kaktak Опубликовано 22 марта, 2018 · Жалоба Заметил в логах на нескольких серверах (все Debian 7-9, расположены в разных местах и даже в разных сетях ) примерно в одно и тоже время: [2389047.666379] Bluetooth: Core ver 2.19 [2389047.666390] Bluetooth: HCI device and connection manager initialized [2389047.666395] Bluetooth: HCI socket layer initialized [2389047.666397] Bluetooth: L2CAP socket layer initialized [2389047.666402] Bluetooth: SCO socket layer initialized никаких блютус устройств в сервера естественно не устанавливали. Что это может быть? Атака какая-то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
murano Опубликовано 22 марта, 2018 · Жалоба Просто модуль ядра включен из коробки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 22 марта, 2018 · Жалоба так я понимаю если бы это было при загрузке. а там аптайма от месяца до года. причем модуль в одно время примерно загрузился на разных серверах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 22 марта, 2018 · Жалоба 47 минут назад, kaktak сказал: причем модуль в одно время примерно загрузился на разных серверах Апгрейд? Посмотрите,что в lsmod | grep -i bluetooth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 22 марта, 2018 · Жалоба в кроне ничего похожего не вижу # lsmod | grep -i bluetooth bluetooth 119450 0 rfkill 19005 1 bluetooth crc16 12343 2 ext4,bluetooth # lsmod | grep -i bluetooth bluetooth 374429 0 6lowpan_iphc 16588 1 bluetooth rfkill 18867 2 bluetooth,asus_wmi crc16 12343 2 ext4,bluetooth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 22 марта, 2018 · Жалоба 2 минуты назад, kaktak сказал: в кроне ничего похожего не вижу # lsmod | grep -i bluetooth bluetooth 119450 0 rfkill 19005 1 bluetooth crc16 12343 2 ext4,bluetooth # lsmod | grep -i bluetooth bluetooth 374429 0 6lowpan_iphc 16588 1 bluetooth rfkill 18867 2 bluetooth,asus_wmi crc16 12343 2 ext4,bluetooth Добавьте его тупо в blacklist,если он вам не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 22 марта, 2018 · Жалоба ну это как решение. просто интересно понять с чего он вдруг решил запуститься. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 22 марта, 2018 · Жалоба 2 минуты назад, kaktak сказал: ну это как решение. просто интересно понять с чего он вдруг решил запуститься. Это лучше спросить у дебиановских красноглазиков. P.S. Мож он из initramfs грузиться на случай беспроводной клавиатуры (нет дебиана под рукой проверить) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 22 марта, 2018 · Жалоба Было такое, уже не помню чем вызвано, но объяснение было безобидным. Вы случайно файрволл не перезапускали сразу на всех, или ядро (или другой софт) не обновляли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 22 марта, 2018 · Жалоба Нет, ни руками, ни своими скриптами в этот момент сервера вообще не трогал. В логах (в том числе логах крона) ничего похожего на причину рядом с загрузкой модуля блютус нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 22 марта, 2018 (изменено) · Жалоба 15 минут назад, kaktak сказал: Нет, ни руками, ни своими скриптами в этот момент сервера вообще не трогал. В логах (в том числе логах крона) ничего похожего на причину рядом с загрузкой модуля блютус нет. А в /boot сколько версий ядер и initramfs? UPDATE https://www.linux.org.ru/forum/general/13382606 Кажись оно? Изменено 22 марта, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 22 марта, 2018 · Жалоба Не, сервиса bluetooth в автозагрузке нет (использую sysvinit) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DDR Опубликовано 22 марта, 2018 · Жалоба https://access.redhat.com/solutions/1131343 Цитата Bluetooth modules are automatically loaded when collecting tcpdump Resolution Bluetooth modules are harmless on the system. If it should not be loaded explicitly, register bluetooth modules as blacklist in /etc/modprobe.d/blacklist.conf blacklist bluetooth rfkill ... Root Cause tcpdump will try to find interfaces and load modules including lo, ethX, bluetooth as followed: 1.eth0 2.usbmon1 (USB bus number 1) 3.any (Pseudo-device that captures on all interfaces) 4.lo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 22 марта, 2018 · Жалоба 2 часа назад, DDR сказал: https://access.redhat.com/solutions/1131343 Во-общем,не запускайте tcpdump на машине,подключеной к ядерному реактору - хрен знает какие он там еще модули подгрузит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 22 марта, 2018 · Жалоба В том и дело, что в момент старта модуля ничего не запускал ) И даже в промиск интерфейсы не переводил ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 23 марта, 2018 · Жалоба Значит запускал майор Джон который теперь хозяйствует на сервере. Стоит внимательно прошерстить логи на промежуток этого timestamp аптайма. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 23 марта, 2018 · Жалоба 2 минуты назад, nuclearcat сказал: Стоит внимательно прошерстить логи на промежуток этого timestamp аптайма. А майор Джон не додумался логи за собой подтереть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 23 марта, 2018 · Жалоба может подтер как раз, а что там какието левые модули при запуске еще загрузились просто забыл ? 8-0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 23 марта, 2018 · Жалоба Проанализировал логи внимательнее и вспомнил.. Это я на них powertop запускал. Такие дела. Майор Джон - это я. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 23 марта, 2018 · Жалоба ну вот, сломали всю интригу :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 24 марта, 2018 · Жалоба 10 часов назад, kaktak сказал: Проанализировал логи внимательнее и вспомнил.. Это я на них powertop запускал. Такие дела. Майор Джон - это я. Батарейки хотели сэкономить? ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 24 марта, 2018 · Жалоба Да нее. В соседней ветке начитался про интеловские процы и их cstate. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 24 марта, 2018 · Жалоба На следующие разы ставьте auditd,чтобы не гадать был ли майор Джон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...