падает bind

[bondarchuk]

debian 2.6.26-2-686

BIND 9.7.2-P3
 

рандомно, один раз в 3-4 месяца на сервере падает bind, тоесть интернет у хомячков работает, но сайты не резолвятся

 

как лечить, какие логи смотреть?

 

[Kto To]

по кронтабу сделать проверку раз в минуту на то запущен ли бинд или нет религия не позволяет?

[bondarchuk]

по кронтабу сделать проверку раз в минуту на то запущен ли бинд или нет религия не позволяет?

 хотелось бы узнать причину, про костыль в курсе

[Kto To]

по ходу в бинде есть где-то неосвобождение памяти. по крайней мере наблюдаю такое на фрибсд. для себя решил скриптом проверки и еженедельным ребутом глубокой ночью.

[ttttt]

Для начала обновите бинд, там с 2010 (9.7.2-P3) уже целая куча багов и уязвимостей найдена. А потом может и не надо будет ничего больше делать.

 

http://www.isc.org/software/bind/security/matrix

40    2011-0414    Server lockup upon IXFR or DDNS update combined with high query rate

41    2011-1907    RRSIG queries can trigger server crash when using Response Policy Zones

42    2011-1910    Large RRSIG RRsets and negative caching can crash named

43    2011-2464    remote packet denial of service against authoritative and recursive servers

44    2011-2465    Remote crash with certain RPZ configurations

45    2011-4313    BIND 9 Resolver crashes after logging an error in query.c

46    2012-1667    Handling of zero length rdata can cause named to terminate unexpectedly

47    2012-3817    Heavy DNSSEC validation load can cause a "bad cache" assertion failure

48    2012-3868    High TCP query load can trigger a memory leak

49    2012-4244    A specially crafted Resource Record could cause named to terminate

50    2012-5166    Specially crafted DNS data can cause a lockup in named

51    2012-5688    BIND 9 servers using DNS64 can be crashed by a crafted query

52    2012-5689    BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ

53    2013-2266    A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named

[felixio_01]

дебиан 2.6.32-5-686... непомню когда было что то подобное с bind.

 

можно включить логгинг (дирректива logging) в named.conf.options и использовать диррективу  memstatistics-file там же.

может там что то проскочит. 

[John_Doe]

по ходу в бинде есть где-то неосвобождение памяти. по крайней мере наблюдаю такое на фрибсд. для себя решил скриптом проверки и еженедельным ребутом глубокой ночью.

На фре крутится бинд не на одном хосте, проблем таких не замечено

[ttttt]

 

На фре крутится бинд не на одном хосте, проблем таких не замечено

 

48    2012-3868    High TCP query load can trigger a memory leak

[John_Doe]

 

 

На фре крутится бинд не на одном хосте, проблем таких не замечено

 

48    2012-3868    High TCP query load can trigger a memory leak

 

 

ну так не все глюки есть на всех версиях бинда

[andryas]

Бинд на фре крутится уже более года без перезагрузок, пробем нет. Но скрипт его мониторит на всякий-случай.

[ttttt]

 

ну так не все глюки есть на всех версиях бинда

ну да

 

Всегда первым делом обновляйтесь до свежей и смотрите, повторится ли проблема. Чтобы лишний раз не искать уже исправленную проблему.

[bondarchuk]

 

 

ну так не все глюки есть на всех версиях бинда

ну да

 

Всегда первым делом обновляйтесь до свежей и смотрите, повторится ли проблема. Чтобы лишний раз не искать уже исправленную проблему.

 

