Перейти до

падает bind


Рекомендованные сообщения

debian 2.6.26-2-686

BIND 9.7.2-P3
 

рандомно, один раз в 3-4 месяца на сервере падает bind, тоесть интернет у хомячков работает, но сайты не резолвятся

 

как лечить, какие логи смотреть?

 

Ссылка на сообщение
Поделиться на других сайтах

по кронтабу сделать проверку раз в минуту на то запущен ли бинд или нет религия не позволяет?

 хотелось бы узнать причину, про костыль в курсе

Ссылка на сообщение
Поделиться на других сайтах

по ходу в бинде есть где-то неосвобождение памяти. по крайней мере наблюдаю такое на фрибсд. для себя решил скриптом проверки и еженедельным ребутом глубокой ночью.

Ссылка на сообщение
Поделиться на других сайтах

Для начала обновите бинд, там с 2010 (9.7.2-P3) уже целая куча багов и уязвимостей найдена. А потом может и не надо будет ничего больше делать.

 

http://www.isc.org/software/bind/security/matrix

40    2011-0414    Server lockup upon IXFR or DDNS update combined with high query rate
41    2011-1907    RRSIG queries can trigger server crash when using Response Policy Zones
42    2011-1910    Large RRSIG RRsets and negative caching can crash named
43    2011-2464    remote packet denial of service against authoritative and recursive servers
44    2011-2465    Remote crash with certain RPZ configurations
45    2011-4313    BIND 9 Resolver crashes after logging an error in query.c
46    2012-1667    Handling of zero length rdata can cause named to terminate unexpectedly
47    2012-3817    Heavy DNSSEC validation load can cause a "bad cache" assertion failure
48    2012-3868    High TCP query load can trigger a memory leak
49    2012-4244    A specially crafted Resource Record could cause named to terminate
50    2012-5166    Specially crafted DNS data can cause a lockup in named
51    2012-5688    BIND 9 servers using DNS64 can be crashed by a crafted query
52    2012-5689    BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
53    2013-2266    A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
Ссылка на сообщение
Поделиться на других сайтах

дебиан 2.6.32-5-686... непомню когда было что то подобное с bind.

 

можно включить логгинг (дирректива logging) в named.conf.options и использовать диррективу  memstatistics-file там же.

может там что то проскочит. 

Ссылка на сообщение
Поделиться на других сайтах

по ходу в бинде есть где-то неосвобождение памяти. по крайней мере наблюдаю такое на фрибсд. для себя решил скриптом проверки и еженедельным ребутом глубокой ночью.

На фре крутится бинд не на одном хосте, проблем таких не замечено
Ссылка на сообщение
Поделиться на других сайтах

 

 

На фре крутится бинд не на одном хосте, проблем таких не замечено

 

48    2012-3868    High TCP query load can trigger a memory leak

 

 

ну так не все глюки есть на всех версиях бинда
Ссылка на сообщение
Поделиться на других сайтах

 

ну так не все глюки есть на всех версиях бинда

ну да :)

 

Всегда первым делом обновляйтесь до свежей и смотрите, повторится ли проблема. Чтобы лишний раз не искать уже исправленную проблему.

Ссылка на сообщение
Поделиться на других сайтах

 

 

ну так не все глюки есть на всех версиях бинда

ну да :)

 

Всегда первым делом обновляйтесь до свежей и смотрите, повторится ли проблема. Чтобы лишний раз не искать уже исправленную проблему.

 

