- 1 名前:名無しさん@お腹いっぱい。 [03/03/02 04:33]
- UNIX用のアンチウィルスソフトを語るスレ。
UNIX向けのウィルスは少なくてもメールサーバーや
ファイルサーバー向けに大活躍です。
- 103 名前:名無しさん@お腹いっぱい。 mailto:sage [03/11/15 06:51]
- clamav バージョン0.65がリリースされました。
このバージョンからウイルスデータベースのフォーマットが新しくなりました。
新しいフォーマットは今までのものとGPL2のCOPYLIGHTファイルを
tar.gzにまとめてそれに電子署名がついた形式になっていて
sigtool -i main.cvd
で情報がわかります。
電子署名を検証するのにgmp(GNU mp)が必要になるので
0.65にする前にインストールしておきましょう。
今までのフォーマットのデータベースの更新は
2003年末まで続きますが、その後は更新されない可能性大です。
それまでにアップデートしましょう。
- 104 名前:名無しさん@お腹いっぱい。 [03/11/15 14:20]
- >>101
Vexiraのライセンスはドメイン単位でしか設定できません。
メールアカウント単位で設定したい理由はなんでしょうか。
チェックしたいドメインの数が多いとか?
- 105 名前:名無しさん@お腹いっぱい。 mailto:sage [03/11/15 14:24]
- >>104
アカウント単位で課金したいんじゃないかな
- 106 名前:名無しさん@お腹いっぱい。 mailto:sage [03/11/15 16:45]
- ドメインはたくさん使うけれどアカウントは少ないって事ですか?
まあそれならばわかります。
しかしここだけの話、Vexiraのライセンスチェックって何もやって
ないように思います。
ライセンスを取得するときもドメイン名は指定しません。
relay の設定で自己ドメインを記述する個所があるけど、これは
ライセンスとは関係ないようです。
だから無制限に使っていいというわけではないですが。
- 107 名前:名無しさん@お腹いっぱい。 [04/01/06 01:49]
- 保守
- 108 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/07 14:42]
- Tomaszいわく、水曜の夜ぐらいにclamavのシグネチャが倍増して
20,000種類ぐらいになるが
それだけ使用メモリも増えるので
あらかじめsoftlimitなど増やしとけということらしい
ttp://article.gmane.org/gmane.comp.security.virus.clamav.user/3862
- 109 名前:名無しさん@お腹いっぱい。 [04/01/12 20:02]
- Known viruses: 20101
clamavシグネチャ20,000突破age
- 110 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/12 20:33]
- よかったね
- 111 名前:名無しさん@お腹いっぱい。 [04/01/13 03:10]
- Vexira使ってる方で、ウイルスチェックの対象/非対象ドメインを指定する方法を
ご存知の方いらっしゃいますか?
ドメイン単位で課金できたらいいかななんて考えて、今体験版をいじってるのですが、
どうもvamailarmor.aclに関わらず、あらゆるドメイン、メールアカウントのメールを
チェックしてしまうようで・・・
- 112 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/13 10:02]
- >111
前にCentral Command に問い合わせた時は、スキャン対象ドメインの指定は
ISP Open License でのみ可能という回答ですた。
ホスティング屋はこっちを買え、て事かな。
- 113 名前:名無しさん@お腹いっぱい。 [04/01/28 19:29]
- RAVのmydoom対策まだぁ?
[絵は省略]
- 114 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/28 21:08]
- うんちういるす
- 115 名前:VV [04/01/31 19:45]
- sophosとF-Secure、Linux管理者としてはどっちを選んだらいい?
sophosの方がシンプルでよさそうだけど、逆に機能不足か?
毎月アップデートというのもどうなんだろう?
- 116 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/31 19:49]
- UNIX板とLinux板、Linux管理者としてはどっちを選んだらいい?
- 117 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/31 19:52]
- Linux板
何を意図してるのかよく分からんが(w
- 118 名前:名無しさん@お腹いっぱい。 [04/02/06 00:24]
- 今このスッドレでVexiraを知って、サンプルDLしたんですけど、
皆さんどの使い方してるんでしょうか?
VexiraのSMTPを使う方法でやろうと思ってるんですけど、
安定性、安全性とかは?
