Root partition 100%, owncloud down

Support
1

Salut,

j’ai un souci, ma partition root était pleine, notamment a cause du fichier /var/log/nginx/mondomain.tld-access.log.1 qui fait 14Go …
du coup j’ai arrêté nginx, effacé le fichier puis relancer nginx (je sais c’est bourin)
sauf que maintenant owncloud ne fonctionne plus :frowning:
j’ai recréé le fichier en question et lui ai donné les mm permissions qu’avant, puis nginx reload ou restart mais rien n’y fait, owncloud est down
toutes les autres app fonctionnent normalement
voici un df de mon serveur (soyoustart)

Filesystem     Type      Size  Used Avail Use% Mounted on
/dev/root      ext4       20G  4.8G   14G  27% /
devtmpfs       devtmpfs  7.9G     0  7.9G   0% /dev
tmpfs          tmpfs     7.9G     0  7.9G   0% /dev/shm
tmpfs          tmpfs     7.9G  9.9M  7.9G   1% /run
tmpfs          tmpfs     5.0M     0  5.0M   0% /run/lock
tmpfs          tmpfs     7.9G     0  7.9G   0% /sys/fs/cgroup
/dev/md3       ext4      1.8T   38G  1.7T   3% /home

question subbsidiaire : comment est-ce que je peux deplacer le dossier /var/log et le mettre dans la partition /home ? est-ce qu’un symlink suffirait ?

merci pour les conseils

2

bon …
j’ai fait un yunohost update puis upgrade et tout est rentré dans l’ordre :neutral_face:
mais j’aimerais bien comprendre quand même :worried:
surtout comprendre ce qui peut bien avoir remplis ce fichier log à 14Go ?
et comment bouger le dossier /var/log ?

3

Le fichier de log “access” enregistre chaque requête faite au serveur web nginx.
Donc il suffit qu’il y ai beaucoup d’accès pour que ça remplisse le fichier de log.

Si il n’y a pas de log tournant (suppression des logs les plus anciens) il est possible que ça arrive sur une longue période. Sinon il y a de grande chance que ce soit dû à des requêtes plus ou malveillantes. Il y a énormément de robots qui scan HTTP, il est possible que tu as une app qui se fassent attaqué en bruteforce par exemple.

Bref, à ta place j’essaierais de consulter le contenu du fichier en question afin de savoir ce qui provoque ça.
Je vérifierais également que le service fail2ban est allumé, ce dernier est censé limité les attaques de ce type.

4

Salut,

fail2ban est bien actif

bon ça a recommencé, en 10 jours j’ai deux fichiers mondomain.access-log qui font 7G chacun, du coup ma partition / de 20G est pleine
cette fois j’ai pris la peine de copié ces fichiers avant de les vider, et je ne trouve rien dedans de suspet
c’est majoritairement des …/pad/socket.io/… tout a fais légitimes
ensuite viennent des synchro baikal légitimes elles aussi
j’ai essayé de changer le log level de etherpad mais ça n’a pas l’air de changer grand chose
je comprend pas :frowning:

1 Like
5

Bonjour,
Sans répondre à la question, il est judicieux sur Yunohost de créer des partitions (ou mieux, des volumes logiques lvm) pour au moins:
/
/var
/var/mail
/tmp
/home

Dans le cas de LVM, on pourra gérer l’extension des files sytems à chaud si besoin

Cordialement
Nino

6

bon j’ai trouvé un truc
si je suis sur un pad, au bout d’un moment je suis déconnecté
You have been disconnected.
The connection to the server was lost
et a ce moment les access log avec l’adresse de ce pad s’emballent

