ストレスのかかったサーバーでのSSHアクセスの保証

ApacheとSnortがプロセッサの100％を占有しているサーバーで、リモートアクセスを介してsshdが応答しなくなるという問題がありました。ローカルTTYにログオンするためにサーバーに物理的にアクセスし、Apache / Snortを停止する必要がありました。

CPU /メモリが100％ロードされている状況でssh接続を保証する方法があるかどうか疑問に思っています。「いい」優先度を設定すれば十分でしょうか？

ありがとうございました！

linux ssh process-priority

— レナート・トドロフ
ソース

回答:

帯域外の方法を使用する以外に、完全にロードされたサーバーでSSHが利用できることを保証する方法はありません。サービスが非常にロードされているために基本的なSSHターミナルを提供できない場合、他の問題が発生します。

はい、renice下にそれを与えるnice値は重負荷でのパフォーマンスが向上しますが、代わりにpam_security（図示の例のようなもの使用して、ここでは）そもそも管理不能になってからのApache /何を防ぐことができます。

— ネイサンC
ソース

正しい。彼は本当の問題ではなく、症状を治療しようとしています。

— ewwhite

@ewwhiteまさに。そして、症状を治療すると、結果として他のものが壊れる理由を見つけようとして尾を追いかけるだけです。:)

— ネイサンC

火を消す方法を探していますが、もちろん他のデーモンに制限を設定します。これは緊急事態のためです。リモートアクセスに対して常にsshdが応答することを知るために、静けさが必要です。

— レナートトドロフ

@RenatoTodorovこの場合、症状を治療することはできません。システムにすべての{CPU、RAM、Sockets、PIDs}を消費する暴走プロセスがある場合、Sにniceアクセスできることを保証するのに十分な速度でCPUから「d犯人」が起動されることを保証できません（またはあなたが持っている任意のコンソールアクセスが使用可能になります）。根本的な問題（リソース・豚）が対処する必要があります。消火活動はシステム管理が不十分です。

— voretaq7

さて、皆さんは私を納得させました。すでに持っている限りiDRAC 7 Expressを使用します。皆さん、ありがとうございました！

— レナートトドロフ

このための汎用ソリューションは、Dell iDRAC、IBM Remote Supervisor、HP iLOなどの帯域外管理ツールです。常にコンソールを表示し（OSが応答できるかどうかは特定の状況によって異なります）、必要に応じて必要な電源状態を適用できます。

— ムフィニ
ソース

わかりました。Dellサーバーを使用しているので、iDRACは良い選択肢ですが、sshd（生成された子を含む）、ローカルサービス用の「QoS」などのCPUを予約するなど、よりシンプルなソリューションを考えていました。

— レナートトドロフ

一部の企業は壊れているか貪欲です。そのような場合、sysrqdはiDRAC、iLO、KVMの安価な代替品になる可能性があります...

— bgtvfr

私はsshdにリアルタイムの特権を与えることに成功しましたが、リアルタイムプロセスの1つがなくなった場合にマシンを再起動する必要があります。

そのため、このルートをたどる場合は、緊急時専用の2番目のsshデーモンを起動します。:)

— サイモン・リヒター
ソース

realtime特にポート22でsshdを実行するのは危険なようです（SSHスキャンはDoS攻撃になる可能性があります-代替ポートで実行するとそれを緩和できますが、私はまだ怖いでしょう...）

— voretaq7

インターネットからのアクセスをブロックしても問題ありません。実際、このサーバーへの唯一のルートはVPN経由です。ご提案ありがとうございます！

— レナートトドロフ