26 Feb
2015
26 Feb
'15
3:02 p.m.
Souhlasím, že nastavování limitů by mělo být až poslední záchrana.
Nicméně se mi nechce clamav vypínat, neboť chytá přesně takové ty
malware apod. potvory, co zlobí ty naše dědečky a babičky, občas jich
přijde poměrně hodně, pokud jede nějaká vtipná "kampaň".
Koukal jsem na cron.daily, ale na mých debianech je zpravidla nastaven
na stejný čas, tak to možná není řešení. Také jsem zjistil, že není
možné pustit to úplně jednoduše (pokud to nechcete pouštět pod rootem).
Nakonec jsem dospěl k souboru /etc/cron.d/freshclam:
----------------------------------------------------------
#
# ClamAV FreshClam maintenance
#
# m h dom mon dow user command
47 5,15,22 * * * root /usr/bin/ionice -c 3 /etc/init.d/clamav-freshclam
no-daemon > /dev/null 2>&1
----------------------------------------------------------
Toto mi funguje na debianu s ISPConfigem (je nutno ještě vypnout
daemona: update-rc.d clamav-freshclam disable; service clamav-freshclam
stop). (BTW v cronu je root, ale uvnitř se dělá su podle nastavení v conf)
Takže kdo chce použijte, ale HLAVNĚ si nastavte nějaké vlastní náhodné časy.
Štěpán.
Dne 26.2.2015 v 14:56 Pavel Snajdr napsal(a):
On 02/26/2015 02:46 PM, Vaclav Dusek wrote:
Uzitecnost VPS nech posoudi provozovatel. Co ho
na to alespon
upozornit?
Samozrejme, spolu s oznamenim o nasazeni limitu prijde i duvod, pravda
je, ze obcas tim limitovanim srazim i VPS, ktera delala bordel jenom
chvilkove, ale to se da vzdycky vykomunikovat a limit vratim, kdyz k
nemu neni duvod.
Also, v souladu s tim, co pises, "provozovatel" casto neumi posoudit
uzitecnost toho ClamAV. Jinak by ho tam ani vetsina IMHO nemela. Ale
to je vec nazoru, vsak instalujte si kdo co chcete, pokud je to legalni :)
Bud nabizim neomezene sdilene VPS a nebo musim
nastavit pravidla,
lepe limity a priority. User o tom netusi a nevi, jak se chovat.
Tady je trochu problem v tom, ze kdyz nastavim IO limit, je to limit
realizovany pres cgroup io controller, kteryzto omezuje jakekoliv IO
tech procesu, takze i treba output do FIFO. Nebo IO na /dev/null a
/dev/zero.
Cili nastavit vsem limit == olimitovat i podobne nevinne pripady, coz
se mi nelibi.
Je zapotrebi najit nejuzsi misto a tam nasmerovat
sve snahy o
odstraneni problemu:
Proto tu rozebirame ClamAV, ktery se probira zrovna na node2.brq
jednou za hodinu nemalo VPSkam a vybombi to IO na kompletku.
- vykon diskoveho pole
Neni problem, to pole dava stabilne okolo 1.1k IOPS, to je IMHO az az.
- nacasovat jinam zalohovani
Neni kam. Sotva se stihaji v rozumnem case ted, zacinaji v 1 rano a
konci okolo 12te - spravne by melo byt okolo 8me hotovo, nez ty
servery jsou opravdu potreba. Problem je v rsyncu, kdyz to Aither
nekdy dodela, tak pri send-recv bude po problemu se zalohovanim, zbyde
akorat problem s "hlucnymi sousedy".
- priorita migrace
Neni souvisejici problem, jenom rikam, ze to v tuhle chvili byl dalsi
zdroj IO operaci
- limitace
Viz vys.
/snajpa
- ?
Nejsem schopen dat vsem na sdilenem prostredi
vykon dedikovaneho
serveru
Dne 26.2.2015 v 14:39 Pavel Snajdr napsal(a):
> No a ted na node2.brq bezi 3 procesy:
>
> clamscan --recursive --no-summary --infected /
>
> Velmi uzitecny full scan VPS :)
>
> K tomu dobihaji zalohy a bezi jedna migrace VPS.
>
> Chudak node2.brq, trochu to nedava.
>
> /snajpa
>
> On 02/26/2015 11:16 AM, Pavel Snajdr wrote:
>> Ahojte,
>
>> mam par dotazu na vas, co pouzivate ClamAV:
>
>> 1) ta blbost je vubec k necemu dobra? 2) chyti to nekdy neco
>> vubec? 3) da se nastavit vic random interval na freshclam?
>> Tahle blbost se probira najednou vsem, co to maji nainstalovany
>> a spolehlive to zabiji IO. Typicky node2.brq tim ted dost
>> trpi.
>
>> Ja jsem nasazoval uz peknejch par mail serveru, ale ClamAV
>> nikdy, nebo jsem ho po par dnech vyhodil, protoze stejne k
>> nicemu nebyl.
>
>> Mate ho tam nekdo naschval, nebo je to jenom soucast nejaky
>> instalace neceho hotovyho, jako ISPConfigu nebo tak?
>
>> Dik za info.
>
>> /snajpa _______________________________________________
>> Community-list mailing list Community-list(a)lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________ Community-list
> mailing list Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list