aptitude install bind9
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Чтение информации о расширенных состояниях
Инициализация состояний пакетов... Готово
Чтение описаний задач... Готово
Следующие пакеты НЕРАБОТОСПОСОБНЫ:
  bind9-host cups cups-driver-gutenprint cupsddk cupsddk-drivers dnsutils evolution-data-server libapt-pkg-perl libauthen-pam-perl libc-dev-bin libc6-dev libc6-i686 libcairo-perl libcamel1.2-11 libcups2 libcurl3 libcurl3-gnutls
  libdbd-mysql-perl libdbi-perl libdigest-sha1-perl libdns45 libdns58 libexchange-storage1.2-3 libglib-perl libgnome2-canvas-perl libgnome2-perl libgnome2-vfs-perl libgnomecups1.0-1 libgnomeprint2.2-0 libgnomevfs2-extra libgs8
  libgtk2-perl libgtk2.0-0 libhtml-parser-perl libio-pty-perl liblocale-gettext-perl libneon27 libnet-dbus-perl libnet-ssleay-perl libperl-dev libperl5.10 libpq5 libpurple0 librrds-perl libsocket6-perl libterm-readkey-perl
  libtext-charwidth-perl libtext-iconv-perl libxml-parser-perl mutt nfs-common openssh-client openssh-server perl-base pidgin xz-utils
Следующие НОВЫЕ пакеты будут установлены:
  fakeroot{a} krb5-locales{a} libalgorithm-diff-perl{a} libalgorithm-diff-xs-perl{a} libalgorithm-merge-perl{a} libbind9-80{a} libclass-isa-perl{a} libdb5.1{a} libdns88{a} libdpkg-perl{a} libfile-fcntllock-perl{a} libisc84{a}
  libisccc80{a} libisccfg82{a} liblwres80{a} liblzma5{a} libssl1.0.0{a} libswitch-perl{a} libtalloc2{a} libtdb1{a}
Следующие пакеты будут УДАЛЕНЫ:
  libbind9-60{u} libdb4.7{u} libdb4.8{u} libdns69{u} libisc62{u} libisccc60{u} libisccfg62{u} libkrb53{a} liblwres60{u} libtalloc1{u}
Следующие пакеты будут обновлены:
  bind9 bind9utils dpkg dpkg-dev libc6 libgeoip1 libgssapi-krb5-2 libgssglue1 libk5crypto3 libkrb5-3 libkrb5support0 libsmbclient libwbclient0 locales mrtg perl perl-modules
18 пакетов обновлено, 21 установлено новых, 10 пакетов отмечено для удаления, и 854 пакетов не обновлено.
Необходимо получить 31,8MB архивов. После распаковки 7709kB будет занято.
Следующие пакеты имеют неудовлетворённые зависимости:
  libpurple0: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libglib-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libperl-dev: Зависит: perl (= 5.10.1-16) но устанавливается 5.14.2-21.
  libneon27: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  bind9-host: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libnet-ssleay-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  liblocale-gettext-perl: ПредЗависит: perlapi-5.10.0 который является виртуальным пакетом.
  dnsutils: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  cupsddk: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libexchange-storage1.2-3: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  mutt: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libdbi-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libdbd-mysql-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libc-dev-bin: Зависит: libc6 (< 2.14) но устанавливается 2.17-3.
  libsocket6-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libhtml-parser-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libdns45: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libdns58: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libcamel1.2-11: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnome2-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  perl-base: Конфликтует: update-inetd (< 4.41) но установлен 4.31 и удерживается.
  libterm-readkey-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libapt-pkg-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libtext-charwidth-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libcurl3-gnutls: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  cups-driver-gutenprint: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libxml-parser-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  openssh-client: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libc6-i686: ПредЗависит: libc6 (= 2.13-26) но устанавливается 2.17-3.
  libnet-dbus-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libauthen-pam-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libcups2: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libcurl3: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnome2-vfs-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libgtk2-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  cups: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libtext-iconv-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  evolution-data-server: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnomevfs2-extra: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgs8: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  cupsddk-drivers: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libperl5.10: Зависит: perl-base (= 5.10.1-16) но устанавливается 5.14.2-21.
  xz-utils: Конфликтует: lzma (< 9.22-1) но установлен 4.43-14 и удерживается.
  libio-pty-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libc6-dev: Зависит: libc6 (= 2.13-26) но устанавливается 2.17-3.
  librrds-perl: Зависит: perlapi-5.10.1 который является виртуальным пакетом.
  pidgin: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libpq5: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libcairo-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libgnomeprint2.2-0: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  openssh-server: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  nfs-common: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgtk2.0-0: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
  libgnome2-canvas-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libdigest-sha1-perl: Зависит: perlapi-5.10.0 который является виртуальным пакетом.
  libgnomecups1.0-1: Зависит: libkrb53 (>= 1.6.dfsg.2) но его невозможно установить
открыто: 16766; закрыто: 4982; отброшено: 2; конфликтует:62                      '                                                                                                                        .
За отведённое время решения не было найдено. Попытаться тщательнее? [Y/n]y

[KaYot]

Вариантов несколько:

1) не используйте debian вообще

2) не используйте aptitude

3) соберите bind руками

[bondarchuk]

Вариантов несколько:

1) не используйте debian вообще

2) не используйте aptitude

3) соберите bind руками

 

1) Не вариант в этом случае.

2)

 apt-get install bind9
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Некоторые пакеты невозможно установить. Возможно, вы просите невозможного,
или же используете нестабильную версию дистрибутива, где запрошенные вами
пакеты ещё не созданы или были удалены из Incoming.
Следующая информация, возможно, поможет вам:

Пакеты, имеющие неудовлетворённые зависимости:
  bind9: Зависит: libbind9-80 (= 1:9.8.4.dfsg.P1-6+nmu2) но он не будет установлен
         Зависит: libdns88 (= 1:9.8.4.dfsg.P1-6+nmu2) но он не будет установлен
         Зависит: libisccfg82 (= 1:9.8.4.dfsg.P1-6+nmu2) но он не будет установлен
         Зависит: bind9utils (= 1:9.8.4.dfsg.P1-6+nmu2) но 1:9.7.2.dfsg.P3-1 будет установлен
  udev: Ломает: libsane (< 1.0.21-3) но 1.0.19-23 будет установлен
E: Сломанные пакеты