83.204.215.102 - - [22/Sep/2016:11:44:55 +0200] "GET /pad/socket.io/?EIO=3&transport=polling&t=1474537495468-616485 HTTP/1.1" 302 154 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
83.204.215.102 - - [22/Sep/2016:11:44:55 +0200] "GET /yunohost/sso/?r=aHR0cHM6Ly9zeW5lc3RoZXNpZS5pby9wYWQvc29ja2V0LmlvLz9FSU89MyZ0cmFuc3BvcnQ9cG9sbGluZyZ0PTE0NzQ1Mzc0OTQ4MzctNjE2NDY1 HTTP/1.1" 200 998 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
83.204.215.102 - - [22/Sep/2016:11:44:55 +0200] "GET /yunohost/sso/?r=aHR0cHM6Ly9zeW5lc3RoZXNpZS5pby9wYWQvc29ja2V0LmlvLz9FSU89MyZ0cmFuc3BvcnQ9cG9sbGluZyZ0PTE0NzQ1Mzc0OTQ4NTctNjE2NDY2 HTTP/1.1" 200 998 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
2a01:cb08:22f:7c00:1bb8:91e0:9008:7306 - bachir [22/Sep/2016:11:44:55 +0200] "PROPFIND /owncloud/remote.php/webdav/ConvivialiteEspacesDiscrets HTTP/1.1" 207 403 "-" "Mozilla/5.0 (Linux) mirall/2.2.3"
83.204.215.102 - - [22/Sep/2016:11:44:55 +0200] "GET /yunohost/sso/?r=aHR0cHM6Ly9zeW5lc3RoZXNpZS5pby9wYWQvc29ja2V0LmlvLz9FSU89MyZ0cmFuc3BvcnQ9cG9sbGluZyZ0PTE0NzQ1Mzc0OTQ4NTgtNjE2NDY3 HTTP/1.1" 200 938 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
83.204.215.102 - - [22/Sep/2016:11:44:55 +0200] "GET /yunohost/sso/?r=aHR0cHM6Ly9zeW5lc3RoZXNpZS5pby9wYWQvc29ja2V0LmlvLz9FSU89MyZ0cmFuc3BvcnQ9cG9sbGluZyZ0PTE0NzQ1Mzc0OTQ4NjMtNjE2NDY4 HTTP/1.1" 200 938 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
83.204.215.102 - - [22/Sep/2016:11:44:56 +0200] "GET /yunohost/sso/?r=aHR0cHM6Ly9zeW5lc3RoZXNpZS5pby9wYWQvc29ja2V0LmlvLz9FSU89MyZ0cmFuc3BvcnQ9cG9sbGluZyZ0PTE0NzQ1Mzc0OTQ5MDktNjE2NDY5 HTTP/1.1" 200 998 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
83.204.215.102 - - [22/Sep/2016:11:44:56 +0200] "GET /pad/socket.io/?EIO=3&transport=polling&t=1474537495572-616486 HTTP/1.1" 302 154 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
83.204.215.102 - - [22/Sep/2016:11:44:56 +0200] "GET /pad/socket.io/?EIO=3&transport=polling&t=1474537495573-616487 HTTP/1.1" 302 154 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
83.204.215.102 - - [22/Sep/2016:11:44:56 +0200] "GET /yunohost/sso/?r=aHR0cHM6Ly9zeW5lc3RoZXNpZS5pby9wYWQvc29ja2V0LmlvLz9FSU89MyZ0cmFuc3BvcnQ9cG9sbGluZyZ0PTE0NzQ1Mzc0OTQ5MjgtNjE2NDcw HTTP/1.1" 200 998 "https://synesthesie.io/pad/p/SOMMAIRE" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36"
7

Salut,
Tu utilises quelle app etherpad ?

Il semble également, en parallèle à ce problème de log qui s’emballe, que ton logrotate ne fasse pas son boulot. Tu devrais vérifier le logrotate nginx.

8

Salut,

j’utilise cette version de etherpadlite https://github.com/YunoHost-Apps/etherpadlite_ynh

9

Malheureusement, ce package ne déconnecte pas les pads inactif et l’accès admin est défaillant et ne permet pas d’installer le plugin pour forcer la déconnexion.
Pour ce problème d’admin, peut-être une solution en passant l’admin en skipped_uris

Concernant logrotate, après vérification, la config nginx ne fait pas de rotation en fonction de la taille.
Ça peux être modifié en ajoutant size 500M par exemple.

Je viens de faire un essai sur etherpad, j’ai entre 5 et 15 lignes de log par secondes selon l’activité du pad. Etherpad semble simplement très verbeux. Si tu gardes tes pad sur un onglet en permanence, il est probable que tes logs se remplissent très vite sans que ce soit un comportement anormal de la part d’etherpad.

10

merci,
quand tu dis ce package, il y en a un autre ?
merci pour les infos, je vais checker ça
pour logorate, ça parait logique mais je veux pas cacher un réelle problème avec etherpad
oui etherpad est très bavard, mais là il s’embale vraiement, c’est plutot 50~100 log par seconde

11

Oui, il y a un 2e package qui intègre le plugin mypads de Framasoft
https://forum.yunohost.org/t/etherpad-avec-plugin-mypads/1823/2
Mais il nécessite un sous domaine dédié.

Toutes les entrées dans le log se réfèrent à la même ip ?
Tu n’as pas de plugin particulier installé j’imagine ?