Clicky

Cómo deshabilitar la alerta por email en CSF/Lfd excessive resource usage

alerta Lfd excessive resource usage

El demonio LFD de ConfigServer Security & Firewall puede consumir muchos recursos del servidor de correo

Si tienes tu propio servidor VPS o dedicado obtendrás a menudo en Postfix este tipo de mensajes de alerta porque has instalado en tu servidor ConfigServer Security & Firewall, y el Login Failure Daemon (LFD) te notificará cada vez que un servicio o proceso lleva más tiempo de memoria que la que está asignada en la configuración CSF, con la consiguiente acumulación de emails en el sistema.

Puedes desactivar este tipo de alerta desde abajo tres métodos, pero el método 1 es un estándar.

Voy a sugerir no usar el método de 2 y método 3, ya que este tipo de alerta es útil para monitorizar el estado del servidor.

Si cualquier servicio o usuario consumen demasiado tiempo y memoria hay que echar una mirada a esa actividad en particular para ver si hay algo anormal.

Abajo dos alertas del LFD en mi servidor.

Alerta: Excessive resource usage: postfix

Time:         Sat Dec  6 17:00:57 2014 +0100
Account:      postfix
Resource:     Process Time
Exceeded:     151315 > 1800 (seconds)
Executable:   /usr/libexec/postfix/anvil
Command Line: anvil -l -t unix -u
PID:          2308 (Parent PID:4546)
Killed:       No

Alerta: Excessive resource usage: memcached

Time:         Sat Dec  6 16:16:56 2014 +0100
Account:      memcached
Resource:     Process Time
Exceeded:     54128 > 1800 (seconds)
Executable:   /usr/bin/memcached
Command Line: memcached -d -p 11211 -u memcached -m 1024 -c 4096 -P /var/run/memcached/memcached.pid
PID:          22072 (Parent PID:22072)
Killed:       No

Método-1

Éste es el método estándar para desactivar la alerta del LFD. Usa tu editor de texto favorito para abrir el archivo csf.pignore y agrega la ruta de la línea de comandos, excepto ruta ejecutable. El lugar normal está en /etc/csf/csf.pignore. Asegúrate de que no agregas un único camino ejecutable, si has hecho eso LFD no podrá notificar nada. La alerta de arriba muestra /usr/bin/memcached como una ruta ejecutable. Si la has agregado al archivo /etc/csf/csf.pignore no te alertará de cualquiera de los procesos de Mencahed en tu servidor. Así que hay que añadir sólo cosas particulares. Para el tiempo de procesamiento también los mismos pasos.

root@server [/etc/csf]# nano csf.pignore
  GNU nano 2.0.9                                      File: csf.pignore

exe:/usr/libexec/dovecot/pop3
exe:/usr/sbin/nsd
exe:/usr/libexec/dovecot/pop3-login
exe:/usr/libexec/dovecot/imap-login
exe:/var/cpanel/3rdparty/bin/php
exe:/usr/bin/postgres
exe:/usr/sbin/ntpd
exe:/sbin/ntpd
exe:/usr/local/cpanel/3rdparty/sbin/mydns
exe:/usr/local/cpanel/3rdparty/bin/webalizer_lang/english
exe:/usr/local/cpanel/3rdparty/perl/514/bin/spamd
exe:/usr/local/cpanel/bin/cpuwatch
exe:/u01/app/oracle/product/11.2.0/xe/bin/oracle

exe: /usr/bin/memcached  # esto excluirá todos los procesos de Mencached

Método 2

Esto desactivará permanentemente a alerta del LFD, por lo que puede representar un problema de seguridad. Usa tu editor de texto favorito para abrir el archivo csf.conf y establece PT_USERMEM = 0. El tiempo de procesamiento también el mismo y puedes cambiar PT_USERTIME en lugar de cambiar el valor de PT_USERMEM.

root@server [/etc/csf]# nano csf.conf
  GNU nano 2.0.9                                           File: csf.conf
                                                                                
# This User Process Tracking option sends an alert if any cPanel user process
# exceeds the memory usage set (MB). To ignore specific processes or users use
# csf.pignore
#
# Set to 0 to disable this feature
PT_USERMEM = "0"

# This User Process Tracking option sends an alert if any cPanel user process
# exceeds the time usage set (seconds). To ignore specific processes or users
# use csf.pignore
#
# Set to 0 to disable this feature
PT_USERTIME = "1800"

Método 3

Aumenta PT_USERMEM = 200, un valor de más de 200. Por defecto se asignan 200. Utiliza tu editor texto favorito para abrir el archivo csf.conf y establece PT_USERMEM = 500. El tiempo de procesamiento también el mismo y hay puedes cambiar el valor de PT_USERTIME en lugar de cambiar los valores de PT_USERMEM.

root@server [/etc/csf]# nano csf.conf
  GNU nano 2.0.9                                           File: csf.conf
                                                                                
# This User Process Tracking option sends an alert if any cPanel user process
# exceeds the memory usage set (MB). To ignore specific processes or users use
# csf.pignore
#
# Set to 0 to disable this feature
PT_USERMEM = "500"

# This User Process Tracking option sends an alert if any cPanel user process
# exceeds the time usage set (seconds). To ignore specific processes or users
# use csf.pignore
#
# Set to 0 to disable this feature
PT_USERTIME = "1800"

Finalmente reinicia el CSF usando el comando de abajo:

root@server [/etc/csf]# csf -r

Flushing chain `INPUT'
Flushing chain `FORWARD'
Flushing chain `OUTPUT'
Flushing chain `ALLOWIN'
Flushing chain `ALLOWOUT'
.
.
.
Restarting bandmin acctboth chains for cPanel
acctboth  all opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0
acctboth  all opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0
acctboth  all opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0
acctboth  all opt -- in * out *  0.0.0.0/0  -> 0.0.0.0/0
LOCALOUTPUT  all opt -- in * out !lo  0.0.0.0/0  -> 0.0.0.0/0
LOCALINPUT  all opt -- in !lo out *  0.0.0.0/0  -> 0.0.0.0/0
LOCALOUTPUT  all opt    in * out !lo  ::/0  -> ::/0
LOCALINPUT  all opt    in !lo out *  ::/0  -> ::/0

Puedes ver los procesos que te envían correos de alerta en el servidor Postfix de tu cPanel o Webmin.

Jesus_Caceres