mcbarlo

Witam

Pewnie kazdy z Was doswiadczyl jakichs dziwnych dzialan uzytkownikow lub botow za pomoca PHP. Zastanawiam sie na co Wy pozwalacie PHP na swoich serwerach?

Jakie funkcje wylaczacie?

Czy stosujecie suhosin i/lub open_basedir?

Czasami ciezko jest pogodzic bezpieczenstwo z wymaganiami uzytkownikow. Tylko czy istnieje jakis zloty srodek?

Chcialbym zabootowac z tego cos na ksztalt Linuxa Live. On automatycznie wrzuci gotowy system na dysk i resetnie serwer. Wtedy normalnie sie zaloguje na nowo postawoinym system.

Chociaz tak naprawde PXE do tego celu wystarczy, bo kazda dzisiejsza karta sieciowa to ma. Bedzie troche wiecej zabawy, ale i elastycznosc lepsza. Takze chyba sprawa rozwiazana. Dzieki.

Chcialbym sie Was zapytac czy istnieje jakies tanie rozwiazanie virtual media? Najlepiej jakby to bylo osobne urzadzenie bez KVM-a itp.

Moze sa jakies karty wsadzane do wewnatrz? Nie chodzi mi tu o dedykowane karty zdalnego zarzadzania tylko o cos uniwersalnego dzialajacego w kazdym sprzecie, ktory posiada PCI(-E)/USB.

Ewentualnie macie moze jakies inne spoosby na zdalne uruchomienie systemu niekoniecznie tego, ktory jest na dysku serwera? Moze zwykle bootowanie z sieciowki da rade?

Ale tu sam sobie zaprzeczasz chyba. Bo ty masz klapki na oczach i nic poza swoim megaukochanym i megaulubionym Cacti nie widzisz i nie chcesz przyjąć do wiadomości, że na rynku są dostępne także inne rozwiązania.

 

Cacti, to jak z resztą opis wskazuje, to jest głównie do rysowania wykresów przy pomocy rrdtoola.

A jeśli komuś nie są wykresy potrzebne, a prosty zrzut chwilowych wartości, to po co ma niby sobie utrudniać życie, i te skalary z wykresów odczytywać?

 

Poza tym - autorowi chodzi o monitorowanie dostępności urządzeń.

A w Cacti (domyślnej instalce) zaobserwować to się da... gapiąc się na wykresy (bo do tego ono jest natywnie stworzone) i patrząc, czy RTT/icmp drop rate nie są jakieś anormalne.

Znam tez inne rozwiazania i z nich korzystalem m.in. z Lstata i Nagiosa. Lstat jednak juz smierdzi padlina, a Nagios to faktycznie kombajn.

Do Cacti jest plugin Monitor do raportowania dostepnosci hostow. Poza tym ktos proponowal SmokePinga, ktory jest zintegrowany z Cacti do malowania ladnych wykresow odpowiedzi.

Ja tam nikogo nie namawiam. Podaje tylko konkretne argumenty za rozwiazaniem, ktore sam sprawdzilem i uzywam z powodzeniem. Nie musisz sie unosic - Ty masz swoje racje, ja mam swoje, a glowny zainteresowany wybierze co uzna za najlepsze.

To powtarzaj... zaczynasz mi przypominać pewnego użytkownika, który to kiedyś do firmy z kilkoma komputerami, to chciał ciskacze i ActiveDirectory wdrażać...

 

Cacti, to może owszem, jest dobre. Ale jeśli się chce coś poważnie monitorować.

 

Dla odczytania głupiego loadu i uptime, to spokojnie wystarczy napisać prosty skrypcik wykonujący kilka SNMP-Getów i ewentualnie cacheujący to przez jakąś minutę, co by nie zabić serwera wciśnięciem F5. Jakieś 50 linijek kodu, plus instalacja snmpd na monitorowanych serwerach.

