ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] Антивирус + файловый сервер
@ 2008-03-20 14:26 Alexander Kuprin
  2008-03-20 14:36 ` Konstantin A. Lepikhov
  0 siblings, 1 reply; 6+ messages in thread
From: Alexander Kuprin @ 2008-03-20 14:26 UTC (permalink / raw)
  To: Sysadmins

Добрый день всем.

Ситуация следующая: есть ftp-сервер, необходимо настроить антивирусную
проверку файлов, которые копируются на сервер. Порылся в Интернете,
нашёл два варианта:

Вариант 1-й. Использовать в качестве ftp-сервера proftpd и собирать к
нему модуль, работающий с clamav. Но как оказывается данный проект
(mod_clamav, http://www.uglyboxindustries.com/mod_clamav_new.html)
оттестирован для работы с версией 1.2.10, а последний стабильный релиз
proftpd уже 1.3.1. Получается игра в догонялки.

Вариант 2-й. Второй варинат предполагает использовать связку dazuko +
clamav. В этом случае требуется пересобрать ядро с опцией

CONFIG_SECURITY_CAPABILITIES=m

Всё замечательно работает, но есть одно "но" -- модуль dazuko
обрабатывает только события ON_OPEN и ON_EXEC. Событие ON_WRITE не
обрабатывается. Для получения возможности обрабатывать данное событие
необходимо патчить ядро (устанавливать поддержку RSBAC).

Вопрос такой -- кто-нибудь подобное делал (dazuko+RSBAC)?


-- 
WBR, Alexander Kuprin

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] Антивирус + файловый сервер
  2008-03-20 14:26 [Sysadmins] Антивирус + файловый сервер Alexander Kuprin
@ 2008-03-20 14:36 ` Konstantin A. Lepikhov
  2008-03-20 15:11   ` Alexander Kuprin
  0 siblings, 1 reply; 6+ messages in thread
From: Konstantin A. Lepikhov @ 2008-03-20 14:36 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Hi Alexander!

Thursday 20, at 04:26:35 PM you wrote:

> Добрый день всем.
> 
> Ситуация следующая: есть ftp-сервер, необходимо настроить антивирусную
> проверку файлов, которые копируются на сервер. Порылся в Интернете,
> нашёл два варианта:
> 
> Вариант 1-й. Использовать в качестве ftp-сервера proftpd и собирать к
> нему модуль, работающий с clamav. Но как оказывается данный проект
> (mod_clamav, http://www.uglyboxindustries.com/mod_clamav_new.html)
> оттестирован для работы с версией 1.2.10, а последний стабильный релиз
> proftpd уже 1.3.1. Получается игра в догонялки.
> 
> Вариант 2-й. Второй варинат предполагает использовать связку dazuko +
> clamav. В этом случае требуется пересобрать ядро с опцией
> 
> CONFIG_SECURITY_CAPABILITIES=m
> 
> Всё замечательно работает, но есть одно "но" -- модуль dazuko
> обрабатывает только события ON_OPEN и ON_EXEC. Событие ON_WRITE не
> обрабатывается. Для получения возможности обрабатывать данное событие
> необходимо патчить ядро (устанавливать поддержку RSBAC).
> 
> Вопрос такой -- кто-нибудь подобное делал (dazuko+RSBAC)?
Имхо лучший вариант - запатчить proftpd, поскольку в новых ядрах (2.6.24+)
CONFIG_SECURITY_CAPABILITIES=m отменили + переписали весь LSM API, т.е.
там получатся не просто догонялки, а патч с нуля.

-- 
WBR et al.


