Fehlermeldungen in Logs

Software besorgen und anwenden
Post Reply
Message
Author
Frankenheimer
Posts: 14
Joined: 08. Aug 2006 8:47

Fehlermeldungen in Logs

#1 Post by Frankenheimer »

Ich habe grade zufällig in meinen Logs folgende Fehlermeldungen gefunden die alle 10-15 Minuten immer mal wieder auftauchen. Einmal nen CUPS und einmal nen Winbind fehler. Wichtig zu wissen ist, dass ich CUPS über den Runlevel Editor generell deaktiviert habe, weil der Druckdienst nicht benötigt wird. aber scheinbar hat da irgendwer oder irgendwas ärger mit.
Winbind wird von mir benötigt, damit die User des ADS sich über putty auf meinem rechner anmelden können. das klappt soweit auch.

Die andere Fehlermeldung sagt mir gar nichts. Weiss jemand wie ich das beheben kann?



Sep 20 10:43:37 slinux77 smbd¬2367|: ¬2006/09/20 10:43:37, 0| printing/print_cups.c:cups_cache_reload(85)
Sep 20 10:43:37 slinux77 smbd¬2367|: Unable to connect to CUPS server localhost - Connection refused
Sep 20 10:43:37 slinux77 smbd¬2367|: ¬2006/09/20 10:43:37, 0| printing/print_cups.c:cups_cache_reload(85)
Sep 20 10:43:37 slinux77 smbd¬2367|: Unable to connect to CUPS server localhost - Connection refused
Sep 20 10:43:37 slinux77 winbindd¬2050|: ¬2006/09/20 10:43:37, 0| nsswitch/winbindd.c:request_len_recv(566)
Sep 20 10:43:37 slinux77 winbindd¬2050|: request_len_recv: Invalid request size received: 1824
Sep 20 10:43:37 slinux77 winbindd¬2050|: ¬2006/09/20 10:43:37, 0| nsswitch/winbindd.c:request_len_recv(566)
Sep 20 10:43:37 slinux77 winbindd¬2050|: request_len_recv: Invalid request size received: 1824

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#2 Post by Janka »

In diesem Fall schlage ich vor, die Direktive "printing = cups" aus der /etc/samba/smb.conf rauszunehmen, bzw. durch "printing = lprng" oder ähnliches zu ersetzen.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

Frankenheimer
Posts: 14
Joined: 08. Aug 2006 8:47

#3 Post by Frankenheimer »

Janka wrote:In diesem Fall schlage ich vor, die Direktive "printing = cups" aus der /etc/samba/smb.conf rauszunehmen, bzw. durch "printing = lprng" oder ähnliches zu ersetzen.

Janka
vielen dank schonmal für die antwort. auf nen eintrag in der smb wäre ich jetzt irgendwie gar nicht gekommen. hier ist mal meine smb.conf. bis auf ein paar veränderte einträge in der global dürfte der rest der standardinstallation entsprechen. kann ich das rot markierte dann auch rauswerfen wenn cups nicht aktiviert ist? wenn ja, ist dass dann so richtig, oder fehlen dann noch ein paar einträge oder dürfen bestimmte einträge nicht auskommentiert werden?

[global]
workgroup = TEST
security = domain
# winbind settings
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template home dir = /
winbind use default domain = yes
winbind cache time = 300
winbind enum users = yes
winbind enum groups = no

printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw

map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
wins server = 192.168.0.4 192.168.0.5
[homes]
comment = Home Directories
valid users = %S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775


User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#4 Post by Janka »

Ja, das rote Zeug darfst du auskommentieren.

Was das Winbind-Problem angeht: Guck mal nach, welcher Rechner da seltsame Requests verschickt. Evtl. ein Virus auf 'nem Windowsrechner?

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

Frankenheimer
Posts: 14
Joined: 08. Aug 2006 8:47

#5 Post by Frankenheimer »

Janka wrote:Ja, das rote Zeug darfst du auskommentieren.

Janka
wow danke. ich hab das jetzt auskommentiert und zumindest der cups fehler ist verschwunden.
Was das Winbind-Problem angeht: Guck mal nach, welcher Rechner da seltsame Requests verschickt. Evtl. ein Virus auf 'nem Windowsrechner?
ach, diese fehlermeldung hat überhaupt keine lokale ursache? naja nen rechner zu finden wird recht schwierig. erstens fehlen mir da etwas die berechtigungen und ich weiss gar nicht wieviel rechner jetzt dahinterhängen. von clients kanns aber nicht kommen, oder?
ich werde mal meinen ausbilder drauf ansprechen und ihn fragen ob er nen rechner kennt der das verursachen könnte.

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#6 Post by Janka »

Für mich sieht das nach einem Client-Problem aus. Irgendwas schickt 1824 Byte große Nameservice-Requests an den Winbind. Das erscheint mir schon beim ersten draufgucken etwas zuviel für Nameservice-Pakete.

Nach seltsamen Paketen Suchen kann man mit tcpdump oder ethereal, auf dem Service "netbios-ns". Allerdings muss man natürlich auch die Ausgaben dieser Programme deuten können.

Jnak
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

Frankenheimer
Posts: 14
Joined: 08. Aug 2006 8:47

#7 Post by Frankenheimer »

Janka wrote:Für mich sieht das nach einem Client-Problem aus. Irgendwas schickt 1824 Byte große Nameservice-Requests an den Winbind. Das erscheint mir schon beim ersten draufgucken etwas zuviel für Nameservice-Pakete.

Nach seltsamen Paketen Suchen kann man mit tcpdump oder ethereal, auf dem Service "netbios-ns". Allerdings muss man natürlich auch die Ausgaben dieser Programme deuten können.

Jnak
hmm das klingt so, als ob ich bei der sache wirklich mal nachhaken sollte. ethereal usw. wollte ich hier ungern draufpacken. gibt es eine möglichkeit in irgendwelchen logs zu sehen von welchem rechner, bzw. welcher ip diese requests kommen, oder ist das nur mit zusatzsoftware möglich.

btw: ich habe die fehler mal beobachtet. der fehler kommt punktgenau alle 15min.

Marco Gerber
Posts: 38
Joined: 26. Aug 2006 13:07
Location: Zürich

#8 Post by Marco Gerber »

Guten Tag

Es ist Aufgabe der Software, Verbindungsdaten in ein logfile zu speichern.
Ich empfehle dir folgendes Vorgehen:

Du suchst dir den Port mittels netstat -n heraus, welcher von dem fraglichen Prozess benutzt wird, und startest dann eine tcpdump session folgendermassen:

Code: Select all

tcpdump -i eth0 -c 2 tcp port X
eth0 hier als Beispiel, und X mit der oben ermittelten Portnummer, sowie tcp als Transportprotokoll (kannst du aus netstat ermitteln, ob tcp oder udp). Dann laesst du das einfach mal laufen, und spaetestens nach 15 minuten wirst du die fragliche Quelle haben.


hth

Marco

Post Reply