ClamAV

Сообщение **corvax** » 21 сен 2004, 12:31

gorlum писал(а):вроде поставил помогло
configure с опцией --enable-milter

именно эта опция устанавливается при сборке порта с WITH_MILTER=YES:
grep -A 4 -B 4 -e --enable-milter /usr/ports/security/clamav/Makefile

gorlum писал(а):а не поделится ли кто нить рабочими скриптами запуска всего этого и
настройками clamav.conf

рабочие скрипты входят в состав package и устанавливаются при make install в каталоге порта. максимум что потребуется - это заглянуть внутрь /usr/local/etc/rc.d/clamav-milter.sh, посмотреть, какие переменные он читает из /etc/rc.conf и заменить их значения, если не устраивают дефолтные

а на счет конфига - а с чем проблемы то? там все более-менее прозрачно в дефолтовом конфиге, минимум правок потребуется для заточки под работу на конкретно выбранном хосте

gorlum · Сообщение **gorlum** » 22 сен 2004, 04:40

ну вот вроде все работает спасибо всем за помощь
последний вопрос, как сделать чтоб заместо письма с вирусом пользователю отправлялось, что-то типа письмо не могет быть доставлено т.к. заражено вирусом таким-то, чего-то не получается у меня, и вообще где можно у него посмотреть статистику какую-нибудь.
И как обновить вирусные базы?

Сообщение **corvax** » 22 сен 2004, 10:08

gorlum писал(а):ну вот вроде все работает спасибо всем за помощь
последний вопрос, как сделать чтоб заместо письма с вирусом пользователю отправлялось, что-то типа письмо не могет быть доставлено т.к. заражено вирусом таким-то, чего-то не получается у меня,

судя по man clamav-milter и его исходникам, оповещения получателей не предусмотрены. можно самостоятельно решить эту проблему средствами MDA, обрабатывая оповещения postmaster'а

gorlum писал(а):и вообще где можно у него посмотреть статистику какую-нибудь.

в clamd.log и maillog есть все, что нужно. грепайте, сортируйте и читайте

gorlum писал(а):И как обновить вирусные базы?

freshclam

gorlum · Сообщение **gorlum** » 22 сен 2004, 10:34

Все спасибо. Работает.
Буду потихоньку ковырять дальше.

PomidorOFF · Сообщение **PomidorOFF** » 25 окт 2004, 14:46

Помогите советом. Недавно в логах freshclam появилась такая запись:
Received signal 14, wake up
ClamAV update process started at Mon Oct 18 19:04:17 2004
main.cvd is up to date (version: 27, sigs: 23982, f-level: 2, builder: tomek)
daily.cvd updated (version: 535, sigs: 1272, f-level: 3, builder: trog)
WARNING: Your ClamAV installation is OUTDATED - please update immediately !
WARNING: Current functionality level = 2, required = 3
Database updated (25254 signatures) from database.clamav.net (147.229.3.16).
Clamd successfully notified about the update.
Я обновил порт clamav-devel через cvsup и переставил его, все равно пишет:
freshclam daemon devel-20041020 (OS: freebsd4.10, ARCH: i386, CPU: i386)
ClamAV update process started at Mon Oct 25 12:04:06 2004
main.cvd is up to date (version: 27, sigs: 23982, f-level: 2, builder: tomek)
daily.cvd updated (version: 549, sigs: 1583, f-level: 3, builder: ccordes)
WARNING: Your ClamAV installation is OUTDATED - please update immediately !
WARNING: Current functionality level = 2, required = 3
Database updated (1583 signatures) from database.clamav.net (213.184.16.3).
Clamd successfully notified about the update.
Как же его обновить?

Andrey Y. Ostanovsky

PomidorOFF писал(а):Как же его обновить?

Ну, если ставилось из портов - то сначала обновить порты через cvsup, после чего обновить сам clamav чем-то типа portupgrade -Rvi clamav. Правда, для этого еще и portupgrade из портов надо поставить.

Правда, даже обновленный - один хрен падает периодически.

PomidorOFF · Сообщение **PomidorOFF** » 26 окт 2004, 10:04

Andrey Y. Ostanovsky
да в том то и дело, что обновлены порты, но в репозитории нет еще новой версии. :(
Вообще то постоянно у них плохая поддержка портов - уже неоднократно ситуация с отсутствием в портах новой версии встречалась.
portupgrade естественно установлен, и первый раз ним обновлял, просто думал, может он мильтер не собрал новый или что, и поэтому заново переставил.
А насчет падений - тут причина не в нем, у меня он стабильно всегда работал на нескольких серверах.

