cpu 100%

[steam-roller]

Ciao a tutti!

Vi pongo il seguente problema. E' normale che l'applicazione "amule" faccia schizzare al 100% la cpu? In particolare, tramite "htop", noto che il comando -> firestarter --start-hidden occupi il 100% della cpu. In sostanza, con amule attivo, il firewall blocca molte connessioni (visibili nel tab eventi di Firestarter) e ciò provoca un consumo abnorme di cpu.

C'è la possibilità di limitare l'uso della cpu? Vorrei evitare di fondere il PC.

Grazie in anticipo.

[ilsensine]

Chi è che va al 100%, amule o firestarter?

[steam-roller]

Quote:

Originariamente inviato da ilsensine

Chi è che va al 100%, amule o firestarter?

Ciao.

Tramite "htop" il comando "firestarter --start-hidden" (voce che ho inserito alla sessione di avvio al fine di far partire "firestarter" ad ogni avvio del PC) occupa il 100% della cpu; ciò si verifica nel momento in cui eseguo "amule" (2 file in download e 4 in condivisione). Se termino il "mulo" l'occupazione della cpu ritorna a livelli accettabili.

E' normale?

[ilsensine]

Direi proprio di no. La colpa non è del firewall di linux (iptables, di cui firestarter dovrebbe essere solo un frontend); non conosco questo programma e non ho idea di cosa faccia, ma evidentemente non si limita solo a configurare iptables e basta.

Fossi in te ne farei a meno.

[steam-roller]

In realtà ho scelto di installare "Firestarter" per configurare in modo semplice il firewall di linux.

Esiste la possibilità di terminare un programma automaticamente (nel mio caso il programma è "amule") nel momento in cui la cpu resta, per tempi prolungati, al 100%?

Forse chiedo troppo ma il bello di Linux è anche questo -> gestire ed utilizzare il PC secondo le proprie esigenze.

Ciao.

[ilsensine]

Perché te la prendi col povero innocente quando il colpevole resta allegramente in esecuzione?
Una volta che Firestarter ha configurato iptables, può anche terminare e andare al diavolo.

[steam-roller]

Quote:

Originariamente inviato da ilsensine

Perché te la prendi col povero innocente quando il colpevole resta allegramente in esecuzione?
Una volta che Firestarter ha configurato iptables, può anche terminare e andare al diavolo.

Mi stai consigliando di eliminare dalla sessione d'avvio il comando inerente "Firestarter"? In tal modo non comprometto nulla in termini di sicurezza?
Tra i motivi per i quali ho scelto Linux sul PC desktop vi sono: sicurezza, stabilità ed affidabilità. Quindi l'aspetto firewall, per me, è molto importante.

E' anche vero che "Firestarter" è un'interfaccia grafica per il firewall di linux (iptables). Mi chiedo, quindi: "Terminando Firestarter si compromette iptables?"

Scusa la mia diffidenza ma sono alle prime armi con Linux; provengo da anni di Windows (anche se recentemente utilizzo, come notebook, un MAC) ed ho imparato che le minacce sono sempre in agguato.

[W.S.]

Non conosco firestarter e il modo in cui lavora, dovrebbe comunque generare uno script che imposta le regole in iptables, tutto li. Una volta eseguito lo script non vedo perché firestarter dovrebbe rimanere in esecuzione.
Semplicemente prova a toglierlo e verifica che iptables abbia comunque tutte le regole.

[steam-roller]

Quote:

Originariamente inviato da W.S.

Non conosco firestarter e il modo in cui lavora, dovrebbe comunque generare uno script che imposta le regole in iptables, tutto li. Una volta eseguito lo script non vedo perché firestarter dovrebbe rimanere in esecuzione.
Semplicemente prova a toglierlo e verifica che iptables abbia comunque tutte le regole.

Senza "Firestarter" come posso controllare le connessioni attive e quelle bloccate? Mi spiego meglio. Il citato programma tramite una semplice interfaccia mi permette di gestire le varie regole (inbound & outbound) ed inoltre mi consente di controllare le connessioni bloccate (sezione eventi).

Immagino che tutto ciò può essere fatto tramite terminale.

Una volta che ho creato le regole posso fare a meno di firestarter... ma come gestisco e controllo gli eventi?

[ilsensine]

Puoi approfondire come sono gestiti gli "eventi" su Firestarter?

[steam-roller]

Quote:

Originariamente inviato da ilsensine

Puoi approfondire come sono gestiti gli "eventi" su Firestarter?

Eccomi...

L'interfaccia di "Firestarter" presenta 3 tab: Status, Events, Policy.
In "Status" controllo le connessioni attive; nella sezione "Events" verifico le connessioni bloccate (data/ora, porta, sorgente, protocollo, servizio). Nela sezione "Policy" posso editare le regole (inbound & outbound).

E' evidente che non conoscendo un tubo di "iptables", risulta semplice gestire il firewall di sistema in questo modo.

Ciao.

[ilsensine]

Mi sorge un dubbio, ma dovrei vedere che regole che usa per capirci di più.

Puoi eseguire questo (da root):
iptables -L -n -v > rules.txt
e allegare il file che viene creato?

[steam-roller]

Quote:

Originariamente inviato da ilsensine

Mi sorge un dubbio, ma dovrei vedere che regole che usa per capirci di più.

Puoi eseguire questo (da root):
iptables -L -n -v > rules.txt
e allegare il file che viene creato?

Ecco il file e grazie per la disponibilità!