aptitude install bind9
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Чтение информации о расширенных состояниях
Инициализация состояний пакетов... Готово
Чтение описаний задач... Готово
Следующие пакеты НЕРАБОТОСПОСОБНЫ:
  bind9-host cups cups-driver-gutenprint cupsddk cupsddk-drivers dnsutils evolution-data-server libapt-pkg-perl libauthen-pam-perl libc-dev-bin libc6-dev libc6-i686 libcairo-perl libcamel1.2-11 libcups2 libcurl3 libcurl3-gnutls
  libdbd-mysql-perl libdbi-perl libdigest-sha1-perl libdns45 libdns58 libexchange-storage1.2-3 libglib-perl libgnome2-canvas-perl libgnome2-perl libgnome2-vfs-perl libgnomecups1.0-1 libgnomeprint2.2-0 libgnomevfs2-extra libgs8
  libgtk2-perl libgtk2.0-0 libhtml-parser-perl libio-pty-perl liblocale-gettext-perl libneon27 libnet-dbus-perl libnet-ssleay-perl libperl-dev libperl5.10 libpq5 libpurple0 librrds-perl libsocket6-perl libterm-readkey-perl
  libtext-charwidth-perl libtext-iconv-perl libxml-parser-perl mutt nfs-common openssh-client openssh-server perl-base pidgin xz-utils
Следующие НОВЫЕ пакеты будут установлены:
  fakeroot{a} krb5-locales{a} libalgorithm-diff-perl{a} libalgorithm-diff-xs-perl{a} libalgorithm-merge-perl{a} libbind9-80{a} libclass-isa-perl{a} libdb5.1{a} libdns88{a} libdpkg-perl{a} libfile-fcntllock-perl{a} libisc84{a}
  libisccc80{a} libisccfg82{a} liblwres80{a} liblzma5{a} libssl1.0.0{a} libswitch-perl{a} libtalloc2{a} libtdb1{a}
Следующие пакеты будут УДАЛЕНЫ:
  libbind9-60{u} libdb4.7{u} libdb4.8{u} libdns69{u} libisc62{u} libisccc60{u} libisccfg62{u} libkrb53{a} liblwres60{u} libtalloc1{u}
Следующие пакеты будут обновлены:
  bind9 bind9utils dpkg dpkg-dev libc6 libgeoip1 libgssapi-krb5-2 libgssglue1 libk5crypto3 libkrb5-3 libkrb5support0 libsmbclient libwbclient0 locales mrtg perl perl-modules
18 пакетов обновлено, 21 установлено новых, 10 пакетов отмечено для удаления, и 854 пакетов не обновлено.
Необходимо получить 31,8MB архивов. После распаковки 7709kB будет занято.
Следующие пакеты имеют неудовлетворённые зависимости:
  libpurple0: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libglib-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libperl-dev: Зависит: perl (= 5.10.1-16) но устанавливается 5.14.2-21.
  libneon27: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  bind9-host: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libnet-ssleay-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  liblocale-gettext-perl: ПредЗависит: perlapi-5.10.0 который является виртуальным пакетом.
  dnsutils: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  cupsddk: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libexchange-storage1.2-3: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  mutt: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libdbi-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libdbd-mysql-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libc-dev-bin: Зависит: libc6 (< 2.14) но устанавливается 2.17-3.
  libsocket6-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libhtml-parser-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libdns45: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libdns58: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libcamel1.2-11: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnome2-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  perl-base: Конфликтует: update-inetd (< 4.41) но установлен 4.31 и удерживается.
  libterm-readkey-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libapt-pkg-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libtext-charwidth-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libcurl3-gnutls: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  cups-driver-gutenprint: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libxml-parser-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  openssh-client: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libc6-i686: ПредЗависит: libc6 (= 2.13-26) но устанавливается 2.17-3.
  libnet-dbus-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libauthen-pam-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libcups2: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libcurl3: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnome2-vfs-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libgtk2-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  cups: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libtext-iconv-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  evolution-data-server: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnomevfs2-extra: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgs8: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  cupsddk-drivers: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libperl5.10: Зависит: perl-base (= 5.10.1-16) но устанавливается 5.14.2-21.
  xz-utils: Конфликтует: lzma (< 9.22-1) но установлен 4.43-14 и удерживается.
  libio-pty-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libc6-dev: Зависит: libc6 (= 2.13-26) но устанавливается 2.17-3.
  librrds-perl: Зависит: perlapi-5.10.1 который является виртуальным пакетом.
  pidgin: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libpq5: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libcairo-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libgnomeprint2.2-0: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  openssh-server: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  nfs-common: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgtk2.0-0: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnome2-canvas-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libdigest-sha1-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libgnomecups1.0-1: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
открыто: 16766; закрыто: 4982; отброшено: 2; конфликтует:62                      '                                                                                                                        .
За отведённое время решения не было найдено. Попытаться тщательнее? [Y/n]y

Ссылка на сообщение
Поделиться на других сайтах

Вариантов несколько:

1) не используйте debian вообще

2) не используйте aptitude

3) соберите bind руками

 

1) Не вариант в этом случае.

