[Postfixbuch-users] Redundantes Service: shortest way?

Stefan G. Weichinger lists at xunil.at
Fr Mär 9 16:50:29 CET 2012


So, wie es für mich aussieht, wurde mein Server heute Ziel eines
DoS-Angriffs .... sehr viele Mails rejected in kurzer Zeit, was dazu
führte, daß pam_mysql zu viele Connections aufbauen wollte:

Mar  9 08:47:15 postler saslauthd[12857]: pam_mysql - MySQL error (Too
many connections)

Ein kurzes googeln deutet in Richtung "mehr connections in mysql
erlauben", dort ist der Wert 1000 gesetzt, welcher mir für meine kleine
Kiste mehr als ausreichend erscheint. Da gingen in der letzten Woche
~20000 Mails drüber und ~36tsd wurden rejected ... also warum mehr als
1000 Connections erlauben, gleichzeitig ...

Eigentlich sollte auch fail2ban bruteforce-Angriffe abwehren, sehr
eigenartig ... da muß ich noch weiter recherchieren: ja, da wurde ab
~8:45 schon einiges gebannt ... aber die mysql-connections gingen
trotzdem nicht mehr runter. Wohl auch wegen der wechselnden Angreifer-IPs.

Ich setze das jail "sasl-iptables" ein, das hat da gegriffen.

Aber mysql blieb überlastet und daher ging nix mehr durch den Server :-(

Oder kann es sein, daß pam_mysql selbst Probleme macht?

Kennt jemand von Euch das Phänomen, bzw. wie kann ich das weiter
eingrenzen? Ich weiß, jetzt kommt "Logs!"

Ich seh da nicht viel, irgendwann beginnt es mit zB "policyd:
mysql_real_connect(): Too many connections" ...

mysql-Anwendungen hier:

postfix
pam_mysql
policyd
amavisd-maia
cyrus-imapd
spamassassin

....

Soll ich irgendwelche Throttling-Maßnahmen konfigurieren/checken?
In der Hinsicht ist postfix noch recht defaultmässig konfiguriert hier.

Danke für sachdienliche Hinweise, Stefan



Mehr Informationen über die Mailingliste Postfixbuch-users