问题[linuxmint](server)

我有一个远程 linux 系统，昨天变得超级慢。由于我设置的远程 luks 解锁似乎工作不可靠，并且在接下来的 10 天内我将无法物理访问机器，我正在尝试调试它而不是重新启动。

我习惯使用的系统状态工具是htop，dstat并且由于我dstat在 ssh 会话中运行，我可以看到从昨天 2021-09-09 08:51:42 开始，“sys”始终完全使用一个 cpu 核心 - 我猜测意味着内核？

我看不到任何罪魁祸首进程或线程htop。

我已经停止了所有用户服务并卸载了所有非必要的东西，这使系统再次响应更好，但仍然没有达到应有的速度（使用带有 SSD 的 Intel i7 CPU）。

我找到了https://tanelpoder.com/posts/high-system-load-low-cpu-utilization-on-linux/并安装了引用的https://0x.tools/以获得以下结果psn -G syscall,wchan：

=== Active Threads ========================================================================================

 samples | avg_threads | comm              | state                  | syscall   | wchan                    
-----------------------------------------------------------------------------------------------------------
     100 |        1.00 | (btrfs-cleaner)   | Running (ON CPU)       | [running] | 0                        
     100 |        1.00 | (dpkg)            | Disk (Uninterruptible) | fsync     | btrfs_commit_transaction 
     100 |        1.00 | (systemd-journal) | Disk (Uninterruptible) | ftruncate | wait_current_trans       
       1 |        0.01 | (sshd)            | Running (ON CPU)       | [running] | 0                        
       1 |        0.01 | (thermald)        | Disk (Uninterruptible) | [running] | ec_guard                 
       1 |        0.01 | (thermald)        | Running (ON CPU)       | [running] | 0    

这个dpkg过程可以解释为我试图以apt upgrade你通常期望的速度的 1/1000 运行哪个运行（只是一种感觉，没有测量它）。

也许我的 btrfs 根文件系统有问题...？我找不到btrfs-cleanerin htop，我想我会研究更多关于那是什么..

我昨晚确实跑了btrfs scrub一个，它完成得非常快，没有发现任何问题：

# btrfs scrub status /
UUID:             2f38e0ad-7f16-4a36-8096-b7981d47b4ff
Scrub started:    Thu Sep  9 23:59:00 2021
Status:           finished
Duration:         0:00:24
Total to scrub:   53.09GiB
Rate:             1.78GiB/s
Error summary:    no errors found

但是当我使用 nano 修改根分区上的配置文件时，加载和保存它现在超级慢。

我只是偶然发现了这一点：https ://www.reddit.com/r/btrfs/comments/fmucrq/btrfs_snapshots_make_entire_system_lag_cpu_usage/其中有一条听起来与我的问题相似的评论：

每次启动时和快照后 btrfs-transacti 和 btrfs-cleaner 都会完全用完一个核心，从而导致巨大的延迟

只是这表示它在启动和创建快照时只持续了几分钟，但是btrbk几天前我在这个系统上禁用了我的备份设置，当时其中一个连接的磁盘开始出现问题。

我不确定我的 btrfs 根文件系统是否正在使用qgroups，但我只是运行btrfs quota disable /了大约 10 秒并且没有给出任何反馈。

有人对我有任何其他提示如何调试/解决这个问题吗？

我有一个运行在 KVM 上的 ubuntu 18.04 上的 apache 网络服务器 这个 KVM 在 Linux Mint 20.1 主机操作系统上运行

网络是使用 KVM 中的网桥设置的

<network connections="1">
  <name>host-bridge</name>
  <uuid>some-uuid</uuid>
  <forward mode="bridge"/>
  <bridge name="br0"/>
</network>

我有防火墙规则将流量从真实网络传递到网桥

sudo iptables -I INPUT 1 -i lo -j ACCEPT
#Pass to KVM Bridge
sudo iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
sudo iptables -A FORWARD -i br0 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i virbr0 -o br0 -j ACCEPT
sudo iptables -I FORWARD -i br0 -o br0 -j ACCEPT