2)

 apt-get install bind9
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Некоторые пакеты невозможно установить. Возможно, вы просите невозможного,
или же используете нестабильную версию дистрибутива, где запрошенные вами
пакеты ещё не созданы или были удалены из Incoming.
Следующая информация, возможно, поможет вам:

Пакеты, имеющие неудовлетворённые зависимости:
  bind9: Зависит: libbind9-80 (= 1:9.8.4.dfsg.P1-6+nmu2) но он не будет установлен
         Зависит: libdns88 (= 1:9.8.4.dfsg.P1-6+nmu2) но он не будет установлен
         Зависит: libisccfg82 (= 1:9.8.4.dfsg.P1-6+nmu2) но он не будет установлен
         Зависит: bind9utils (= 1:9.8.4.dfsg.P1-6+nmu2) но 1:9.7.2.dfsg.P3-1 будет установлен
  udev: Ломает: libsane (< 1.0.21-3) но 1.0.19-23 будет установлен
E: Сломанные пакеты

Ссылка на сообщение
Поделиться на других сайтах

 

 

На фре крутится бинд не на одном хосте, проблем таких не замечено

 

48    2012-3868    High TCP query load can trigger a memory leak

 

ну так не все глюки есть на всех версиях бинда

наблюдал мемори лик на последовательных трех или четырех версиях бинда под фрей. для кеша перешли на powerdns recursor, для доменов на nsd

Ссылка на сообщение
Поделиться на других сайтах

Вариантов несколько:

1) не используйте debian вообще

2) не используйте aptitude

3) соберите bind руками

 

Cофт везде ставится из репозитория, ничего собранного руками на продакшене нет и быть не может. Любители меряться аптаймом, красноглазые все-время-компилирую-гентушники и любители засрать руками /usr/local идут стройными рядами на ЛОР.

 

Эти простые правила экономят массу времени и здоровья всем причастным.

Ссылка на сообщение
Поделиться на других сайтах

Это вовсе даже не правила, скорее рекомендации. В хостинге они применимы, у провайдера на серверах доступа или сервисных машинах - нет. Тот же пингвиний rpppoe у всех стоит собранный вручную, ибо из репы он работает в userspace only :) И само ядро центосовское 2.6.18 на роутерах могут использовать только люди с оочень крепкой психикой.

Ссылка на сообщение
Поделиться на других сайтах

Это вовсе даже не правила, скорее рекомендации. В хостинге они применимы, у провайдера на серверах доступа или сервисных машинах - нет. Тот же пингвиний rpppoe у всех стоит собранный вручную, ибо из репы он работает в userspace only :) И само ядро центосовское 2.6.18 на роутерах могут использовать только люди с оочень крепкой психикой.

странные рекомендации. я б рекомендациями сделал создание своего минирепозитория под используемые собранные пакеты. но никак не сборку всего вручную.

Ссылка на сообщение
Поделиться на других сайтах

 

Cофт везде ставится из репозитория, ничего собранного руками на продакшене нет и быть не может.

Да как он может везде ставиться из репозитория, если половину нужно под свои задачи собирать особенным образом?

А если нужно два бинарника одной софтины по разному собрать с разными зависимостями? А если еще и менять что-то постоянно, что тогда?

 

Я бы сказал почти никогда не ставится из репозитория. Хоть что-то, да понадобится не такое, как предлагают и тогда все остальное поставленное из репозитория только помехой будет. А может и не будет, как повезет :)

Кому-то вообще контейнеры нужны, типа docker.io, чтобы и в свинарник не превращать и все на каждой машине запустить.

 

рекомендации. В хостинге они применимы, у провайдера на серверах

 

В хостинге они вообще не применимы, там же и конфиги генерятся и патчи на все, что можно. Это разве что в хостинге для домашней странички.

Ссылка на сообщение
Поделиться на других сайтах

Да как он может везде ставиться из репозитория, если половину нужно под свои задачи собирать особенным образом?

