Ce matin, je me suis aperçu que le serveur était un peu moins réactif que d’habitude.
Ni une, ni deux, je lance le terminal et commence par vérifier les fichiers log. Un message attire alors mon attention :
tail: inotify cannot be used, reverting to polling: Too many open files
Code language: HTTP (http)
C’est bien étrange puisque très peu de services sont censés lancer des tail
. Nous allons donc lancer quelques commandes pour savoir qui est responsable de cet état.
Hotfix : à la recherche des anon_inode:inotify
1. Première méthode pour avoir un aperçu de tout ce qui tourne en ce moment sur le serveur :
ps -ef
La liste est très exhaustive (plusieurs pages chez moi) et ne permet pas vraiment de voir ce qui se passe, étant donné que rien n’est trié.
2. Changeons notre fusil d’épaule et trouvons la liste des processus qui font appel à inotify
:
for foo in /proc/*/fd/*; do readlink -f $foo; done | grep inotify | sort | uniq -c | sort -nr
Résultat:
8 /proc/25634/fd/anon_inode:inotify
1 /proc/715/fd/anon_inode:inotify
1 /proc/6146/fd/anon_inode:inotify
1 /proc/330/fd/anon_inode:inotify
1 /proc/32148/fd/anon_inode:inotify
1 /proc/31695/fd/anon_inode:inotify
1 /proc/31262/fd/anon_inode:inotify
1 /proc/3067/fd/anon_inode:inotify
1 /proc/3066/fd/anon_inode:inotify
1 /proc/3065/fd/anon_inode:inotify
1 /proc/3064/fd/anon_inode:inotify
1 /proc/3063/fd/anon_inode:inotify
1 /proc/3062/fd/anon_inode:inotify
1 /proc/21853/fd/anon_inode:inotify
1 /proc/2063/fd/anon_inode:inotify
1 /proc/1924/fd/anon_inode:inotify
1 /proc/1563/fd/anon_inode:inotify
1 /proc/1196/fd/anon_inode:inotify
3. Maintenant, nous allons chercher dans cette liste de processus les commandes qui font appel à anon_inode:inotify
:
ps -p $(find /proc/*/fd/* -type l -lname 'anon_inode:inotify' -print 2> /dev/null | sed -e 's/^\/proc\/\([0-9]*\)\/.*/\1/')
Code language: JavaScript (javascript)
Résultat:
PID TTY STAT TIME COMMAND
330 ? Ss 0:00 /lib/systemd/systemd-udevd --daemon
715 ? S 0:00 tail -f /tmp/bm-tarball.log.7lZV2O
1196 ? S 0:00 tail -f /tmp/bm-tarball.log.B1I64h
1563 ? S 0:00 tail -f /tmp/bm-tarball.log.hhDVas
1924 ? S 0:00 tail -f /tmp/bm-tarball.log.Ztuk8T
2063 ? Ss 0:06 /usr/bin/dbus-daemon --system
3062 tty1 Ss+ 0:00 /sbin/getty 38400 tty1
3063 tty2 Ss+ 0:00 /sbin/getty 38400 tty2
3064 tty3 Ss+ 0:00 /sbin/getty 38400 tty3
3065 tty4 Ss+ 0:00 /sbin/getty 38400 tty4
3066 tty5 Ss+ 0:00 /sbin/getty 38400 tty5
3067 tty6 Ss+ 0:00 /sbin/getty 38400 tty6
6146 ? Ss 0:00 gpg-agent --homedir /root/.gnupg --use-standard-socket --daemon
25634 ? Sl 0:21 /usr/bin/python3 /usr/bin/fail2ban-server -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid -
31262 ? S 0:00 tail -f /tmp/bm-tarball.log.82bIqR
31695 ? S 0:00 tail -f /tmp/bm-tarball.log.6Hqw69
32148 ? S 0:00 tail -f /tmp/bm-tarball.log.UMpkfi
Code language: JavaScript (javascript)
Ah on y arrive, c’est déjà beaucoup plus clair. Le service qui pose problème est donc backup-manager
(voir le tutoriel Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde), qui semble laisser ouvert tous ses fichiers de logs !