Andrey Y. Ostanovsky

PomidorOFF писал(а):Andrey Y. Ostanovsky
да в том то и дело, что обновлены порты, но в репозитории нет еще новой версии. :(.

Это Вы кому рассказываете?

# pkg_info|grep clam
clamav-0.80 Command line virus scanner written entirely in C

Правда, там был нюанс при обновлении. По умолчанию оно собирается без clamav-milter (как будто он кому-то нужен без мильтера).

Там надо какую-то переменную для сборки с MILTER установить (see Makefile), после чего обновить с ключиком FORCE_PKG... и все будет нормально работать.

PomidorOFF писал(а): Вообще то постоянно у них плохая поддержка портов - уже неоднократно ситуация с отсутствием в портах новой версии встречалась.

Подозреваю, что это, все-таки, руки.

PomidorOFF писал(а): portupgrade естественно установлен, и первый раз ним обновлял, просто думал, может он мильтер не собрал новый или что, и поэтому заново переставил.
А насчет падений - тут причина не в нем, у меня он стабильно всегда работал на нескольких серверах.

У меня тоже "на нескольких серверах" работает нормально, а на одном (под приличной нагрузкой) - регулярно сыплет в логе:
> pid 31688 (clamav-milter), uid 106: exited on signal 11
> pid 37113 (clamav-milter), uid 106: exited on signal 11
> pid 38490 (clamav-milter), uid 106: exited on signal 11
> pid 38492 (clamav-milter), uid 106: exited on signal 11
> pid 38498 (clamav-milter), uid 106: exited on signal 11

Сообщение **corvax** » 26 окт 2004, 10:42

Andrey Y. Ostanovsky писал(а):
PomidorOFF писал(а):Andrey Y. Ostanovsky
да в том то и дело, что обновлены порты, но в репозитории нет еще новой версии. :(.
Это Вы кому рассказываете?
# pkg_info|grep clam
clamav-0.80 Command line virus scanner written entirely in C

в портах devel два месяца не обновлялся

Andrey Y. Ostanovsky писал(а):Правда, там был нюанс при обновлении. По умолчанию оно собирается без clamav-milter (как будто он кому-то нужен без мильтера).

всем, у кого MTA не sendmail

Andrey Y. Ostanovsky писал(а):Там надо какую-то переменную для сборки с MILTER установить (see Makefile), после чего обновить с ключиком FORCE_PKG... и все будет нормально работать.

PomidorOFF писал(а): Вообще то постоянно у них плохая поддержка портов - уже неоднократно ситуация с отсутствием в портах новой версии встречалась.
Подозреваю, что это, все-таки, руки.

grep ^PORTVERSION /usr/ports/security/clamav-devel/Makefile

Andrey Y. Ostanovsky писал(а):
PomidorOFF писал(а): portupgrade естественно установлен, и первый раз ним обновлял, просто думал, может он мильтер не собрал новый или что, и поэтому заново переставил.
А насчет падений - тут причина не в нем, у меня он стабильно всегда работал на нескольких серверах.
У меня тоже "на нескольких серверах" работает нормально, а на одном (под приличной нагрузкой) - регулярно сыплет в логе:
> pid 31688 (clamav-milter), uid 106: exited on signal 11
> pid 37113 (clamav-milter), uid 106: exited on signal 11
> pid 38490 (clamav-milter), uid 106: exited on signal 11
> pid 38492 (clamav-milter), uid 106: exited on signal 11
> pid 38498 (clamav-milter), uid 106: exited on signal 11

PomidorOFF · Сообщение **PomidorOFF** » 26 окт 2004, 11:38

да уж, corvax помоему все сказал. насчет рук вы правы - только не мои.

у меня то в корку ничего не валится.

Сообщение **corvax** » 26 окт 2004, 11:41

PomidorOFF писал(а):да уж, corvax помоему все сказал. насчет рук вы правы - только не мои.
у меня то в корку ничего не валится.

на счет корки - тут дело не в руках, а в самом таки clamav'е, вернее в clamav-milter

PomidorOFF · Сообщение **PomidorOFF** » 26 окт 2004, 14:45

вопрос номер 2:
при переустановке clamav'а заново ерезаписался скрипт запуска, забыл с какими ключами запускал. :(
раньше при отлове вируса мне приходило уведомление вида:
The message i9IBZdcb036275 sent from <***@***.ua> to
<****@mydomen.ua>
contained Worm.Mydoom.M and has not been delivered.

