Ubuntu Server 14.04 не могу залогиниться

[AnrDaemon]

Не знаю. Надо полностью логи смотреть, искать название модуля. Разбираться, что за фигня. Может, файл модуля повреждён.

[VirtualDj]

Вот такая беда ещё встретилась.

Код: [Выделить]

proxy kernel: [  687.854198] BUG: soft lockup - CPU#1 stuck for 22s! [cqtbmwjojz:1725]
Dec 22 07:59:16 proxy kernel: [  687.860787] Modules linked in: xt_nat xt_tcpudp ipt_ULOG xt_HL xt_hl xt_TCPMSS xt_tcpmss xt_state xt_sctp ipt_REJECT xt_REDIRECT xt_recent xt_realm xt_policy xt_pkttype xt_physdev xt_owner xt_CT xt_NETMAP xt_multiport ipt_MASQUERADE xt_mark xt_mac xt_LOG xt_limit xt_length xt_iprange xt_helper xt_hashlimit xt_esp ipt_ECN xt_ecn xt_DSCP xt_dscp xt_conntrack xt_connmark xt_comment xt_CLASSIFY xt_addrtype ipt_ah nf_nat_tftp nf_conntrack_tftp nf_nat_snmp_basic nf_conntrack_snmp nf_nat_pptp nf_nat_proto_gre nf_nat_irc nf_nat_ftp nf_nat_amanda nf_conntrack_pptp nf_conntrack_proto_gre nf_conntrack_netbios_ns nf_conntrack_broadcast nf_conntrack_irc nf_conntrack_ftp ts_kmp nf_conntrack_amanda iptable_nat nf_nat_ipv4 nf_nat nf_conntrack_ipv4 nf_defrag_ipv4 nf_conntrack iptable_mangle iptable_filter ip_tables x_tables nfnetlink kvm_amd kvm amd64_edac_mod k10temp edac_core edac_mce_amd sp5100_tco i2c_piix4 radeon lp parport ttm mac_hid drm_kms_helper drm i2c_algo_bit shpchp pata_acpi r8169 tg3 ptp ahci libahci mii pps_core pata_atiixp
Dec 22 07:59:16 proxy kernel: [  687.911086] CPU: 1 PID: 1725 Comm: cqtbmwjojz Tainted: GF     D    O 3.13.0-24-generic #47-Ubuntu
Dec 22 07:59:16 proxy kernel: [  687.918542] Hardware name: HP ProLiant MicroServer, BIOS O41     10/01/2013
Dec 22 07:59:16 proxy kernel: [  687.926023] task: ffff880115c7afe0 ti: ffff8800c8f28000 task.ti: ffff8800c8f28000
Dec 22 07:59:16 proxy kernel: [  687.933574] RIP: 0010:[<ffffffff8171da4d>]  [<ffffffff8171da4d>] _raw_spin_lock+0x3d/0x50
Dec 22 07:59:16 proxy kernel: [  687.941216] RSP: 0018:ffff8800c8f29c98  EFLAGS: 00000202
Dec 22 07:59:16 proxy kernel: [  687.948852] RAX: 00000000000060d9 RBX: ffff8800c8f29c68 RCX: 0000000000000004
Dec 22 07:59:16 proxy kernel: [  687.956541] RDX: 0000000000000006 RSI: 0000000000000006 RDI: ffff880115c7b618
Dec 22 07:59:16 proxy kernel: [  687.964225] RBP: ffff8800c8f29c98 R08: ffff880115c7afe0 R09: 0000000000000000
