C B735 8FE9 CFF2 2FEA BF8C 11A2 211A 5BBE 8E05
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message