The message in question has been quarantined as /var/mail/viruses//041018/msg.fEurzO
а теперь просто:
The message i9IBZdcb036275 sent from <***@***.ua> to
<****@mydomen.ua>
contained Worm.Mydoom.M and has not been delivered.

Хотя флаги стоят:
clamav_milter_flags=${clamav_milter_flags:-"--postmaster-only --quarantine-dir=/var/mail/viruses --local --outgoing --max-children=50"}
и в карантин собственно ложит письмо, просто мне не говорит куда.

Сообщение **corvax** » 26 окт 2004, 15:13

PomidorOFF писал(а):вопрос номер 2:
при переустановке clamav'а заново ерезаписался скрипт запуска, забыл с какими ключами запускал. :(

а нефиг было ручками ключи вписывать в стартовый скрипт
их надо вписывать в /etc/rc.conf

список переменных можно посмотреть внутри стартового скрипта

PomidorOFF писал(а):раньше при отлове вируса мне приходило уведомление вида:
The message i9IBZdcb036275 sent from <***@***.ua> to
<****@mydomen.ua>
contained Worm.Mydoom.M and has not been delivered.

The message in question has been quarantined as /var/mail/viruses//041018/msg.fEurzO
а теперь просто:
The message i9IBZdcb036275 sent from <***@***.ua> to
<****@mydomen.ua>
contained Worm.Mydoom.M and has not been delivered.

Хотя флаги стоят:
clamav_milter_flags=${clamav_milter_flags:-"--postmaster-only --quarantine-dir=/var/mail/viruses --local --outgoing --max-children=50"}
и в карантин собственно ложит письмо, просто мне не говорит куда.

где именно прописано это значение этой переменной?
с какой на какую версию был произведен апгрейд?

PomidorOFF · Сообщение **PomidorOFF** » 26 окт 2004, 16:35

а нефиг было ручками ключи вписывать в стартовый скрипт
их надо вписывать в /etc/rc.conf

ну не знал :oops: , а синтаксис?

где именно прописано это значение этой переменной?

с стартовом скрипте
# cat clamav-milter.sh
...
# set defaults

clamav_milter_enable=${clamav_milter_enable:-"NO"}
clamav_milter_socket=${clamav_milter_socket:-"/var/run/clamav/clmilter.sock"}
clamav_milter_flags=${clamav_milter_flags:-"--postmaster-only --quarantine-dir=/var/mail/viruses --local --outgoing --max-children=50"}
выделенное я добавил

с какой на какую версию был произведен апгрейд?

не помню какая была, где то июньская версия, стала:
ns# grep ^PORTVERSION /usr/ports/security/clamav-devel/Makefile
PORTVERSION= 20040826

Сообщение **corvax** » 26 окт 2004, 19:18

PomidorOFF писал(а):
а нефиг было ручками ключи вписывать в стартовый скрипт
их надо вписывать в /etc/rc.conf
ну не знал :oops: , а синтаксис?

clamav_milter_enable="YES"
clamav_milter_socket="/var/run/clamav/clmilter.sock"
clamav_milter_flags="--postmaster-only"

сами переменные и дефолтовые значения можно посмотреть в стартовых скриптах. эти я вообще взял из этой же мессаги ниже

PomidorOFF писал(а):
где именно прописано это значение этой переменной?
с стартовом скрипте
# cat clamav-milter.sh
...
# set defaults

clamav_milter_enable=${clamav_milter_enable:-"NO"}
clamav_milter_socket=${clamav_milter_socket:-"/var/run/clamav/clmilter.sock"}
clamav_milter_flags=${clamav_milter_flags:-"--postmaster-only --quarantine-dir=/var/mail/viruses --local --outgoing --max-children=50"}
выделенное я добавил

эти значения будут использованы, если в /etc/rc.conf не будут прописаны другие. это дефолтовые значения

PomidorOFF писал(а):
с какой на какую версию был произведен апгрейд?
не помню какая была, где то июньская версия, стала:
ns# grep ^PORTVERSION /usr/ports/security/clamav-devel/Makefile
PORTVERSION= 20040826

судя по коду милтера, в оповещение должна добавляться строка

Код: Выделить всё

The message in question has been quarantined as имя_файл_в_карантине

если имя файла это не пустое. в общем, сначала надо бы разобраться, с какими параметрами запущен милтер

что возвращает
ps axwu | grep clamav-milter
?

ClamAV

Кто сейчас на конференции