一番機構的にシンプルなんで、この方法にしようかと。
環境はRHL + qmail です。
- 119 名前:ななし mailto:sage [04/02/06 11:14]
- Vexira + Postfix でメールチェックに使ってる。
いまんとこ安定してる。
- 120 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/06 22:32]
- >>118
うちでは qmail 2コ インストールして
qmail -> vexira -> qmail って中継してる
Vexiraを外部に晒すのはやっぱ怖い
でもこうするとウイルスメールを拒否できないけど
- 121 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/07 04:58]
- clamavがどーしてMyDoom.aをsco.aという名前で検出するのかといえば、
つまりclamavが世界で一番早くこのウイルスに対応したからなのだよ。
- 122 名前:118 [04/02/18 21:40]
- Vexiraを centralcommandのサイトから購入し、テスト運用にはいりました。
パッケージは贈られてこないんすよね?
マニュアルはインスコされた manを見るしかないんでしょうか。
vexiraのSMTP使おうとしたんだけど、Pop beforeSMTPが使えないことに
運用開始後きづいて、途方にくれてます。
>>118 さんのやるとおりにqmail 2個入れてやろうとしたんすけど、
これって Group/Userも含めて完全に別のつくらなきゃだめなんでしょうか?
qmaild2:qmail2 とか。
qmail 2個 とかでググっても、出てきませんでした(^^;
いい情報現ありましたら教えて、エロい人。
- 123 名前:120 mailto:sage [04/02/19 08:57]
- うちではuid/gidは同じにしてます
管理上別idにするっていうのもアリだけど
同じでも問題はないでしょう
- 124 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/19 09:35]
- >>122
Postfixでそういう構成にするのにはcontent_filterが使えるけど、qmailの情報は少ないね。
Group/Userは同じでいいけれど、スプールや待ちうけportは分けんといかんね。
qmail(A) -> vexira -> qmail(B)
という構成の場合、
Aは自ドメインメールアドレス宛のメールおよび許可したネットワークからのメール以外はrejectして、それ以外はvexiraにforward。
vexiraは無条件にBにforward。
Bは自ドメインメールアドレスをローカルに配送するよう設定。
まあ、qmailを二つ立ち上げる手間やリソースを考えるとあまり効率がいいとはいえないかもしれない。
でもamavis-perl 11でこういうことやってたころはMILTER APIとかconent_filterとか無かったから二つあげてたな。
「amavis qmail」でgoogleさんに聞くとほしい情報が見つかるかもしれない。
お手本がほしいならPostfixで作ったがいいかもね。
PostfixでもMaildirは使えるし。
.qmailは使えないけど(w
- 125 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/19 10:14]
- qmail-scannerはvexiraには対応してないのか?
- 126 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/19 11:49]
- 対応してる
- 127 名前:名無しさん@お腹いっぱい。 [04/02/19 14:26]
- InterScanはどう?
- 128 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/19 14:29]
- 自分で調べんかい!
- 129 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/19 15:34]
- InterScanは高すぎるので問題外。
- 130 名前:118 [04/02/22 00:10]
- >>124さん、ご親切にありがとう。
qmail 2本立て さっそくやってみます。
- 131 名前:クロノス [04/02/22 00:31]
- はじめまして
クロノスと申します
フルネームは(キイテネーヨ)
クロノス・レイフ・アルハス・カスケイドともうします
今後もよろしく!!
- 132 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/22 11:45]
- >>127
Interscanをメールのウィルススキャンだけのために導入するのは、
お金がもったいないかもね。Enterprize買ってWebもスキャンさせるなら
Netscreenなんかと連携できるから良いかもだけど。まぁ、値段高くなる
けど。
ちなみに、事情があって、Interscanとclamavどちらも一時間毎の
定義ファイル更新で運用してたら、MyDOOM.AもBAGLE.Bもclamavの方が
対応が早かった模様。(もち、同一のメールに対してね)
某所で、SophosのMailMonitorっていうの見せてもらったけど、
メールだけなら、Sophosの方がいい感じ。但し、SMTP AUTHとか
出来なくなるので、そのつもりで。
- 133 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/22 18:11]
- >>132
InterScanはモノはいいんだけどねぇ。やろうと思えばクライアント側と連携させた
セキュリティソリューションも実現可能なんていうのは、単なるtransparent proxyの
ウィルススキャナーを遥かに凌駕しているし。ただ、お金があんまりにもかかりすぎ。
- 134 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/22 18:18]
- >>133
>ただ、お金があんまりにもかかりすぎ。
ハゲドウ。毎年更新のたびに、これどうするよ?って思う。
せめて半額になってくれればナァ。
- 135 名前:130 [04/02/23 14:40]
- Vexira qmail2個立てやってみようとしたんですが、
qmail(1)-Vexira-qmail(2) ってすると、
Vexiraでウイルスをはじいたとき、VexiraのLOGには
qmail(1)からのメールってことになっちゃうんでしょうか?
