Geister auf dem Linux-Host - wie dokumentiert man alle gestarteten Prozesse?

17/01/2008 - 21:13 von Hauke Laging | Report spam
Moin,

wir sind hier dazu übergegangen, die Windows-Clients bei Neuinstallationen
nicht direkt auf die Hardware zu packen, sondern VMware (Server) unter
Linux/KDE laufen zu lassen und den Windows-Client dann in eine VM zu
verfrachten. Das hat Kinderkrankheiten, aber grundsàtzlich funktioniert es
schon mal.

Nun erlebe ich es auf einem dieser VM-Hosts, dass der nach einer Weile Amok
làuft und selbstàndig seine Firewallkonfiguration àndert. Die
FW-Konfiguration ist deshalb wichtig, weil die VM in einem eigenen Subnetz
liegt. Ohne freigeschaltetes Forwarding geht in der VM also gar nichts.

Um die Verwaltung der Rechner zu vereinfachen, habe ich ein Script
geschrieben, dass die ganzen Linux-Installationen konfiguriert. Es schreibt
die Konfigurationsdatei für SuSEfirewall2 um und ruft es dann auf.

Die Verànderung besteht darin, dass ein paar Variablenbelegungen hintenran
kopiert werden, etwa diese hier:

FW_FORWARD="192.168.115.16,192.168.__MYSUBNET__.0/24
192.168.115.115,192.168.__MYSUBNET__.0/24 192.168.__MYSUBNET__.0/24,0/0"
FW_ROUTE="yes"
FW_DEV_INT="vmnet1"

__MYSUBNET__ wird dabei erwartungsgemàß durch den Wert für den jeweiligen
Rechner ersetzt.


So viel zur Vorgeschichte, nun zum Problem:
Ohne erkennbaren Auslöser àndert sich die Firewallkonfiguration, allerdings
erst nach mehreren Tagen. Ich habe letztes Mal aus Blödheit nicht die
aktuelle Konfigurationsdatei gesichert, sondern nur SuSEfirewall2 noch mal
aufgerufen, was aber nichts geàndert hat. Mit anderen Worten: Irgendwas
muss die Konfigurationsdatei geàndert haben. Ich habe die dann von meinem
Script wieder anpassen lassen, alles ging wieder.

Da ich mich damit natürlich allmàhlich làcherlich mache, wüsste ich gern,
was da los ist. Auf dem Host passiert nicht viel, nicht mal das
automatische Online-Update (weil VMware sonst die Gràtsche macht). cron
startet nur das, was bei SuSE immer drin steht:

/etc/cron.daily:
insgesamt 36K
-rwxr-xr-x 1 root root 393 25. Nov 2006 logrotate*
-rwxr--r-- 1 root root 948 18. Apr 2007 suse-clean_catman*
-rwxr-xr-x 1 root root 1,9K 1. Sep 2003 suse.de-backup-rc.config*
-rwxr-xr-x 1 root root 2,1K 8. Sep 2003 suse.de-backup-rpmdb*
-rwxr-xr-x 1 root root 566 23. Jul 2004 suse.de-check-battery*
-rwxr-xr-x 1 root root 1,3K 27. Jul 2005 suse.de-clean-tmp*
-rwxr-xr-x 1 root root 371 1. Sep 2003 suse.de-cron-local*
-rwxr-xr-x 1 root root 42 27. Nov 2006 suse.de-update-preload*
-rwxr--r-- 1 root root 1,2K 18. Apr 2007 suse-do_mandb*

Ich will nun versuchen den Übeltàter auf frischer Tat zu erwischen - aber da
das ja sehr schnell gehen kann, ist das meines Erachtens heikel. Ich könnte
ja mit Endlosschleife fuser laufen lassen. Oder, besser: fam. Aber wie
schnell der reagiert, weiß ich nicht.

Ergànzend dazu: ps in Endlosschleife und alle neuen Prozesse vermerken. Aber
auch da riskiert man ja eine race condition. Deshalb frage ich mich, ob es
dafür auch systematische Ansàtze gibt, also den Kernel jeden neu erzeugten
Prozess melden zu lassen und vielleicht was Besseres als fam, das mir auch
gleich sagt, von welcher PID der Zugriff kam.


CU

Hauke
 

Lesen sie die antworten

#1 Christian Garbs
17/01/2008 - 23:15 | Warnen spam
Mahlzeit!

Hauke Laging wrote:

Deshalb frage ich mich, ob es dafür auch systematische Ansàtze gibt,
also den Kernel jeden neu erzeugten Prozess melden zu lassen



Jeden erzeugten Prozess zu protokollieren sollte unter dem Stichwort
"process accounting" laufen. Das ist jedenfalls das, was ich mir
darunter vorstelle. Ich habe das noch nie benutzt, bin da nur immer
in der Kernelkonfiguration dran vorbeigekommen.

Gruß,
Christian
Christian.Garbs.http://www.cgarbs.de
"Einmal alles."

Ähnliche fragen