Dec 22 07:59:16 proxy kernel: [  687.971934] R10: 00000000000011b9 R11: 0000000ad571cb80 R12: ffff880115c7afe0
Dec 22 07:59:16 proxy kernel: [  687.979697] R13: ffff8800c8f29c68 R14: ffff8800c8f29c70 R15: ffff880115c7b3a0
Dec 22 07:59:16 proxy kernel: [  687.987434] FS:  00007f62b89f4740(0000) GS:ffff88011fc80000(0000) knlGS:0000000000000000
Dec 22 07:59:16 proxy kernel: [  687.995240] CS:  0010 DS: 0000 ES: 0000 CR0: 000000008005003b
Dec 22 07:59:16 proxy kernel: [  688.003067] CR2: 00007fdc94002008 CR3: 00000000c9de5000 CR4: 00000000000007e0
Dec 22 07:59:16 proxy kernel: [  688.010808] Stack:
Dec 22 07:59:16 proxy kernel: [  688.018357]  ffff8800c8f29d10 ffffffff81069b80 0000000100000010 ffff8800c8f29d00
Dec 22 07:59:16 proxy kernel: [  688.025950]  ffff8800c8f29cc0 0000000000000086 942566c34ac397f2 0000000000000007
Dec 22 07:59:16 proxy kernel: [  688.033490]  0000000000000000 0000000000000086 000000000000000b ffff8800c8f29da8
Dec 22 07:59:16 proxy kernel: [  688.041012] Call Trace:
Dec 22 07:59:16 proxy kernel: [  688.048347]  [<ffffffff81069b80>] do_exit+0x230/0xa50
Dec 22 07:59:16 proxy kernel: [  688.055578]  [<ffffffff8171ef79>] oops_end+0xa9/0x150
Dec 22 07:59:16 proxy kernel: [  688.062635]  [<ffffffff810171cb>] die+0x4b/0x70
Dec 22 07:59:16 proxy kernel: [  688.069533]  [<ffffffff8171e90e>] do_general_protection+0x11e/0x1b0
Dec 22 07:59:16 proxy kernel: [  688.076307]  [<ffffffff8171e228>] general_protection+0x28/0x30
Dec 22 07:59:16 proxy kernel: [  688.082928]  [<ffffffff8121f43a>] ? proc_reg_unlocked_ioctl+0x3a/0x80
Dec 22 07:59:16 proxy kernel: [  688.089404]  [<ffffffff8109d76b>] ? account_user_time+0x8b/0xa0
Dec 22 07:59:16 proxy kernel: [  688.095804]  [<ffffffff811cc6e0>] ? do_vfs_ioctl+0x2e0/0x4c0
Dec 22 07:59:16 proxy kernel: [  688.102131]  [<ffffffff8109dd84>] ? vtime_account_user+0x54/0x60
Dec 22 07:59:16 proxy kernel: [  688.108419]  [<ffffffff811cc941>] ? SyS_ioctl+0x81/0xa0
Dec 22 07:59:16 proxy kernel: [  688.114643]  [<ffffffff817266bf>] ? tracesys+0xe1/0xe6
Dec 22 07:59:16 proxy kernel: [  688.120804] Code: 89 c2 c1 ea 10 66 39 c2 75 02 5d c3 83 e2 fe 0f b7 f2 b8 00 80 00 00 eb 0c 0f 1f 44 00 00 f3 90 83 e8 01 74 0a 0f b7 0f 66 39 ca <75> f1 5d c3 66 66 66 90 66 66 90 eb da 66 0f 1f 44 00 00 66 66