[adeep]

 

 

На фре крутится бинд не на одном хосте, проблем таких не замечено

 

48    2012-3868    High TCP query load can trigger a memory leak

 

ну так не все глюки есть на всех версиях бинда

наблюдал мемори лик на последовательных трех или четырех версиях бинда под фрей. для кеша перешли на powerdns recursor, для доменов на nsd

[Serjio]

Вариантов несколько:

1) не используйте debian вообще

2) не используйте aptitude

3) соберите bind руками

 

Cофт везде ставится из репозитория, ничего собранного руками на продакшене нет и быть не может. Любители меряться аптаймом, красноглазые все-время-компилирую-гентушники и любители засрать руками /usr/local идут стройными рядами на ЛОР.

 

Эти простые правила экономят массу времени и здоровья всем причастным.

[KaYot]

Это вовсе даже не правила, скорее рекомендации. В хостинге они применимы, у провайдера на серверах доступа или сервисных машинах - нет. Тот же пингвиний rpppoe у всех стоит собранный вручную, ибо из репы он работает в userspace only И само ядро центосовское 2.6.18 на роутерах могут использовать только люди с оочень крепкой психикой.

[adeep]

Это вовсе даже не правила, скорее рекомендации. В хостинге они применимы, у провайдера на серверах доступа или сервисных машинах - нет. Тот же пингвиний rpppoe у всех стоит собранный вручную, ибо из репы он работает в userspace only И само ядро центосовское 2.6.18 на роутерах могут использовать только люди с оочень крепкой психикой.

странные рекомендации. я б рекомендациями сделал создание своего минирепозитория под используемые собранные пакеты. но никак не сборку всего вручную.

[ttttt]

 

Cофт везде ставится из репозитория, ничего собранного руками на продакшене нет и быть не может.

Да как он может везде ставиться из репозитория, если половину нужно под свои задачи собирать особенным образом?

А если нужно два бинарника одной софтины по разному собрать с разными зависимостями? А если еще и менять что-то постоянно, что тогда?

 

Я бы сказал почти никогда не ставится из репозитория. Хоть что-то, да понадобится не такое, как предлагают и тогда все остальное поставленное из репозитория только помехой будет. А может и не будет, как повезет

Кому-то вообще контейнеры нужны, типа docker.io, чтобы и в свинарник не превращать и все на каждой машине запустить.

 

рекомендации. В хостинге они применимы, у провайдера на серверах

 

В хостинге они вообще не применимы, там же и конфиги генерятся и патчи на все, что можно. Это разве что в хостинге для домашней странички.

[NiTr0]

Да как он может везде ставиться из репозитория, если половину нужно под свои задачи собирать особенным образом?

Ни разу не приходилось все подряд собирать "особенным образом". А нравится - ставьте генту, и компиляйте.

А если нужно два бинарника одной софтины по разному собрать с разными зависимостями? А если еще и менять что-то постоянно, что тогда?

Ни разу не сталкивался с таким однако.

Опять же - пакеты собрать не проблемы. Разные. 

Я бы сказал почти никогда не ставится из репозитория. Хоть что-то, да понадобится не такое, как предлагают и тогда все остальное поставленное из репозитория только помехой будет. А может и не будет, как повезет

У меня на серверах все из репозитория. Когда брасы на полновесных дистрах крутились - да, приходилось иногда что-то очень специфичное собирать (типа accel-pptp), но это исключение.

[madf]

 

 

Да как он может везде ставиться из репозитория, если половину нужно под свои задачи собирать особенным образом?

Ни разу не приходилось все подряд собирать "особенным образом". А нравится - ставьте генту, и компиляйте.

...

 

 

Gentoo слабо поможет в сборке чего-то "особым образом".

[bondarchuk]

как же мне обновить bind на работающем тазике?

[ttttt]

Самое простое - собери руками в отдельной директории и не трогай тот, что в системе, а просто выключи его.

Ему даже make install не надо. 

 

Собирать как-то так:

./configure --without-openssl && make 

Запускать как-то так, бинарник там появится в bin/named/named:

/path/to/bind-dist/bin/named/named \
        -4 \
        -t /path/to/named2 \
        -c /named.conf \
        -u named2 

/path/to/named2/named.conf:

    controls {
        # disabling rndc
    };

    options {
        directory           "/tmp";
        pid-file            "/tmp/named.pid";
        session-keyfile     "/tmp/session.key";
        dump-file           "/tmp/cache_dump.db";
        statistics-file     "/tmp/named_stats.txt";
        memstatistics-file  "/tmp/named_mem_stats.txt";

        ... 
        
    };

[ttttt]

P.S.

/tmp/... в конфиге относительно -t /path/to/named2 , не путать с абсолютным

[NiTr0]

Gentoo слабо поможет в сборке чего-то "особым образом".

Поможет, почти все ключики вынесены в use-флаги.