这一切都在工作，我正在将流量传送到主机并路由到 kvm 机器，外部 ips 可以连接，内部也可以

不幸的是，我也有一些自定义的 html，可以根据引用者是在本地局域网还是远程 ip 上通过 php 改变行为

自从从 VmWare 迁移到 KVM 后，现在一切都源自主机 ip 地址，并且此逻辑不起作用

有没有办法维护请求 IP 地址，以便我可以保持相同的行为？

我用 php 检查 ips

function getUserIpAddress()
   {
    $ip = getenv('HTTP_CLIENT_IP')?:
      getenv('HTTP_X_FORWARDED_FOR')?:
      getenv('HTTP_X_FORWARDED')?:
      getenv('HTTP_FORWARDED_FOR')?:
      getenv('HTTP_FORWARDED')?:
      getenv('REMOTE_ADDR');

      return $ip;
   }

我已经尝试输出以上所有内容，它们都显示为主机 linux mint 机器本地局域网 IP

由于挂载的驱动器上的权限冲突且不断变化（由于程序的开发结构而无法轻易解决），因此必须使用root权限运行脚本。

这可以完成sudo /usr/serverm1/lsintd并提供良好的结果。但是，我们希望在启动时自动运行此脚本。

由于权限不足，在启动时在我们的主用户下运行脚本会导致核心转储。因此，我们认为我们可以在 crontab 中将其设置为@reboot /usr/serverm1/lsintd（如此处所建议的，但是这会使用 root 的设置和配置运行它（这是不存在的）。

TLDR：我们如何才能像在启动时使用命令一样运行脚本sudo /usr/serverm1/lsintd？

我也尝试应用chmod u+x到二进制文件，但是这仍然会导致核心转储，就像使用常规权限运行一样（想法来自让用户运行具有 root 权限的脚本）。

旁注：我承认这在某种程度上是一个 XY 问题，但是由于我们服务器上一些其他服务的开发结构缓慢且组织不良，我们无法解决根本问题，必须解决这个问题。

我正在尝试在 Linux Mint 19.2 上设置 VPN。

我正在使用network-manager-strongswan所以我在下面添加了这个名为VPN的文件/etc/NetworkManager/system-connections/

[connection]
id=VPN
uuid=be1d4fd1-bbaa-4aa9-9fdc-e293bf16fe67
type=vpn
autoconnect=false
permissions=
timestamp=1582680217

[vpn]
address=vpn********.it
certificate=
encap=yes
ipcomp=no
method=eap
password-flags=0
proposal=no
user=user
virtual=yes
service-type=org.freedesktop.NetworkManager.strongswan

[vpn-secrets]
password=password

[ipv4]
dns-search=
ignore-auto-dns=true
ignore-auto-routes=true
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=ignore

连接很好，我可以在专用网络上使用 ssh 访问。最大的问题是连接后我无法上网，连接到 vpn 锁定所有其他地址。
我在配置中添加了ignore-auto-routes标志，为什么我的连接被锁定？

ip输出*

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:3c:de:1b brd ff:ff:ff:ff:ff:ff
    inet yy.16.209.132/24 brd yy.16.209.255 scope global dynamic noprefixroute ens33
       valid_lft 1656sec preferred_lft 1656sec
    inet yy.26.199.18/32 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::216e:bcc0:3b4f:44b2/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

路由 -n输出

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         yy.16.209.2    0.0.0.0         UG    20100  0        0 ens33
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 ens33
yy.16.209.0    0.0.0.0         255.255.255.0   U     100    0        0 ens33
yy.26.199.18   0.0.0.0         255.255.255.255 UH    50     0        0 ens33
yy.26.199.18   0.0.0.0         255.255.255.255 UH    100    0        0 ens33

ip xfrm 策略输出NO VPN

src yy.16.209.0/24 dst yy.16.209.0/24 
    dir fwd priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir in priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir out priority 175423 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir fwd priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir in priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir out priority 183615 
src fe80::/64 dst fe80::/64 
    dir fwd priority 134463 
src fe80::/64 dst fe80::/64 
    dir in priority 134463 
src fe80::/64 dst fe80::/64 
    dir out priority 134463 
src yy.26.199.18/32 dst 0.0.0.0/0 
    dir out priority 383615 
    tmpl src yy.16.209.132 dst xx.xx.124.58
        proto esp spi 0xc57cfb3f reqid 7 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir fwd priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 7 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir in priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 7 mode tunnel
src ::1/128 dst ::1/128 
    dir fwd priority 68927 
src ::1/128 dst ::1/128 
    dir in priority 68927 
src ::1/128 dst ::1/128 
    dir out priority 68927 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0

