[kaktak]

Заметил в логах на нескольких серверах (все Debian 7-9, расположены в разных местах и даже в разных сетях ) примерно в одно и тоже время:

[2389047.666379] Bluetooth: Core ver 2.19
[2389047.666390] Bluetooth: HCI device and connection manager initialized
[2389047.666395] Bluetooth: HCI socket layer initialized
[2389047.666397] Bluetooth: L2CAP socket layer initialized
[2389047.666402] Bluetooth: SCO socket layer initialized

никаких блютус устройств в сервера естественно не устанавливали. 

Что это может быть? Атака какая-то?

[murano]

Просто модуль ядра включен из коробки.

[kaktak]

так я понимаю если бы это было при загрузке. а там аптайма от месяца до года. причем модуль в одно время примерно загрузился на разных серверах

[alexwin]

47 минут назад, kaktak сказал:

причем модуль в одно время примерно загрузился на разных серверах

Апгрейд? Посмотрите,что в lsmod | grep -i bluetooth

[kaktak]

в кроне ничего похожего не вижу

 

# lsmod | grep -i bluetooth
bluetooth             119450  0 
rfkill                 19005  1 bluetooth
crc16                  12343  2 ext4,bluetooth

 

# lsmod | grep -i bluetooth
bluetooth             374429  0 
6lowpan_iphc           16588  1 bluetooth
rfkill                 18867  2 bluetooth,asus_wmi
crc16                  12343  2 ext4,bluetooth
 

 

[alexwin]

2 минуты назад, kaktak сказал:

в кроне ничего похожего не вижу

 

# lsmod | grep -i bluetooth
bluetooth             119450  0 
rfkill                 19005  1 bluetooth
crc16                  12343  2 ext4,bluetooth

 

# lsmod | grep -i bluetooth
bluetooth             374429  0 
6lowpan_iphc           16588  1 bluetooth
rfkill                 18867  2 bluetooth,asus_wmi
crc16                  12343  2 ext4,bluetooth
 

 

Добавьте его тупо в blacklist,если он вам не нужен.

[kaktak]

ну это как решение. просто интересно понять с чего он вдруг решил запуститься.

[alexwin]

2 минуты назад, kaktak сказал:

ну это как решение. просто интересно понять с чего он вдруг решил запуститься.

Это лучше спросить у дебиановских красноглазиков.

 

P.S. Мож он из initramfs грузиться на случай беспроводной клавиатуры (нет дебиана под рукой проверить)

[rm_]

Было такое, уже не помню чем вызвано, но объяснение было безобидным.

Вы случайно файрволл не перезапускали сразу на всех, или ядро (или другой софт) не обновляли?

[kaktak]

Нет, ни руками, ни своими скриптами в этот момент сервера вообще не трогал. В логах (в том числе логах крона) ничего похожего на причину рядом с загрузкой модуля блютус нет.

[alexwin]

15 минут назад, kaktak сказал:

Нет, ни руками, ни своими скриптами в этот момент сервера вообще не трогал. В логах (в том числе логах крона) ничего похожего на причину рядом с загрузкой модуля блютус нет.

А в /boot сколько версий ядер и initramfs?

 

UPDATE

 

https://www.linux.org.ru/forum/general/13382606

 

Кажись оно?

Изменено 22 марта, 2018 пользователем alexwin

[kaktak]

Не, сервиса bluetooth в автозагрузке нет (использую sysvinit)

[DDR]

https://access.redhat.com/solutions/1131343

Цитата

Bluetooth modules are automatically loaded when collecting tcpdump

Resolution

• Bluetooth modules are harmless on the system.

• If it should not be loaded explicitly, register bluetooth modules as blacklist in /etc/modprobe.d/blacklist.conf

blacklist bluetooth rfkill 

...

Root Cause

tcpdump will try to find interfaces and load modules including lo, ethX, bluetooth as followed:

1.eth0
2.usbmon1 (USB bus number 1)
3.any (Pseudo-device that captures on all interfaces)
4.lo

 

 

 

[alexwin]

2 часа назад, DDR сказал:

https://access.redhat.com/solutions/1131343

 

Во-общем,не запускайте tcpdump на машине,подключеной к ядерному реактору - хрен знает какие он там еще модули подгрузит.

[kaktak]

В том и дело, что в момент старта модуля ничего не запускал ) И  даже в промиск интерфейсы не переводил ) 

[nuclearcat]

Значит запускал майор Джон который теперь хозяйствует на сервере.

Стоит внимательно прошерстить логи на промежуток этого timestamp аптайма.

[alexwin]

2 минуты назад, nuclearcat сказал:

Стоит внимательно прошерстить логи на промежуток этого timestamp аптайма.

А майор Джон не додумался логи за собой подтереть?

[st_re]

может подтер как раз, а что там какието левые модули при запуске еще загрузились просто забыл ?  8-0

[kaktak]

Проанализировал логи внимательнее и вспомнил.. Это я на них powertop запускал. Такие дела. Майор Джон - это я.

[st_re]

ну вот, сломали всю интригу :)

[alexwin]

10 часов назад, kaktak сказал:

Проанализировал логи внимательнее и вспомнил.. Это я на них powertop запускал. Такие дела. Майор Джон - это я.

Батарейки хотели сэкономить? )

[kaktak]

Да нее. В соседней ветке начитался про интеловские процы и их cstate.  

[alexwin]

На следующие разы ставьте auditd,чтобы не гадать был ли майор Джон.