* [Sysadmins] Антивирус + файловый сервер
@ 2008-03-20 14:26 Alexander Kuprin
2008-03-20 14:36 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 6+ messages in thread
From: Alexander Kuprin @ 2008-03-20 14:26 UTC (permalink / raw)
To: Sysadmins
Добрый день всем.
Ситуация следующая: есть ftp-сервер, необходимо настроить антивирусную
проверку файлов, которые копируются на сервер. Порылся в Интернете,
нашёл два варианта:
Вариант 1-й. Использовать в качестве ftp-сервера proftpd и собирать к
нему модуль, работающий с clamav. Но как оказывается данный проект
(mod_clamav, http://www.uglyboxindustries.com/mod_clamav_new.html)
оттестирован для работы с версией 1.2.10, а последний стабильный релиз
proftpd уже 1.3.1. Получается игра в догонялки.
Вариант 2-й. Второй варинат предполагает использовать связку dazuko +
clamav. В этом случае требуется пересобрать ядро с опцией
CONFIG_SECURITY_CAPABILITIES=m
Всё замечательно работает, но есть одно "но" -- модуль dazuko
обрабатывает только события ON_OPEN и ON_EXEC. Событие ON_WRITE не
обрабатывается. Для получения возможности обрабатывать данное событие
необходимо патчить ядро (устанавливать поддержку RSBAC).
Вопрос такой -- кто-нибудь подобное делал (dazuko+RSBAC)?
--
WBR, Alexander Kuprin
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Антивирус + файловый сервер
2008-03-20 14:26 [Sysadmins] Антивирус + файловый сервер Alexander Kuprin
@ 2008-03-20 14:36 ` Konstantin A. Lepikhov
2008-03-20 15:11 ` Alexander Kuprin
0 siblings, 1 reply; 6+ messages in thread
From: Konstantin A. Lepikhov @ 2008-03-20 14:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Alexander!
Thursday 20, at 04:26:35 PM you wrote:
> Добрый день всем.
>
> Ситуация следующая: есть ftp-сервер, необходимо настроить антивирусную
> проверку файлов, которые копируются на сервер. Порылся в Интернете,
> нашёл два варианта:
>
> Вариант 1-й. Использовать в качестве ftp-сервера proftpd и собирать к
> нему модуль, работающий с clamav. Но как оказывается данный проект
> (mod_clamav, http://www.uglyboxindustries.com/mod_clamav_new.html)
> оттестирован для работы с версией 1.2.10, а последний стабильный релиз
> proftpd уже 1.3.1. Получается игра в догонялки.
>
> Вариант 2-й. Второй варинат предполагает использовать связку dazuko +
> clamav. В этом случае требуется пересобрать ядро с опцией
>
> CONFIG_SECURITY_CAPABILITIES=m
>
> Всё замечательно работает, но есть одно "но" -- модуль dazuko
> обрабатывает только события ON_OPEN и ON_EXEC. Событие ON_WRITE не
> обрабатывается. Для получения возможности обрабатывать данное событие
> необходимо патчить ядро (устанавливать поддержку RSBAC).
>
> Вопрос такой -- кто-нибудь подобное делал (dazuko+RSBAC)?
Имхо лучший вариант - запатчить proftpd, поскольку в новых ядрах (2.6.24+)
CONFIG_SECURITY_CAPABILITIES=m отменили + переписали весь LSM API, т.е.
там получатся не просто догонялки, а патч с нуля.
--
WBR et al.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Антивирус + файловый сервер
2008-03-20 14:36 ` Konstantin A. Lepikhov
@ 2008-03-20 15:11 ` Alexander Kuprin
2008-03-20 15:23 ` Motsyo Gennadi aka Drool
2008-03-20 19:10 ` Konstantin A. Lepikhov
0 siblings, 2 replies; 6+ messages in thread
From: Alexander Kuprin @ 2008-03-20 15:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Имхо лучший вариант - запатчить proftpd, поскольку в новых ядрах (2.6.24+)
> CONFIG_SECURITY_CAPABILITIES=m отменили + переписали весь LSM API, т.е.
> там получатся не просто догонялки, а патч с нуля.
Понятно. Буду пропобовать. Хотя остаётся ещё один вариант -- запускать
clamav по крону, но это не совсем то.
Возможно, есть ещё варианты использования clamav для проверки файлов
на лету, буду признателен, если читающие данную расылку намекнут в
какую сторону двигаться.
--
WBR, Alexander Kuprin
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Антивирус + файловый сервер
2008-03-20 15:11 ` Alexander Kuprin
@ 2008-03-20 15:23 ` Motsyo Gennadi aka Drool
2008-03-20 19:10 ` Konstantin A. Lepikhov
1 sibling, 0 replies; 6+ messages in thread
From: Motsyo Gennadi aka Drool @ 2008-03-20 15:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexander Kuprin пишет:
> Возможно, есть ещё варианты использования clamav для проверки файлов
> на лету, буду признателен, если читающие данную расылку намекнут в
> какую сторону двигаться.
Если траффик идет через squid - есть у меня пакетик squidclamav, можно
проверять файлы, проходящие через сквид.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Антивирус + файловый сервер
2008-03-20 15:11 ` Alexander Kuprin
2008-03-20 15:23 ` Motsyo Gennadi aka Drool
@ 2008-03-20 19:10 ` Konstantin A. Lepikhov
2008-03-27 12:43 ` Alexander Kuprin
1 sibling, 1 reply; 6+ messages in thread
From: Konstantin A. Lepikhov @ 2008-03-20 19:10 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Alexander!
Thursday 20, at 05:11:50 PM you wrote:
> > Имхо лучший вариант - запатчить proftpd, поскольку в новых ядрах (2.6.24+)
> > CONFIG_SECURITY_CAPABILITIES=m отменили + переписали весь LSM API, т.е.
> > там получатся не просто догонялки, а патч с нуля.
>
> Понятно. Буду пропобовать. Хотя остаётся ещё один вариант -- запускать
> clamav по крону, но это не совсем то.
>
> Возможно, есть ещё варианты использования clamav для проверки файлов
> на лету, буду признателен, если читающие данную расылку намекнут в
> какую сторону двигаться.
на лету - это inotify(7). В сизифе еще были всякие тулзы для данного
интерфейса.
--
WBR et al.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Антивирус + файловый сервер
2008-03-20 19:10 ` Konstantin A. Lepikhov
@ 2008-03-27 12:43 ` Alexander Kuprin
0 siblings, 0 replies; 6+ messages in thread
From: Alexander Kuprin @ 2008-03-27 12:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
20.03.08, Konstantin A. Lepikhov<lakostis@unsafe.ru> написал(а):
> на лету - это inotify(7). В сизифе еще были всякие тулзы для данного
> интерфейса.
Нашёл в Сети проект inoclam (http://inoclam.sourceforge.net/).
Насколько работоспособно сказать пока трудно, надо будет посомтреть.
--
WBR, Alexander Kuprin
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2008-03-27 12:43 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-03-20 14:26 [Sysadmins] Антивирус + файловый сервер Alexander Kuprin
2008-03-20 14:36 ` Konstantin A. Lepikhov
2008-03-20 15:11 ` Alexander Kuprin
2008-03-20 15:23 ` Motsyo Gennadi aka Drool
2008-03-20 19:10 ` Konstantin A. Lepikhov
2008-03-27 12:43 ` Alexander Kuprin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git