ip xfrm 策略输出UNDER VPN

src yy.26.199.18/32 dst 0.0.0.0/0 
    dir out priority 383615 
    tmpl src yy.16.209.132 dst xx.xx.124.58
        proto esp spi 0xc787ea42 reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir fwd priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir in priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel
src fe80::/64 dst fe80::/64 
    dir fwd priority 134463 
src fe80::/64 dst fe80::/64 
    dir in priority 134463 
src fe80::/64 dst fe80::/64 
    dir out priority 134463 
src ::1/128 dst ::1/128 
    dir fwd priority 68927 
src ::1/128 dst ::1/128 
    dir in priority 68927 
src ::1/128 dst ::1/128 
    dir out priority 68927 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir fwd priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir in priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir out priority 175423 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir fwd priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir in priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir out priority 183615 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0

比较输出我可以看到在连接 VPN 时添加了这一部分：

src yy.26.199.18/32 dst 0.0.0.0/0 
    dir out priority 383615 
    tmpl src yy.16.209.132 dst xx.xx.124.58
        proto esp spi 0xc787ea42 reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir fwd priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir in priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel

我尝试了很多东西，但没有运气。

• 试图将Metricyy.26.199.18 的值增加到 1050 和 1100。
• route del default&&ip route add default via yy.26.199.18 dev ens33
• 试图删除路由条目 yy.26.199.18 但没有任何变化

还有很多其他愚蠢的东西。

所以我想在通过 VPN 路由特定地址时将我的连接用于“普通互联网”。
有可能的？

我有一台运行 Linux Mint 12 的服务器，我想一直连接到 PPTP VPN。VPN 服务器非常可靠，但有时会掉线，所以我只想让它在 VPN 连接断开时禁用所有互联网活动。

我还想找出一种自动重启它的方法，但这不是什么大问题，因为这种情况很少发生。

我还希望始终能够从我的局域网连接到盒子，无论 VPN 是否启动。

这是正确连接 VPN 后我的 ifconfig 的样子：

eth0      Link encap:Ethernet  HWaddr 00:22:15:21:59:9a  
          inet addr:192.168.0.171  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::222:15ff:fe21:599a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:37389 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29028 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:37781384 (37.7 MB)  TX bytes:19281394 (19.2 MB)
          Interrupt:41 Base address:0x8000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1446 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1446 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:472178 (472.1 KB)  TX bytes:472178 (472.1 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.11.10  P-t-P:10.10.11.9  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:1368 (1.3 KB)  TX bytes:1812 (1.8 KB)

这是我在其他地方找到的一个 iptables 脚本，它似乎是为了解决我要解决的问题，但它最终阻止了所有访问，但我不确定我需要更改什么：

#!/bin/bash

#Set variables
IPT=/sbin/iptables
VPN=`ifconfig|perl -nE'/dr:(\S+)/&&say$1'|grep 10.`
LAN=192.168.0.0/24

#Flush rules
$IPT -F
$IPT -X

#Default policies and define chains
$IPT -P OUTPUT DROP
$IPT -P INPUT DROP
$IPT -P FORWARD DROP

#Allow input from LAN and tun0 ONLY
$IPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i tun0 -m conntrack --ctstate NEW -j ACCEPT
$IPT -A INPUT -s $LAN -m conntrack --ctstate NEW -j ACCEPT
$IPT -A INPUT -j DROP

#Allow output from lo and tun0 ONLY
$IPT -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o tun0 -m conntrack --ctstate NEW -j ACCEPT
$IPT -A OUTPUT -d $VPN -m conntrack --ctstate NEW -j ACCEPT
$IPT -A OUTPUT -j DROP
exit 0

谢谢你的帮助。

我网络上的一台机器（最新的 Mint 12 工作站）定期进入错误状态，其中所有传出的 SSH 连接都回退到密码身份验证，并出现错误“agent admitted failure to sign using the key”而不是使用密钥已配置的基于身份验证。

一旦处于这种状态，所有传出连接将在 100% 的时间内失败。传入的基于密钥的身份验证似乎可以正常连接。我尝试删除并重新生成密钥对并重新分配公钥，但错误仍然存​​在。

重新启动将暂时解决该错误，但它会在几天后再次出现。似乎与任何特定事件/工作流程都不一致，但我可能遗漏了一些东西。

还有其他人看到这个吗？