서비스가 다시 시작된 이유와이를 누가 알 수있는 방법이 있습니까?

  • 우분투 14.04
  • 클라 마프 0.98.7

이 문제는 clamav-daemon거의 매일 다시 시작됩니다.

Sep  1 06:30:00 x-master clamd[6778]: Pid file removed.
clamd[6778]: --- Stopped at Tue Sep  1 06:30:00 2015
clamd[5979]: clamd daemon 0.98.7 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
clamd[5979]: Running as user root (UID 0, GID 0)
clamd[5979]: Log file size limited to 4294967295 bytes.
clamd[5979]: Reading databases from /var/lib/clamav
clamd[5979]: Not loading PUA signatures.
clamd[5979]: Bytecode: Security mode set to "TrustSigned".

clamdscan실행중인 경우 문제가 발생했습니다 .

/etc/cron.daily/clamav_scan:
ERROR: Could not connect to clamd on x.x.x.x: Connection refused

처음에 “거의”라고 말했습니다.

/var/log/syslog:Sep  1 06:30:00 x-master clamd[6778]: Pid file removed.
/var/log/syslog.1:Aug 31 06:27:54 x-master clamd[20128]: Pid file removed.
/var/log/syslog.4.gz:Aug 28 06:28:34 x-master clamd[4475]: Pid file removed.
/var/log/syslog.5.gz:Aug 27 06:27:47 x-master clamd[21466]: Pid file removed.

보다시피 :

  • 8 월 29 일과 30 일에 일어나지 않았습니다
  • 그것은 종종 시간 cron.daily이 실행 되는 06:27 주위에 다시 시작되었습니다.

    27 6 * * * root nice -n 19 ionice -c3 run-parts --report /etc/cron.daily
    

내용 /etc/cron.daily/clamav_scan:

find / $exclude_string ! \( -path "/tmp/clamav-*.tmp" -prune \) ! \( -path "/var/lib/elasticsearch" -prune \) ! \( -path "/var/lib/mongodb" -prune \) ! \( -path "/var/lib/graylog-server" -prune \) -mtime -1 -type f -print0 | xargs -0 clamdscan --quiet -l "$status_file" || retval=$?

clamav-daemon에 대한 로그 파일이 있습니다.

/var/log/clamav/clamav.log {
     rotate 12
     weekly
     compress
     delaycompress
     create 640  clamav adm
     postrotate
     /etc/init.d/clamav-daemon reload-log > /dev/null
     endscript
     }

그러나 그것은 단지 로그를 다시로드합니다 :

Sep  1 02:30:24 uba-master clamd[6778]: SIGHUP caught: re-opening log file.

auditd이진 파일을 모니터링하는 데 사용할 수 있으며 다음 은 로그 예입니다.

ausearch -f /usr/sbin/clamd                                                                                                        [2/178]
----
time->Tue Sep  1 07:56:44 2015
type=PATH msg=audit(1441094204.559:15): item=1 name=(null) inode=2756458 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1441094204.559:15): item=0 name="/usr/sbin/clamd" inode=3428628 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1441094204.559:15):  cwd="/"
type=EXECVE msg=audit(1441094204.559:15): argc=1 a0="/usr/sbin/clamd"
type=SYSCALL msg=audit(1441094204.559:15): arch=c000003e syscall=59 success=yes exit=0 a0=7ffd277e03dc a1=7ffd277dfa78 a2=7ffd277dfa88 a3=7ffd277df570 items=2
 ppid=5708 pid=5946 auid=4294967295 uid=109 gid=114 euid=109 suid=109 fsuid=109 egid=114 sgid=114 fsgid=114 tty=pts1 ses=4294967295 comm="clamd" exe="/usr/sbin/clamd" key=(null)

109는 clamav사용자 의 UID입니다 .

getent passwd clamav clamav:x:109:114::/var/lib/clamav:/bin/false

이 경우 문제를 해결하는 다른 방법이 있습니까?


@HBruijn에 답장 :

AV 정의를 업데이트 한 후 아마도 freshclam?

나는 그것에 대해 생각했다. 로그는 다음과 같습니다.

Sep  1 05:31:04 x-master freshclam[16197]: Received signal: wake up
Sep  1 05:31:04 x-master freshclam[16197]: ClamAV update process started at Tue Sep  1 05:31:04 2015
Sep  1 05:31:04 x-master freshclam[16197]: main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Sep  1 05:31:05 x-master freshclam[16197]: Downloading daily-20865.cdiff [100%]
Sep  1 05:31:09 x-master freshclam[16197]: daily.cld updated (version: 20865, sigs: 1555338, f-level: 63, builder: neo)
Sep  1 05:31:10 x-master freshclam[16197]: bytecode.cvd is up to date (version: 268, sigs: 47, f-level: 63, builder: anvilleg)
Sep  1 05:31:13 x-master freshclam[16197]: Database updated (3979610 signatures) from db.local.clamav.net (IP: 168.143.19.95)
Sep  1 05:31:13 x-master freshclam[16197]: Clamd successfully notified about the update.
Sep  1 05:31:13 x-master freshclam[16197]: --------------------------------------
Sep  1 04:34:10 x-master clamd[6778]: SelfCheck: Database status OK.
Sep  1 05:31:13 x-master clamd[6778]: Reading databases from /var/lib/clamav
Sep  1 05:31:22 x-master clamd[6778]: Database correctly reloaded (3974071 signatures)

잘 모르겠지만 freshclam에 업데이트에 대해 clamd에 알리는 “내부 메커니즘”이있는 것 같습니다. 그런 다음 데이터베이스를 다시로드 할 수 있으므로 프로세스를 다시 시작할 필요가 없습니다. 확인 할수 있어요?