Cacti to nie jest w standardzie duzy kombajn. Polecam bo jest bardzo elastyczne i jego skonfigurowanie zajmie na pewno mniej czasu niz napisanie wlasnego skryptu. Nie umiejszajac oczywiscie Waszym zdolnoscia koderskim, ale jakosc stworzonego przez siebie samego kodu raczej nie dorowna tego co tworzyli developerzy Cacti przez lata.

Sam jestem programista. Na koncie mam wiele sporych projektow, ale na system monitoringu bym sie nie porwal, bo zdaje sobie sprawe ile to jest roboty. Takze jak juz mowilem - po co wynajdywac kolo od nowa?

Ja mam Cacti monitorujace kilkanascie serwerow i innych klamotow na naprawde slabym serwerze, a i tak sie nudzi. Dlatego argument, ze Cacti jest ciezkie dla serwera raczej nie ma pokrycia w rzeczywistosci.

Konczac ten przydlugi post dodam, ze ja nikomu nie zabraniam pisac wlasnego oprogramowania, ale trzeba miec swiadomosc dostepnych na rynku rozwiazan.

Nie polecam Ci tego skryptu, odświeżając szybko stronę load może nieźle podskoczyć bo php wysyła cały czas te komendy. Lepiej napisać skrypt w bashu który zapisuje uptime serwera do pliku txt potem w cronie ustawic uruchamianie tego skryptu co kilka minut i przez php zaladowac plik txt na strone

Pomijam juz bezpieczenstwo uzywania komendy system() i jej pochodnych w php. Po co pisac od nowa cos co juz zostalo napisane tyle razy? Ja bede zawsze powtarzal, ze Cacti roxx!

Ja uzywam Cacti. Mozliwosci prawnie nieograniczone, zarzadzanie proste i bardzo elastyczne. Tylko trzeba ze 2-3 mu poswiecic zeby ogarnac dobrze.

U mnie monitoruje 12 serwerow, router i switcha, a serwer do monitoringu to slabiutka maszyna mimo to radzi sobie swietnie.

Mnie sie wydaja bardzo typowe te szyny po obroceniu uchwytow, ale w zyciu niewiele szaf widzialem takze sie nie bede upieral. Zreszta moze moje szyny sa jeszcze inne. Moglem fotki zrobic, ale teraz to juz nie bede serwera wyjmowac.

O ile pamiętam, standardowa instalacja Debiana właśnie nie widzi tego kontrolera z HP, stąd wszystkie dyski są widoczne osobno.

Ja podpialem ten dysk w ogole do SATA z plyty glownej poza kontrolerem RAID i dane byly normalnie widoczne. W sumie to fajnie IBM to wykombinowal zeby nie zapisywac danych w jakims ichnim formacie. Nie wiem jak inne kontrolery, bo nie probowalem takiej sztuki, ale wydaje mi sie, ze tak rozowo juz nie bedzie.

Operacja zakonczona pomyslnie. Co ciekawe dysk z RAID-a z IBM-a jest normalnie widoczny w komputerze w ogole bez RAID-a, ale niestety kazdy dysk z osobna. Ale to tak na marginesie.

Jesli chodzi o te szyny HP to powinny pasowac tez do innych szaf (sruby moga nie pasic, ale to najmniejszy problem). W mocowaniach na koncach szyn mozna odkrecic taka mala srubeczke (od zewnetrznej strony) i naciskajac zapadke mozna obrocic mocowanie o 180 stopni. Wtedy masz normalne nagwintowane dziury, a nie te fikusne haczyki. Byc moze masz inne szyny, ale zerknij na nie, bo ja to odkrylem nieco przypadkiem jak sie nudzilem podczas kopiowania danych.

Zrobie tak jak mowisz - postawie dwa serwery rownolegle i zrzuce dane recznie. Nie ma co ryzykowac.

Serwer juz mam i faktycznie szyny troche dziwne sa, ale ja akurat mam szafe HP, wiec nie powinno byc tutaj problemu.

Mam zamiar zamienic IBM-a x3250 na HP DL160. No i wlasnie dotarla do mnie jedna przykra sprawa. Oba serwery maja sprzetowy RAID, ale wiadomo, ze kazdy jest inny.

