Что означает точно, когда процессы “Время” остановился в вершине?

Порядок строк в sshd_config не важно, за исключением одной вещи: каждая строка, которая начинается со слова Match запускает новый раздел, и расположение этих разделов важно.

Строки, которые начинаются # комментируются: они проигнорированы. Можно видеть их в конфигурационном файле по умолчанию как примеры вещей, которые Вы могли записать, хотели ли Вы. Вы не должны комментировать строку для изменения настроек, можно записать дополнительные строки, как Вы желаете.

Например, #Port 22 есть ли, потому что порт по умолчанию равняется 22. Если Вы удаляете # символ, Вы явно установите порт на 22, который ничего на самом деле не изменяет. Если Вы удаляете # и измените число, это заставит сервер SSH слушать на другом порте. Можно также оставить закомментированную строку в покое (если она присутствует вообще), и записать Port 1234 на отдельной строке.

Слушание на другом порте не очень полезно: взломщики знают, как найти серверы, слушающие на любом порте, риск только незначительно снижен. Единственное преимущество для изменения порта - то, что Вы получите меньше автоматизированных попыток (ищущий слабые пароли) в Ваших журналах. Это не стоит того: изменение порта сделает Ваш сервер недостижимым позади некоторых брандмауэров, которые только позволяют зашифрованный трафик на определенных портах.

Наличие Protocol 2 хорошая идея, если Вы не знаете, что хотите смочь использовать чрезвычайно старые клиенты.

ListenAddress только полезно для определенных конфигураций, где Вы хотите, чтобы сервер SSH послушал только на одной сетевой плате. Вам не нужен он.

PermitRootLogin no обычно хорошая идея, но это не абсолютная легкая задача, которой некоторые люди разбирают его, чтобы быть. Это только предоставляет прямое преимущество безопасности, если Ваш пароль root слаб или пропущен (не хорошая идея) или если Вы позволяете корню входить в систему со слабым или пропустили ключ (так же). Если корень не может войти в систему непосредственно, это означает, что пользователи должны сначала войти в систему со своей собственной учетной записью. Это хорошо для отслеживаемости, для знания то, что произошло после факта, когда законные пользователи вошли в систему. В большинстве установок злонамеренные пользователи могут изменить журналы после факта, таким образом, дополнительный шаг, который они сделали, не будет видим.

Другая общая стабилизирующая установка должна потребовать, чтобы пользователи использовали пары ключей вместо паролей для аутентификации, т.е. отключили аутентификацию по паролю:

PasswordAuthentication no

Необходимо только уехать, аутентификация по паролю позволила если:

  • все Ваши пользователи могут быть доверены для выбора сильных паролей; и
  • всем Вашим пользователям нельзя доверять, чтобы никогда войти в систему от доверяемых машин (где они уверены, что нет никакого клавиатурного перехватчика и т.п.).
11
26.03.2014, 14:35
2 ответа
[1171441] Если вы запустите фальшивую работу, такую как [1171904] спят 120[1171905], а затем посмотрите его в [1171906] htop[1171907], вы заметите, что его состояние составляет [1171908]S[1171909], так же известное как "SLEEP", и процессы [1171910]TIME[1171911] остаются в 0:00. 00 на время.[12189]Это связано с тем, что этот процесс потребляет 0 процессорного времени, что является целью колонки [1171912]TIME[1171913]. Он отслеживает количество процессорного времени, использованного данным процессом. [12190] [12191] Это количество может иногда приводить в замешательство, если процесс может работать на нескольких ядрах процессора, так как, казалось бы, он может потреблять больше времени, чем доступно. Все, что там происходит, это то, что если у вас есть X ядер, то ваше время может отображаться как X * TIME.[1171448].
10
27.01.2020, 19:58
[115972] Причина, по которой Вы можете получить подобную диспропорцию, заключается в том, что столбец TIME+ не учитывает процессорное время, используемое мертвыми порожденными детьми перечисленного процесса ... Поэтому я представляю, что отображенные Вами строки указывают на приложение, которое (возможно, быстро) порождает детей, которые умирают почти сразу же . .

Таким образом, использование процессора происходит из-за порожденных детей, которые не учитываются в столбце TIME+.[116354] Вы можете изменить верхнюю часть, чтобы сделать кумулятивное время с помощью переключателя 'S'.

Но я думаю, что Вы смотрите на неправильные индикаторы для того, что Вы ищете для исследования.

  • strace -p [116356] - ваш друг, который позволит вам заглянуть в запущенный процесс и что именно он делает.

Strace принимает бесчисленное множество опций. Некоторые примечательные опции включают -f, -ff, -i, v, и т.д. ... Strace - самый полезный инструмент, поэтому лучше всего делать [116357]man strace [116358] и самостоятельно искать те опции, которые он предоставляет для решения проблем, подобных этой [115981].

4
27.01.2020, 19:58

Теги

Похожие вопросы