또한 타임 스탬프에서 freshclam 업데이트 데이터베이스 1 시간 후에 clamav-daemon이 다시 시작된 것을 알 수있었습니다. 정상입니까?


업데이트 화요일 9 월 1 일 22:10:49 ICT 2015

freshclam에 업데이트에 대해 clamd에 알리는 “내부 메커니즘”이있는 것 같습니다. 그런 다음 데이터베이스를 다시로드 할 수 있으므로 프로세스를 다시 시작할 필요가 없습니다.

테스트를 수행하여 이것이 올바른지 확인할 수 있습니다.

  • freshclam.conf 파일을 편집하여 간격을 분 ( Checks 1440) 으로 변경하십시오.
  • clamav-freshclam을 다시 시작하십시오.
  • cd / var / lib / clamav
  • rm 매일 .cvd
  • 1 분 동안 기다리십시오

    Sep  1 14:49:25 p freshclam[7654]: Downloading daily.cvd [100%]
    Sep  1 14:49:28 p freshclam[7654]: daily.cvd updated (version: 19487, sigs: 1191913, f-level: 63, builder: neo)
    Sep  1 14:49:28 p freshclam[7654]: Reading CVD header (bytecode.cvd):
    Sep  1 14:49:28 p freshclam[7654]: OK
    Sep  1 14:49:28 p freshclam[7654]: bytecode.cvd is up to date (version: 245, sigs: 43, f-level: 63, builder: dgoddard)
    Sep  1 14:49:31 p freshclam[7654]: Database updated (3616181 signatures) from clamav.local (IP: 10.0.2.2)
    Sep  1 14:49:31 p freshclam[7654]: Clamd successfully notified about the update.
    Sep  1 14:49:31 p freshclam[7654]: --------------------------------------
    Sep  1 14:49:32 p clamd[6693]: Reading databases from /var/lib/clamav
    Sep  1 14:49:39 p clamd[6693]: Database correctly reloaded (3610621 signatures)
    

clamav-daemon은 다시 시작되지 않습니다.



답변

Puppet, Chef, CFEngine 등과 같은 구성 관리 시스템을 사용하고 있는지 확인하십시오. 정기적 인 간격으로 서비스를 방해 할 수 있습니다. 이를 해결하기위한 정확한 조치는 구성 관리 시스템에서 서비스가 사용되는 방식에 따라 다릅니다.


답변

나 자신을 참고하십시오.

작업 캐시의 출력 :

----------
          ID: clamav-daemon
    Function: service.running
      Result: True
     Comment: Service restarted
     Started: 06:27:52.736890
    Duration: 12997.632 ms
     Changes:
              ----------
              clamav-daemon:
                  True

클라 마브 공식을보십시오 :

  clamav-daemon:
    service:
      - running
      - order: 50
      - require:
        - service: clamav-freshclam
      - watch:
        - pkg: clamav-daemon
        - file: clamav-daemon
        - user: clamav

watched 상태의 아무것도 변경 되지 않았습니다 :

----------
          ID: clamav-daemon
    Function: pkg.latest
      Result: True
     Comment: Package clamav-daemon is already up-to-date.
     Started: 06:27:51.531415
    Duration: 53.224 ms
     Changes:

----------
          ID: clamav-daemon
    Function: file.managed
        Name: /etc/clamav/clamd.conf
      Result: True
     Comment: File /etc/clamav/clamd.conf is in the correct state
     Started: 06:27:51.760019
    Duration: 625.075 ms
     Changes:

----------
          ID: clamav
    Function: user.present
      Result: True
     Comment: User clamav is present and up to date
     Started: 06:27:51.590214
    Duration: 2.455 ms
     Changes:

서비스가 다시 시작된 이유는 무엇입니까?

을 찾고 watch_in, 나는 PID 파일이 변화를 가지고있는 경우 PID 파일과 서비스가 다시 시작됩니다 관리 상태를 발견 :

{%- macro manage_pid(path, user, group, watch_in_service, mode=644) -%}
    {%- if salt['file.file_exists'](path) %}
{{ path }}:
  file:
    - managed
    - user: {{ user }}
    - group: {{ group }}
    - mode: {{ mode }}
    - replace: False
        {%- if caller is defined -%}
            {%- for line in caller().split("\n") -%}
                {%- if loop.first %}
    - require:
                {%- endif %}
{{ line|trim|indent(6, indentfirst=True) }}
            {%- endfor -%}
        {%- endif %}
    - watch_in:
      - service: {{ watch_in_service }}
    {%- else %}
# {{ path }} does not exist, no need to manage
    {%- endif -%}
{%- endmacro -%}

{%- call manage_pid('/var/run/clamav/clamd.pid', 'clamav', 'clamav', 'clamav-daemon', 664) %}
- pkg: clamav-daemon
{%- endcall %}

의 출력 salt-run jobs.lookup_jid <job id number>에서 나는 이것을 보았다.

----------
          ID: /var/run/clamav/clamd.pid
    Function: file.managed
      Result: True
     Comment:
     Started: 06:27:52.392555
    Duration: 2.364 ms
     Changes:
              ----------
              group:
                  clamav
              user:
                  clamav

따라서 해당 pid 파일의 소유자 / 그룹이로 변경되었습니다 clamav. 마지막으로 clamav 데몬이 네트워크 모드에서 root사용자 로 실행되고 있기 때문입니다 . 따라서 pid 파일은로 생성되었습니다 root. 따라서 pid 파일을 관리하는 상태는 다음과 같이 변경되어야합니다.

{%- call manage_pid('/var/run/clamav/clamd.pid', 'root', 'root', 'clamav-daemon', 664) %}
- pkg: clamav-daemon
{%- endcall %}


답변