Czy jesli przeloze poprostu dyski z IBM-a do HP to czy to ze soba zagra? Albo inaczej - czy sprzetowy RAID jest w jakikolwiek sposob ustandaryzowany? Nie chcialbym przelozyc dyskow i nagle z przerazeniem stwierdzic, ze wcielo dane.

W HP jest kontroler Smart Array B110i. W IBM-ie jakis ServerRAID, ale niestety nie pamietam modelu.

W sumie na większości dedyków w tej chwili wrzucają realteki i zwykle dają radę nawet na b. obciążonych systemach (chociaż fakt że intel to nie jest ;-).

Ogólnie jeśli chodzi o jakość sprzętu w hostingowniach to czasem można się naciąć na głupie problemy które kończą się wykłócaniem z supportem ;].

Pozdrawiam

Serio z tymi realtekami? Ja nie mam ani jednego serwera z taka sieciowka. W wiekszosci mam Intele i kilka Broadcomow.

No chyba, ze to takie psudo serwery no to wtedy rozumiem. Patrzac na to co podal lspci to tak wlasnie w naszym przypadku jest.

No to nie pozostaje Ci nic innego jak zglosic usterke sprzetowa. Na dowod wyslij zwrzut z vmstat, bo on najlepiej obrazuje problem.

Swoja droga to ciekawe, ze jakiejs porzadnej sieciowki nie wlozyli...

Zmiana systemu nic nie pomogła. Na początku miałem CentOS. Teraz mam Debiana.

 

Zamieszczam screen z iotop zrobiony podczas wysokiego loadu. Ogólnie odczyt i zapis był zerowy czasem skoki.

 

http://iv.pl/images/...54982323828.png

To moim zdaniem wyklucza z grona podejrzanych dysk.

Jak sie zamuli to zerknij w iptrafa czy np. nie ma masy malych pakietow albo arpow. Ogolnie obstawiam karte sieciowa. Z tego co widze to serwer zlozony ze zwyklego kompa ze zintegrowana sieciowka. Proponowalbym ja wylaczyc i wtyknac jakiegos Intela PRO/1000 (najtanszy model niecaly 100zl kosztuje). Albo do testow ogolnie jakakolwiek inna karte sieciowa.

Ale w zrzucie htop nie uwzględniłeś procesów kernela (włącza się je dużym "K" (shift +K) :-))

Moim zdaniem to nie kernel - wtedy w vmstat obciazenie pojawiloby sie w kolumnie sy, a nie wa.

Niestety nie mam dostępu do serwera.

 

Nie wiem czy log z dmesg nie mówi o sprzęcie, może ktoś kto się zna coś wyczyta:

http://wklej.to/XANEx

Wrzuc jeszcze to co pokazuje lspci i lsusb

Moim zdaniem to problem z I/O, ale byc moze nie z dyskiem. U mnie mam bi/bo po 6000 czasami i nie ma stresu, ale teraz vmstat pokazal cos co moze nam pomoc. Mianowicie bardzo duzo CPU zajmuje "wa".

Cytat z mana vmstat: wa: Time spent waiting for IO. Prior to Linux 2.5.41, included in idle.

Pytanie tylko na co czeka? Bo moze byc to rownie dobrze sieciowka, klawiatura, dysk USB - krotko mowiac cokolwiek I/O.

Wlacz moze w htop szczegolowy wykres CPU (w ustawieniach sie to wlacza) i zobacz czy np. IRQ nie jezdzic po procku. Jesli masz fizyczny dostep do serwer to poprsotu porozpinaj wtyczki i je poprostu przeczysc. Mialem jaja z karta sieciowa w brudnym slocie.

Odpal "vmstat 1" i podrzuc output z jakiejs minuty, bo po jednym odczycie ciezko cokolwiek powiedziec.

Ja znam 2 przypadki z autopsji gdzie sie takie cos dzialo.