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] Антивирус + файловый сервер
  2008-03-20 14:36 ` Konstantin A. Lepikhov
@ 2008-03-20 15:11   ` Alexander Kuprin
  2008-03-20 15:23     ` Motsyo Gennadi aka Drool
  2008-03-20 19:10     ` Konstantin A. Lepikhov
  0 siblings, 2 replies; 6+ messages in thread
From: Alexander Kuprin @ 2008-03-20 15:11 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

> Имхо лучший вариант - запатчить proftpd, поскольку в новых ядрах (2.6.24+)
>  CONFIG_SECURITY_CAPABILITIES=m отменили + переписали весь LSM API, т.е.
>  там получатся не просто догонялки, а патч с нуля.

Понятно. Буду пропобовать. Хотя остаётся ещё один вариант -- запускать
clamav по крону, но это не совсем то.

Возможно, есть ещё варианты использования clamav для проверки файлов
на лету, буду признателен, если читающие данную расылку намекнут в
какую сторону двигаться.

-- 
WBR, Alexander Kuprin

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] Антивирус + файловый сервер
  2008-03-20 15:11   ` Alexander Kuprin
@ 2008-03-20 15:23     ` Motsyo Gennadi aka Drool
  2008-03-20 19:10     ` Konstantin A. Lepikhov
  1 sibling, 0 replies; 6+ messages in thread
From: Motsyo Gennadi aka Drool @ 2008-03-20 15:23 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Alexander Kuprin пишет:
> Возможно, есть ещё варианты использования clamav для проверки файлов
> на лету, буду признателен, если читающие данную расылку намекнут в
> какую сторону двигаться.

	Если траффик идет через squid - есть у меня пакетик squidclamav, можно 
проверять файлы, проходящие через сквид.


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] Антивирус + файловый сервер
  2008-03-20 15:11   ` Alexander Kuprin
  2008-03-20 15:23     ` Motsyo Gennadi aka Drool
@ 2008-03-20 19:10     ` Konstantin A. Lepikhov
  2008-03-27 12:43       ` Alexander Kuprin
  1 sibling, 1 reply; 6+ messages in thread
From: Konstantin A. Lepikhov @ 2008-03-20 19:10 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Hi Alexander!

Thursday 20, at 05:11:50 PM you wrote:

> > Имхо лучший вариант - запатчить proftpd, поскольку в новых ядрах (2.6.24+)
> >  CONFIG_SECURITY_CAPABILITIES=m отменили + переписали весь LSM API, т.е.
> >  там получатся не просто догонялки, а патч с нуля.
> 
> Понятно. Буду пропобовать. Хотя остаётся ещё один вариант -- запускать
> clamav по крону, но это не совсем то.
> 
> Возможно, есть ещё варианты использования clamav для проверки файлов
> на лету, буду признателен, если читающие данную расылку намекнут в
> какую сторону двигаться.
на лету - это inotify(7). В сизифе еще были всякие тулзы для данного
интерфейса.

-- 
WBR et al.


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] Антивирус + файловый сервер
  2008-03-20 19:10     ` Konstantin A. Lepikhov
@ 2008-03-27 12:43       ` Alexander Kuprin
  0 siblings, 0 replies; 6+ messages in thread
From: Alexander Kuprin @ 2008-03-27 12:43 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

20.03.08, Konstantin A. Lepikhov<lakostis@unsafe.ru> написал(а):
> на лету - это inotify(7). В сизифе еще были всякие тулзы для данного
>  интерфейса.

Нашёл в Сети проект inoclam (http://inoclam.sourceforge.net/).
Насколько работоспособно сказать пока трудно, надо будет посомтреть.

-- 
WBR, Alexander Kuprin

^ permalink raw reply	[flat|nested] 6+ messages in thread

end of thread, other threads:[~2008-03-27 12:43 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-03-20 14:26 [Sysadmins] Антивирус + файловый сервер Alexander Kuprin
2008-03-20 14:36 ` Konstantin A. Lepikhov
2008-03-20 15:11   ` Alexander Kuprin
2008-03-20 15:23     ` Motsyo Gennadi aka Drool
2008-03-20 19:10     ` Konstantin A. Lepikhov
2008-03-27 12:43       ` Alexander Kuprin

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git