Ни разу не приходилось все подряд собирать "особенным образом". А нравится - ставьте генту, и компиляйте.

А если нужно два бинарника одной софтины по разному собрать с разными зависимостями? А если еще и менять что-то постоянно, что тогда?

Ни разу не сталкивался с таким однако.

Опять же - пакеты собрать не проблемы. Разные. 

Я бы сказал почти никогда не ставится из репозитория. Хоть что-то, да понадобится не такое, как предлагают и тогда все остальное поставленное из репозитория только помехой будет. А может и не будет, как повезет :)

У меня на серверах все из репозитория. Когда брасы на полновесных дистрах крутились - да, приходилось иногда что-то очень специфичное собирать (типа accel-pptp), но это исключение.
Ссылка на сообщение
Поделиться на других сайтах

 

 

Да как он может везде ставиться из репозитория, если половину нужно под свои задачи собирать особенным образом?

Ни разу не приходилось все подряд собирать "особенным образом". А нравится - ставьте генту, и компиляйте.

...

 

 

Gentoo слабо поможет в сборке чего-то "особым образом".
Ссылка на сообщение
Поделиться на других сайтах

Самое простое - собери руками в отдельной директории и не трогай тот, что в системе, а просто выключи его.

Ему даже make install не надо. 

 

Собирать как-то так:

./configure --without-openssl && make 

Запускать как-то так, бинарник там появится в bin/named/named:

/path/to/bind-dist/bin/named/named \
        -4 \
        -t /path/to/named2 \
        -c /named.conf \
        -u named2 

/path/to/named2/named.conf:

    controls {
        # disabling rndc
    };

    options {
        directory           "/tmp";
        pid-file            "/tmp/named.pid";
        session-keyfile     "/tmp/session.key";
        dump-file           "/tmp/cache_dump.db";
        statistics-file     "/tmp/named_stats.txt";
        memstatistics-file  "/tmp/named_mem_stats.txt";

        ... 
        
    };
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Barabashka.yury
      Друзья, подскажите как решить задачку
       
      Есть локалка, для случаев пропадания аплинка нужно сделать вывод сообщения на пользователей, нечто типа "Извините идут работы и т д".
      Это сделано просто форвардом.
      НО! для того чтобы человек, который ломится на www.ya.ru, например, попал на этот форвард, ему нужно резолв собственно www.ya.ru, а мой днс это сделать не могет, ибо аплинк лежит...
       
      При помощи микротика проблема решилась мгновенно, там просто создал статику в днс, пустое поле имени и адрес 1.2.3.4 (адрес роли не играет).
       
      Получается так - юзер ломится кудато - микротик ему выдает 1.2.3.4 - юзер ломится через сервер на этот ИП и попадает на форвард с моей страничкой. Все сработало... НО... как это повторить на FreeBSD с кеширующим сервером ДНС?
       
      Надо сотворить конфиг, который на любой запрос будет выдавать один и тот же (да в принципе без разницы какой) IP... Если есть у кого подобный опыт то поделитесь пожалуйста :-)
    • Від AoW
      На компике две сетвухи, одна в мир, другая в сеть. Поднят нат и Rscript от СТГ. сеть ядра 192,168,1,0/24 сеть абонентов 192,168,12,0/22 168,168,16,0/22 192,168,8,0/22. На ДНС припаркованы три домена, в сислогах проскакивает
       
      Nov 2 09:39:14 debian named[1154]: client 192.168.1.6#47637: view inside: RFC 1918 response from Internet for 179.16.168.192.in-addr.arpa
      Nov 2 09:45:35 debian named[1154]: client 192.168.1.6#48780: view inside: RFC 1918 response from Internet for 10.1.168.192.in-addr.arpa
      Nov 2 09:46:10 debian named[1154]: client 192.168.1.6#48634: view inside: RFC 1918 response from Internet for 179.16.168.192.in-addr.arpa
      Nov 2 09:55:54 debian named[1154]: client 192.168.1.4#48822: view inside: RFC 1918 response from Internet for 1.1.168.192.in-addr.arpa
       
      Причем в очень большом количестве.
       
      В чем может быть проблема?
×
×
  • Створити нове...