[AnrDaemon]

У меня кстати подобная вещь недавно на сервере была, но я долго не разбирался, надавил на начальство и купил новый сервер.
Возможно, проблема была с памятью. Хотя мемтест ничего не показал.
Если у вас две планки (или больше), попробуйте по одной повставлять и посмотреть, что изменится.

[fisher74]

недавно я рассказывал про неудачное обновление пакета openssl на полудохлом диске. Какая-то из либов (не помню) упала на в неудачное место и всё что было связано с ssl просто отказалось работать. Пришло тащить своё бренное тело с монитором и клавой до той железки и, после диагностики, переустановить пакет.

[VirtualDj]

У меня было неудачное удаление сквида, после чего он не хотел ставиться обратно, но после ковыряний с aptitude purge и dpkg получилось, диску пара месяцев отроду, предлагаете проверить? Как то можно проверить целостность пакетов? Модули в iptables может лишние тоже поотключать, только опять же не знаю какие.
(через минут 30 прикреплю конфиг iptables)
Параллельно готовится новая железка на debian 7.7, но вопрос добить хочется.

Код: [Выделить]


/sbin/modprobe nfnetlink
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_nat
# Helpers
#
/sbin/modprobe ip_conntrack_amanda
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_conntrack_netbios_ns
/sbin/modprobe ip_conntrack_pptp
#/sbin/modprobe ip_conntrack_tftp
/sbin/modprobe ip_nat_amanda
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ip_nat_snmp_basic
/sbin/modprobe ip_nat_tftp
#
# Traffic Shaping
#
#/sbin/modprobe sch_sfq
#/sbin/modprobe sch_ingress
#/sbin/modprobe sch_htb
#/sbin/modprobe cls_u32
#
# Extensions
#
/sbin/modprobe ipt_ah
/sbin/modprobe ipt_addrtype
/sbin/modprobe ipt_CLASSIFY
#/sbin/modprobe ipt_CLUSTERIP
/sbin/modprobe ipt_comment
/sbin/modprobe ipt_connmark
/sbin/modprobe ipt_CONNMARK
/sbin/modprobe ipt_conntrack
/sbin/modprobe ipt_dscp
/sbin/modprobe ipt_DSCP
/sbin/modprobe ipt_ecn
/sbin/modprobe ipt_ECN
/sbin/modprobe ipt_esp
/sbin/modprobe ipt_hashlimit
/sbin/modprobe ipt_helper
/sbin/modprobe ipt_iprange
/sbin/modprobe ipt_length
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_mac
/sbin/modprobe ipt_mark
/sbin/modprobe ipt_MARK
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_NETMAP
/sbin/modprobe ipt_NOTRACK
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_physdev
/sbin/modprobe ipt_pkttype
/sbin/modprobe ipt_policy
/sbin/modprobe ipt_realm
/sbin/modprobe ipt_recent
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_SAME
/sbin/modprobe ipt_sctp
/sbin/modprobe ipt_state
/sbin/modprobe ipt_tcpmss
/sbin/modprobe ipt_TCPMSS
/sbin/modprobe ipt_tos
/sbin/modprobe ipt_TOS
/sbin/modprobe ipt_ttl
/sbin/modprobe ipt_TTL
/sbin/modprobe ipt_ULOG

IPT="/sbin/iptables"                 # Location of iptables on your system
INET_IFACE="em1"                    # Internet-connected interface
LOCAL_IFACE="p2p1"                   # Localnet-connected interface
INET_IP="zzz.zzz.zzz.zzz"              # Internet IP address 
LOCAL_IP="xxx.xxx.xxx.xxx"                # Localnet IP address
DNS_ISP_NTS1="xxx.xxx.xxx.xxx"           
DNS_ISP_NTS2="xxx.xxx.xxx.xxx"           
LOOPBACK="127.0.0.0/8"               # reserved loopback address range
CLASS_A="10.0.0.0/8"                 # class A private networks
CLASS_B="172.16.0.0/12"              # class B private networks
CLASS_C="192.168.0.0/16"             # class C private networks
CLASS_D_MULTICAST="224.0.0.0/4"      # class D multicast addresses
CLASS_E_RESERVED_NET="240.0.0.0/5"   # class E reserved addresses
BROADCAST_SRC="0.0.0.0"              # broadcast source address
BROADCAST_DEST="255.255.255.255"     # broadcast destination address
PRIVPORTS="0:1023"                   # well-known, privileged port range
UNPRIVPORTS="1024:65535"             # unprivileged port range


# Enable TCP SYN Cookie Protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_forward

      iptables -F
      iptables -X
      iptables -t nat -F


####### Default Rule
      iptables -F INPUT
      iptables -F OUTPUT
      iptables -F FORWARD


      iptables -P INPUT DROP
      iptables -P OUTPUT DROP
      iptables -P FORWARD DROP



####### Traff of LO
      iptables -A INPUT -i lo -j ACCEPT
      iptables -A OUTPUT -o lo -j ACCEPT

####### SSH for Server
      iptables -A INPUT -p tcp  --dport 22  -m state --state NEW  -j LOG --log-level DEBUG
      #iptables -A INPUT -p tcp -d $INET_IP --dport 22  --syn  -m limit --limit 3/minute  -j ACCEPT
      iptables -A INPUT -p tcp  -d $LOCAL_IP --dport 22  --syn  -m limit --limit 3/minute  -j ACCEPT
      iptables -A INPUT -p tcp -d $LOCAL_IP --dport 22  -m state --state NEW,ESTABLISHED  -j ACCEPT
      iptables -A OUTPUT -p tcp --sport 22  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

