¿Qué debo hacer si el proceso Openvpn del sistema Linux se cierra de manera anormal?

En Linux, OpenVPN es una buena VPN de código abierto, por lo que se usa ampliamente. Sin embargo, muchos usuarios han descubierto recientemente que el servicio OpenVPN ha salido de forma anormal muchas veces. ¿Cómo resolver este problema? Hoy Xiaobian te enseña cómo resolver este problema.

causa del análisis del problema: Windows Server

1. openvpn (máquina virtual) no hay suficiente memoria para la memoria de sólo 2G

2. E /S es demasiado alto, porque La razón por la que el registro abre el DEBUG, muchas operaciones de registro de escritura,

3. El descriptor de archivo no es suficiente, el sistema por defecto es 1024

4. Alguien ataca maliciosamente el servicio openvpn

A las 4 en punto, comencé a lidiar con:

1. La primera opción es ajustar la memoria del servidor openpvn (máquina virtual) a 4G, reiniciarse y encontrar que el servicio openvpn es anormal después de unos minutos de inicio,

2 Al ajustar el registro a error, openvpn sale de forma anormal unos minutos después del inicio. Ver el registro encontrado es

18 de febrero 17:17:42 localhost openvpn [1219]: qn_anqiu /xxx.xxx.xxx.xx: 27351 CRL: no se puede leer: /usr /local /cine /etc /keys /Crl.pem: demasiados archivos abiertos (errno = 24)

3. Hay un registro de errores arriba, que indica que el tercer punto de la conjetura es correcto. Ejecute el comando:

shell $ ”ulimit -SHn 65535

Después de iniciar el proceso openvpn, no vuelve a salir.

4. Vea el registro y descubra que hay una IP que solicita el servidor openvpn cada minuto. Filtre esta IP directamente en iptables

16 de febrero 13:06:16 localhost openvpn [1219]: 58.244.191.51:47374 ADVERTENCIA: La longitud del paquete encapsulado es incorrecta desde peer (18245), que debe ser》 0 y "= 1544 - asegúrese de que --tun-mtu o --link-mtu sea igual en ambos peers - esto La condición también podría indicar un posible ataque activo en el enlace TCP - [Intentando reiniciar. . ]

16 de febrero 13:07:21 localhost openvpn [1219]: 58.244.191.51:6043 ADVERTENCIA: Longitud del paquete encapsulado incorrecto desde el par (18245), que debe ser》 0 y "= 1544 - asegúrese Que --tun-mtu o --link-mtu es igual en ambos iguales - esta condición también podría indicar un posible ataque activo en el enlace TCP - [Intentando reiniciar. . ]

Después de la modificación anterior, después de dos días, openvpn sigue siendo anormal. Después de ver el registro, sigue siendo un problema antiguo:

18 de febrero 17:17:42 localhost openvpn [1219]: qn_anqiu /Xxx.xxx.xxx.xx: 27351 CRL: no se puede leer: /usr/local/cine/etc/keys/crl.pem: Hay demasiados archivos abiertos (errno = 24)

Incluso si el proceso del descriptor de archivos está abierto No debe eliminarse. Esto significa que openvpn BUG, ​​crl.pem es el certificado de cierre de sesión almacenado en el archivo. Si la verificación del certificado no es válida, el servicio openvpn se negará a conectarse. Actualmente tengo más de 800 clientes. Para conectarse, ¿es necesario solicitar que el archivo no se libere para cada conexión? ¿No es suficiente lanzar 65,535 descriptores de archivo?

Para resolver el problema, tengo que modificar el archivo de configuración para eliminar los parámetros de este certificado de cierre de sesión de verificación. Después de reiniciar el proceso openvpn, es normal y no ha habido ningún problema. Cómo producirlo requiere más observación e investigación.

Esta es la forma de resolver la salida anormal del servicio OpenVPN. Si encuentra algún problema, puede intentar esta solución.