ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Re: I: new package (amavisd-new)
  @ 2003-12-17 19:19 ` Victor Forsyuk
  2003-12-18  9:19   ` Konstantin Lepikhov
    0 siblings, 2 replies; 4+ messages in thread
From: Victor Forsyuk @ 2003-12-17 19:19 UTC (permalink / raw)
  To: Алексей
	Шабалин
  Cc: ALT Devel disscusion list

On Mon, Dec 15, 2003 at 02:37:08AM +0400, Алексей Шабалин wrote:
> 
> В  amavisd есть пара проблем:
> 
> я настроил, что amavid работает от пользователя amavis.
> а вот clamav от пользователя mail(это не я настроил :)).

Естественно. Было бы странно, если бы clamav работал от
пользователя amavis. :)

> поэтому пока проверка антивирусом происходит через сканер,
> а не демоном. антивирус желательно запускать от того же пользователя,
> что и amavisd. 

Ok. Беру, что есть под руками - свежие спеки PLD (я их из PLD'шного cvs
беру). Там amavisd работает от пользователя amavis, а clamav - от
пользователя clamav. Не вижу принципиальной разницы.

> HO
> Считаю, что amavisd и clamd не должны работать от пользователя mail
> (хотя так и проще).  

Аргументируйте.

> Нужно найти какой-то компромис между пользователями exim, которые могут
> обоитись и без amavisd и текущим clamav; и пользователями postfix - для
> которых нужен amavisd и измененый clamav.

Поясните - почему Вы считаете, что для postfix нужен измененный clamav?



^ permalink raw reply	[flat|nested] 4+ messages in thread

* [devel] Re: I: new package (amavisd-new)
  2003-12-17 19:19 ` [devel] Re: I: new package (amavisd-new) Victor Forsyuk
@ 2003-12-18  9:19   ` Konstantin Lepikhov
  2003-12-18 16:03     ` Victor Forsyuk
    1 sibling, 1 reply; 4+ messages in thread
From: Konstantin Lepikhov @ 2003-12-18  9:19 UTC (permalink / raw)
  To: ALT Devel discussion list

Hi Victor!

Wednesday 17, at 09:19:46 PM you wrote:

> On Mon, Dec 15, 2003 at 02:37:08AM +0400, Алексей Шабалин wrote:
> > 
> > В  amavisd есть пара проблем:
> > 
> > я настроил, что amavid работает от пользователя amavis.
> > а вот clamav от пользователя mail(это не я настроил :)).
> 
> Естественно. Было бы странно, если бы clamav работал от
> пользователя amavis. :)
ничего странного здесь нет, почитайте сначала документацию к amavis

> 
> > поэтому пока проверка антивирусом происходит через сканер,
> > а не демоном. антивирус желательно запускать от того же пользователя,
> > что и amavisd. 
> 
> Ok. Беру, что есть под руками - свежие спеки PLD (я их из PLD'шного cvs
> беру). Там amavisd работает от пользователя amavis, а clamav - от
> пользователя clamav. Не вижу принципиальной разницы.
> 
тогда каким макаром amavisd может писать в socket от clamd?

<skip>

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR



^ permalink raw reply	[flat|nested] 4+ messages in thread

* [devel] Re: I: new package (amavisd-new)
  @ 2003-12-18 15:59     ` Victor Forsyuk
  0 siblings, 0 replies; 4+ messages in thread
From: Victor Forsyuk @ 2003-12-18 15:59 UTC (permalink / raw)
  To: Alexey Shabalin; +Cc: ALT Devel disscusion list

On Thu, Dec 18, 2003 at 01:16:49AM +0300, Alexey Shabalin wrote:

> >>поэтому пока проверка антивирусом происходит через сканер,
> >>а не демоном. антивирус желательно запускать от того же пользователя,
> >>что и amavisd. 
> >Ok. Беру, что есть под руками - свежие спеки PLD (я их из PLD'шного cvs
> >беру). Там amavisd работает от пользователя amavis, а clamav - от
> >пользователя clamav. Не вижу принципиальной разницы.
> Но сизифовый clamd работает от пользователя mail

Да. Повторюсь - не вижу принципиальной разницы между нашим раскладом
по пользователям и тем, что в PLD. И там и там amavis работает от
одного пользователя, clamav - от другого.

