[Ra] amavis-new, clamav i mks - pytań kilka przed paczkowaniem
Andrzej Zawadzki
zawadaa w wp.pl
Czw, 28 Sie 2003, 12:31:26 CEST
Mateusz Korniak wrote:
> On Thursday 28 of August 2003 12:10, Andrzej Zawadzki wrote:
>
>
>>>8. Wstawienie do configu amavis'a jako primiary scaner clamav, a
>>>przesunięcie testowania plikowego przez mks32 do secondary (pozostaje w
>>>primary scanowanie poprzez mksd )
>>>
>>>Daje to w efekcie rozsądniejszy (IMHO) zestaw AV scannerów:
>>>
>>>sie 27 17:17:30 beauty amavis[25865]: Using internal av scanner code for
>>>(primary) Clam Antivirus-clamd
>>>sie 27 17:17:30 beauty amavis[25865]: Found primary av scanner MkS_Vir
>>>Daemon for Linux at /usr/bin/mkschk
>>>sie 27 17:17:30 beauty amavis[25865]: Found secondary av scanner Clam
>>>Antivirus - clamscan at /usr/bin/clamscan
>>>sie 27 17:17:30 beauty amavis[25865]: Found secondary av scanner MkS_Vir
>>>for Linux (beta) at /usr/bin/mks32
>>
>>Jak to działa w praktyce?
>
>
> Mail jest testowany przez _wszystkie_ scanery na danym poziomie (pri/sec).
> Jesli któryś ze scanerów zwróci że to wirus -> mail do virusów
> Jeśli żaden ze scanerów (na danym poziomie) nie zwróci że mail OK (bo np nie
> działają) testowanie na poziomie niższym.
> Gdy nie ma poziomu niższego (bo to sec) -> mail do kwarantanny.
To jak dla mnie OK
>>Głównie chodzi o następujący przypadek:
>>Clamav znalazł wira czyli przekazał amavisowi, że wir jest, to już nie
>>daje (mam nadzieję) mksowi do sprawdzania (bo po co)?
>
>
> Daje wszyskim. ;)
A to już nie bardzo...
>>Jak tak jest to
>>trzebaby zobaczyć co lepiej łapie i tego na pierwszy ogień ;-)
>
>
> No chyba tak sie nie da. ( Ja nie potrafie a i wole aby na temat maila
> wypowiedziały się wszystkie AV )
Tylko, że to tak naprawdę nic nie da... (e tym przypadku) bo przecież
logika jest OR a nie AND (wirus), no chyba, że dasz potem znać mksowi,
że mają stere bazy ;-)
>>Mam taką: Ostatnio po uaktualnić clamava, bazy wirusów również chciały
>>się uaktualnić. Wiem, wiem jestem adminem i mam hold w poldku ale czy
>>istniej możliwośc żeby rpm wykrył, że moje bazy są świeższe niż te w
>>pakiecie i zrobił virus.db-new albo nic nie zrobił (coś jak --justdb) -
>>bo przez nieuwagę można zrobić sobie kuku ;-)
>>Jeżeli rpm to umie to poproszę ;-)
>
>
> Chyba umie - bo chyba robi tak z configami.
> Jeśli był modyfikowany - zostawia.
> Jeśli nie był - podmienia.
Tylko jak on to sprawdza? Chyba może tylko do tego co ma w nowym
pakiecie *teraz* a to za mało bo stara baza (jak ktoś nie ma updetów
on-line) ma inny rozmiar od tej w nowym pakiecie i nowsza też ma inny
rozmiar od tej w pakiecie...
Chyba tylko czas modyfikacji wchodzi w rachubę...
Ekspert od rpma proszony ;-)
> (Dobrze by było aby też nie zostawiał baz jako *.rpmnew).
> Kto podpowie jak to zrobić ?
Jak się da to super - wydaje mi się, że to ważne...
--
Andrzej Zawadzki
Więcej informacji o liście dyskusyjnej pld-devel-pl