####### DNS for Localhost
      iptables -A INPUT -p tcp  --dport 53 -j ACCEPT
      iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
      iptables -A INPUT -p udp  --dport 53 -j ACCEPT
      iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
     
#######  SQUID
      iptables -A INPUT -p tcp -i $LOCAL_IFACE --dport 8080 -j ACCEPT
      iptables -A OUTPUT -p tcp -o $LOCAL_IFACE --sport 8080 -j ACCEPT
     

   

 iptables -A INPUT  -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 iptables -A INPUT  -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT




#######
iptables -A INPUT -p icmp    -j ACCEPT
iptables -A OUTPUT -p icmp    -j ACCEPT

iptables -A FORWARD  -i $LOCAL_IFACE -o $INET_IFACE -p tcp -s 192.168.xxx.xxx/24 --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD  -i $LOCAL_IFACE -o $INET_IFACE -p tcp -s 192.168.xxx.xxx/24 --sport 1024:65535 --dport 110 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD  -i $LOCAL_IFACE -o $INET_IFACE -p tcp -s 192.168.xxx.xxx/24 --sport 1024:65535 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD  -i $LOCAL_IFACE -o $INET_IFACE -p udp -s 192.168.xxx.xxx/24 --dport  10:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD  -i $LOCAL_IFACE -o $INET_IFACE -p tcp -s 192.168.xxx.yyy --dport 25:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD  -i $LOCAL_IFACE -o $INET_IFACE -p tcp -s 192.168.xxx.yyy --dport 25:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


####### Allow forvard established connections
iptables  -A FORWARD -i em1 -o p2p1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables  -A FORWARD -i p2p1 -o em1 -m state --state ESTABLISHED,RELATED -j ACCEPT


iptables -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP






[soferro]

VirtualDj,
Конфиг рабочий , я проверял)))
      iptables -A INPUT -p tcp  --dport 22  -m state --state NEW  -j LOG --log-level DEBUG
      #iptables -A INPUT -p tcp -d $INET_IP --dport 22  --syn  -m limit --limit 3/minute  -j ACCEPT

Эти строчки поменять местами, и вторую "активировать".

Кстати, судя по конфигу (если он с боевого сервера) никаких конектов снаружи по 22 порту быть не должно было.

[AnrDaemon]

soferro, ты топик вообще читал, прежде чем влезать?
VirtualDj, начните с проверки памяти. Это быстрее и проще.

[soferro]

soferro, ты топик вообще читал, прежде чем влезать?

Ага, читал, и тему читал. Чел считает что висит из-за netfilter/

VirtualDj, начните с проверки памяти. Это быстрее и проще.

Проще и быстрее проинсталить 100%  рабочую  машинку(можно юзерскую) и скинуть на нее конфиги, времени это занимает ( у меня) не более 15 минут.

[fisher74]

Проще и быстрее проинсталить 100%  рабочую  машинку

Какой вендовый подход.

скинуть на нее конфиги, времени это занимает ( у меня) не более 15 минут.

И так каждую неделю. Сервер пукнул - на новую машину. Пральна, чё разбираться с проблемами-то...
И у Вас сервера похоже милипусечные. Я тут вчера мускульную реплику клонировал, так там одна база только 2,5 часа чекалась.
Хотя да... установка и конфигурирование заняли минут 30. А вот перенос баз и выход на рабочую мощность уже исчислялся часами.

[soferro]

fisher74, Вот ты прям все по теме написал. А меня вот лично за  2,5 часа "простоя"
 тем более ночью уволили бы. А про "выход на рабочую мощность" первый раз слышу, на этот счет придется сегодня консультироваться с админами ТТК и Жлезки, а то видимо я совсем темный стал..

[fisher74]

Кто сказал, что что-то стояло? Говорю же - клонировал. База чекалась на новом клоне(по факту реплике), перед которым ставится задача "сена" на рождественские каникулы. Бекапы, конечно, делаются, но разогретый боевой конь в стойле никогда не помешает.