[ilsensine]

Ultima cosa...arriva nella condizione in cui Firestarter consuma il 100% di cpu; puoi raccogliermi questo dato?

ls -l /proc/<pid>/fd > descriptors.txt

dove <pid> è il pid di Firestarter, come mostrato da top o htop.

[steam-roller]

Quote:

Originariamente inviato da ilsensine

Ultima cosa...arriva nella condizione in cui Firestarter consuma il 100% di cpu; puoi raccogliermi questo dato?

ls -l /proc/<pid>/fd > descriptors.txt

dove <pid> è il pid di Firestarter, come mostrato da top o htop.

Trovi il file in allegato (generato quando "firestarter" fa schizzare la cpu al 100%).

Ciao.

[ilsensine]

Ok credo di aver capito cosa fa, logga in continuazione /proc/net/tcp e /proc/net/ip_conntrack. amule genera molte connessioni, e questo fa balzare il carico di firestarter alle stelle.

Da quello che vedo è solo un sistema di log, il primo file che ti ho chiesto sembra escludere un processamento in userspace dei pacchetti. Dettagli più precisi potrei averli solo analizzando un corposo strace.

Quello che posso dirti è questo:
- l'occupazione di processore al 100% non dovrebbe penalizzare amule più di tanto, che essendo un processo essenzialmente i/o bound riceve un bonus dal kernel. Nel dubbio alza il nice di firestarter in modo da abbassarne la priorità (non ridurrà il consumo di processore, ma eviterà che succhi risorse a programmi più importanti)
- Riducendo il numero di connessioni accettate da amule dovresti poter mitigare il problema
- Puoi effettuare un log alternativo direttamente tramite iptables, eliminando così firestarter, anche se risulterà un pò meno comodo da leggere

[steam-roller]

Quote:

Originariamente inviato da ilsensine

Ok credo di aver capito cosa fa, logga in continuazione /proc/net/tcp e /proc/net/ip_conntrack. amule genera molte connessioni, e questo fa balzare il carico di firestarter alle stelle.

Da quello che vedo è solo un sistema di log, il primo file che ti ho chiesto sembra escludere un processamento in userspace dei pacchetti. Dettagli più precisi potrei averli solo analizzando un corposo strace.

Quello che posso dirti è questo:
- l'occupazione di processore al 100% non dovrebbe penalizzare amule più di tanto, che essendo un processo essenzialmente i/o bound riceve un bonus dal kernel. Nel dubbio alza il nice di firestarter in modo da abbassarne la priorità (non ridurrà il consumo di processore, ma eviterà che succhi risorse a programmi più importanti)
- Riducendo il numero di connessioni accettate da amule dovresti poter mitigare il problema
- Puoi effettuare un log alternativo direttamente tramite iptables, eliminando così firestarter, anche se risulterà un pò meno comodo da leggere

Hai centrato il problema. Con "amule" attivo, la sezione eventi di "Firestarter" evidenzia molte connessioni bloccate; di conseguenza ciò comporta che il comando "firestarter --start-hidden" consumi troppa cpu.

Come posso mettere in pratica i tuoi consigli? Cosa intendi quando affermi di provare ad alzare il nice di "Firestarter"?
Intanto ho ridotto il numero di connessioni accettate da "amule" (il valore di "Connessioni massime" l'ho settato da 500 a 300).

Ciao.

[ilsensine]

Quote:

Originariamente inviato da steam-roller

Hai centrato il problema. Con "amule" attivo, la sezione eventi di "Firestarter" evidenzia molte connessioni bloccate; di conseguenza ciò comporta che il comando "firestarter --start-hidden" consumi troppa cpu.

Come posso mettere in pratica i tuoi consigli?

Le connessioni bloccate vengono lette da firestarter nel log di sistema, che puoi esaminare con dmesg o con il file /var/log/messages o /var/log/syslog anche senza l'aiuto di firestarter.
Prova ad es:
dmesg |grep Inbound (o grep Input).
Per curiosità, hai un IP pubblico? Altrimento non vedo motivo per cui il log si debba riempire con connessioni bloccate...

Quote:

Cosa intendi quando affermi di provare ad alzare il nice di "Firestarter"?

ad es. renice +10 `pidof firestarter` (v. man renice)

[steam-roller]

Quote:

Originariamente inviato da ilsensine

Le connessioni bloccate vengono lette da firestarter nel log di sistema, che puoi esaminare con dmesg o con il file /var/log/messages o /var/log/syslog anche senza l'aiuto di firestarter.
Prova ad es:
dmesg |grep Inbound (o grep Input).
Per curiosità, hai un IP pubblico? Altrimento non vedo motivo per cui il log si debba riempire con connessioni bloccate...


ad es. renice +10 `pidof firestarter` (v. man renice)

Sono connesso in rete tramite Alice ADSL (contratto flat) con IP pubblico (che cambia ad ogni connessione).

Ho provato il comando "dmesg" ed in effetti posso visualizzare i log (ma risulta un pò scomodo).

Aggiungo altri elementi alla discussione. Attualmente, con "amule attivo" (sia in download che upload), nella sezione eventi di "Firestarter" non vengono più riportate le connessioni bloccate; in poche parole c'è un problema nei logs di sistema.

[ilsensine]

...o in firestarter stesso.
Parti dal presupposto che iptables non sbaglia mai.

nb se hai un IP pubblico, lo hai chiesto tu di aprire le porte 25 e 110 in ingresso?