4. Ces processus tail
n’ayant aucune raison d’exister, on les supprime sans état d’âme:
killall tail
Voilà pour le hotfix. Nous allons maintenant amender la configuration du serveur pour que cela ne se reproduise plus.
Configuration de backup-manager
J’exécutais backup-manager
en mode verbeux (verbose), ce qui lançait un tail -f
sur chaque fichier log pour chaque fichier de sauvegarde créé… Dans les faits, si backup-manager
crée 10 fichiers de sauvegarde par jour, il lance donc dix tail -f
! Au bout de quelques jours ou semaines, cela impacte forcément les performances du serveur. On retire donc le mode verbose.
Configuration d’inotify
Pour accéder à toutes les options d’inotify
dans notre système de fichiers, il suffit de lancer:
sysctl fs.inotify
Code language: CSS (css)
Résultat:
fs.inotify.max_queued_events = 16384
fs.inotify.max_user_instances = 128
fs.inotify.max_user_watches = 8192
Nous allons augmenter ces valeurs de manière à nous laisser un peu de marge sur le serveur:
sysctl -n -w fs.inotify.max_user_watches=16384
sysctl -n -w fs.inotify.max_user_instances=512
Voilà, problème réglé.
Synopsis » Monter un serveur dédié de A à Z
- Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
- Serveur dédié : créer la base de données MySQL et importer WordPress
- Serveur dédié : créer et activer un Virtual Host sous Apache
- Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
- Serveur dédié : sécurisation des services avec iptables et fail2ban
- Serveur dédié : sécurisation de la couche TCP/IP
- Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
- Serveur dédié : sécuriser Apache 2 avec ModSecurity
- Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
- Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
- Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
- Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
- Serveur dédié : installer la dernière version d’APC par SVN
- Serveur dédié : analyse des performances du serveur
- Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
- Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
- Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
- Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
- Serveur dédié : impossible de se connecter à un port distant
- Rsync: rapatrier les fichiers du serveur à la maison
- Bash : réparer les tables MySQL en cas de crash
- Serveur dédié : création d’une seedbox avec Transmission
- Serveur dédié : des paquets LAMP à jour sous Debian
- Serveur dédié : mise à jour vers Debian 7 Wheezy
- Serveur dédié : activer X11 forwarding pour SSH
- Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
- Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
- Serveur dédié : mise en place de l’IPv6
- WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
- WordPress : héberger les images sur un sous-domaine
- Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
- Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
- Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
- Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
- Serveur dédié : configurer Webmin en TLS avec un certificat SSL
- Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
- Serveur dédié : installer et configurer Varnish 4
- Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
- Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
- Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
- Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
- Serveur dédié : installer la dernière version d’OpenSSL sous Debian
- Serveur dédié : activer l’IP canonique du serveur sous Apache
- Serveur dédié : mise à jour vers PHP 5.6
- MySQL : convertir les tables MyISAM au format InnoDB
- Serveur dédié : optimiser toutes les images GIF avec GIFsicle
- Serveur dédié : migration de MySQL vers MariaDB
- BASH : lister, bloquer et débloquer des adresses IP avec iptables
- Serveur dédié : produire une meilleure réserve d’entropie avec haveged
- Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
- Serveur dédié : mise en place du protocole DANE
- 8 règles d’or pour bien déployer DNSSEC et DANE
- Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
- Serveur dédié : optimiser la couche TCP
- Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
- Serveur dédié : mettre à jour Apache pour HTTP/2
- Serveur dédié : ajouter le domaine à la liste HSTS preload
- Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
- Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
- Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian
Recherchez-vous un expert WordPress ou WooCommerce sur qui vous pouvez compter? Ne cherchez plus.