> >>HO
> >>Считаю, что amavisd и clamd не должны работать от пользователя mail
> >>(хотя так и проще).  
> >Аргументируйте.
> Котлеты отдельно, мухи отдельно. :)

Это не аргумент, а цитирование аксиом житейской мудрости с попыткой
найти им соответствие в технических решениях. :)

> Надо посмотреть что в системе доступно пользователю mail(что 
> теоретически там можно испортить)

О! Вот это уже более конкретный разговор. Пользователю mail доступно
(принадлежит пользователю, доступно по записи) только то, что касается
почты (спул, почтовые ящики). Ничего другого процесс, обладающий
правами этого пользователя испортить не в состоянии.

Но извините, всё это доступно тому пользователю, от которого работает
MTA, как бы этот пользователь ни назывался.

> Вы сами выше привели пример из PLD(пользователь mail там не упоминался).

Я всего лишь отреагировал на утверждение "антивирус желательно запускать от
того же пользователя, что и amavisd" и жалобу на то, что у нас clamav
"неправильный" :)

На самом деле я готов согласиться с утверждением в форме "amavisd _проще_
запускать от того же пользователя, что и антивирус". Более того, убеждён
в том, что весь комплекс MTA + антивирус + антиспам-фильтр наиболее
осмысленно настроить на одного пользователя. Зачем усложнять?

Подумайте, не будет ли лучшим решением работа amavisd от пользователся mail?

> >>Нужно найти какой-то компромис между пользователями exim, которые могут
> >>обоитись и без amavisd и текущим clamav; и пользователями postfix - для
> >>которых нужен amavisd и измененый clamav.
> >Поясните - почему Вы считаете, что для postfix нужен измененный clamav?
> для postfix нужен amavisd, а для amavisd нужен измененный clamav.
> измененный - значит, что amavisd без проблем доберется до сокета clamav.

Если amavisd общается с сокетом clamav, почему бы ему и не работать
от того же пользователя?

> exim может работать ,и с clamav ,и с spamassassin самостоятельно,
> а postfix через ж.., извините, amavisd

Увы, увы... Для применения в боевых условиях постфиксу нужны костыли. :)

> P.S: Страшно мне запускать clamd и amavisd от пользователя mail,может 
> просто имя mail пугает, а на самом деле здесь ничего нет.

Хммм... Может и пугает. :)

Посмотрите на ситуацию с такой вот стороны. В любом случае amavisd, как и
_любая другая программа в цепочке работы с почтой_ имеет по роду своей
работы достаточно прав, чтобы сделать с этой почтой много чего - изменить,
отказать в приеме и т.п. В том числе и, будучи скомпрометированной,
"испортить" почту, выполнить непредусмотренные конфигурацией и
несанкционированные действия. В таком случае какой в смысл в создании
каждой из этих программ отдельного пользователя?




^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [devel] Re: I: new package (amavisd-new)
  2003-12-18  9:19   ` Konstantin Lepikhov
@ 2003-12-18 16:03     ` Victor Forsyuk
  0 siblings, 0 replies; 4+ messages in thread
From: Victor Forsyuk @ 2003-12-18 16:03 UTC (permalink / raw)
  To: ALT Devel discussion list

On Thu, Dec 18, 2003 at 12:19:38PM +0300, Konstantin Lepikhov wrote:
> > > 
> > > я настроил, что amavid работает от пользователя amavis.
> > > а вот clamav от пользователя mail(это не я настроил :)).
> > 
> > Естественно. Было бы странно, если бы clamav работал от
> > пользователя amavis. :)
> ничего странного здесь нет, почитайте сначала документацию к amavis

Мне amavis ни к чему, я счастливый пользователь экзима. :)


> > > поэтому пока проверка антивирусом происходит через сканер,
> > > а не демоном. антивирус желательно запускать от того же пользователя,
> > > что и amavisd. 
> > 
> > Ok. Беру, что есть под руками - свежие спеки PLD (я их из PLD'шного cvs
> > беру). Там amavisd работает от пользователя amavis, а clamav - от
> > пользователя clamav. Не вижу принципиальной разницы.
> > 
> тогда каким макаром amavisd может писать в socket от clamd?

Если они работают от одного пользователя - этот пользователь и есть
искомый макар.



^ permalink raw reply	[flat|nested] 4+ messages in thread

end of thread, other threads:[~2003-12-18 16:03 UTC | newest]

Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-12-17 19:19 ` [devel] Re: I: new package (amavisd-new) Victor Forsyuk
2003-12-18  9:19   ` Konstantin Lepikhov
2003-12-18 16:03     ` Victor Forsyuk
2003-12-18 15:59     ` Victor Forsyuk

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git