1. Przyczna byla zwalona karta sieciowa i procesy odpowiedzialne za IRQ zamulaly kompa. Dodam, ze top ani ps nic nie pokazywal. Ta karta to byl Intel Pro/1000 GT pod PCI-E tymbardziej sprawa dziwna.

2. Uzywalem layer7 do filtrowania niektorego ruchu i jakis rodzaj pakietow zabijal serwer. Objawy mialem bardzie zblizony do Twoich w tym wypadku.

Takze na poczatek wylacz firewall albo zminimalizuj reguly do niezbednego minimum.

Ponadto mozesz zobaczyc co powie vmstat - moze jest np. mega duzo context switchy albo operacji I/O.

www.firma.pl + www.firma.com.pl

Używanie Pleska w tym sztandarowym przypadku bardzo mocno denerwuje administratora. Bo nie dość, że musi mieć dwie kopie strony, to jeszcze... zdefiniowane w MUA każdego użytkownika dwie skrzynki pocztowe

W takim wypadku uzywasz opcji Alias domeny i dodajesz do glownej .pl domene com.pl lub odwrotnie.

Aliasy dla poczty robia sie automatycznie np. ustawiasz biuro@firma.pl i jak dodasz alias domeny firma.com.pl to bez tykania czegokolwiek dziala juz alias pocztowy biuro@firma.com.pl. Czyz to nie fantastycznie proste? Co wiecej to wszystko za pomoca 3 klikniec zrobi sam klient.

Być może. Jednak próba zrobienia czegoś wbrew jego filozofii (chociażby wiele domen pod jednym katalogiem) to taka lekko trudnawa jest

W Plesku kazda domena to jest osobne konto, ktore moze miec rowniez osobnego administratora/wlasciciela w obrebie konta klienta. To jest chyba ta cecha Pleska, ktorej osoby "wychowane" na cPanelu nie potrafia zaakceptowac. Moim zdaniem to jest bardzo dobre rozwiazanie, bo jest porzadek.

Czy jest jakies logiczne wytlumaczenie tego, ze domeny podpinane pod katalog w innej domenie maja sens? Oczywiscie przyzwyczajenie nie jest dla mnie logicznym argumentem.

Ja u siebie stosuje Pleska mniej-wiecej od wersji 8.0. Aktualnie jest 9.5.4 i nie moge zlego slowa powiedziec.

Oczywiscie cPanelowcy marudza, bo filozofia Pleska jest zupelnie inna, ale nie mozna tego nazwac wada. Jak z nim nie walczysz to korzystanie jest naprawde wygodne. cPanel zawsze wydawal mi sie taki "suchy" - dla geekow, a nie dla normalnego czlowieka. Na dzien dobry dwie tony ikonek, ktore przytlaczaja. Ja ostatnio ogladalem bodajze cPanel v.10. Moze teraz interface jest bardziej ludzki.

Zaryzykuje stwierdzenie, ze osoba, ktora nigdy nie miala doczynienia z hostingiem predzej zalapie Pleska.

Dzieki za zdradzenie paru szczegolow odnosnie Waszych klientow. Chcialbym tylko jeszcze doprecyzowac jedno.

Czy mowiac "firmy" macie na mysli rowniez firmy, ktore tworza strony www? Nurtuje mnie bardzo skad sie wzielo to 80% we wspomnianym przezemnie artykule...

Tak z czystej ciekawosci chcialbym sie dowiedziec jakich macie klientow w swoich firmach? W jednym artkow, ktore na forum sie ukazaly byl taki podzial:

- 80% webmaterzy

- 10% firmy (rozumiem, ze nie zajmujace sie www)

- 10% poczatkujacy

Nie wiem jak u Was, ale u mnie ten podzial w ogole nie odzwierciedla stanu faktycznego. Raczej to wyglada tak:

- 30% webmasterzy

- 50% firmy

- 10% fora i inne spolecznosci

- 10% strony prywatne (poczatkujacy?)

Jesli to oczywiscie nie tajmenica to napiszcie jak to wyglada u Was.

BTW Moze jakas ankieta na ten temat?