- 136 名前:名無しさん@お腹いっぱい。 [04/02/23 14:58]
- 女性が「泥棒!」…無実?の68歳男性“ショック死”
三重県警四日市南署は、同県四日市市内のスーパーで、今月17日に「泥棒」と叫び声を挙げた、
子連れの女性を捜している。「泥棒」呼ばわりされた男性(68)は、買い物客に取り押さえられた後に
死亡したが、防犯ビデオの分析などから、何ら犯罪行為をしていない可能性が強いという。
詳しくは、
headlines.yahoo.co.jp/hl?a=20040221-00000303-yom-soci
(2004/2/21/11:17 読売新聞 )
■こういう糞女には、ちゃんと責任取らせないとだめです。
被害者の男性は、犯罪者の汚名を着せられたまま亡くなったのですよ。その無念を想像してください。
三重県警察本部059・222・0110 四日市南警察署0593・55・0110
www.police.pref.mie.jp/SITE1PUB/servlet/enquete.EnqueteForm/5
三重県警ご意見BOX
www.npa.go.jp/goiken/index.htm
警察庁ご意見箱
- 137 名前:211.115.224.75 [04/02/23 15:16]
- 211.115.224.75
- 138 名前:名無しさん@お腹いっぱい。 [04/02/23 15:40]
- 女性が「泥棒!」…無実?の68歳男性“ショック死”
三重県警四日市南署は、同県四日市市内のスーパーで、今月17日に「泥棒」と叫び声を挙げた、
子連れの女性を捜している。「泥棒」呼ばわりされた男性(68)は、買い物客に取り押さえられた後に
死亡したが、防犯ビデオの分析などから、何ら犯罪行為をしていない可能性が強いという。
詳しくは、
headlines.yahoo.co.jp/hl?a=20040221-00000303-yom-soci
(2004/2/21/11:17 読売新聞 )
■こういう糞女には、ちゃんと責任取らせないとだめです。
被害者の男性は、犯罪者の汚名を着せられたまま亡くなったのですよ。その無念を想像してください。
三重県警察本部059・222・0110 四日市南警察署0593・55・0110
www.police.pref.mie.jp/SITE1PUB/servlet/enquete.EnqueteForm/5
三重県警ご意見BOX
www.npa.go.jp/goiken/index.htm
警察庁ご意見箱
- 139 名前:名無しさん@お腹いっぱい。 [04/03/01 19:01]
- WORM_BAGLE.F だの WORM_BAGLE.G だのが出てますが…。
こいつらは実行ファイルがパスワードつきzipに格納されているために
ゲートウェイ型アンチウィルス製品ではzipを展開できずに検知に失敗します。
クライアントインストール型のものを使って、テキストに書かれている
パスワードを手で打ち込んでzipを展開してからでないと見つけられませぬ。
管理者のみなさまはご注意を。
# つーか、そこまでして感染するなよバカ。
- 140 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/01 21:19]
- ウィルス履歴を消す方法を教えて下さい。
- 141 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/01 21:49]
- >>140
pc2.2ch.net/pcqa/
- 142 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/02 16:38]
- >>139
検知できるけどな。
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.F
- 143 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/02 16:51]
- >>142
ワームのバイナリがむきだしになってれば検知できるが、
暗号化zipとして添付された状態では検知できない。
- 144 名前:あ [04/03/09 19:37]
- PostfixとMailMonitorの組み合わせで、SMTP-Authを実現するにはどうしたらいいでしょうか?
ハードを分けて<postfix>→<Mailmonitor>→<postfix>という形はスマートでないように思うのですが。
- 145 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/09 23:03]
- >>144
同一マシンでやる方法はあるよ。
「Postfix content_filter」でぐぐってみ。
あと、Postfix 2.1.x系列から入る機能であるsmtpd proxy filterがこれに使えないか考えたいところ。
www.kobitosan.net/postfix/ML/arc-2.1/msg00014.htmlからのスレッド参照
- 146 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/10 14:29]
- AMaViS一族を使ってる場合、パスワードつきのzipを検査できないので
ClamAVのようにアンチウイルスエンジンが対応していてもスルーしちゃう。
amavis-0.3.12/amavisd-0.1なら
$which_section = "decoding"; parse_decode($fh);
+ copy ("$TEMPDIR/email.txt", "$TEMPDIR/parts/email.txt");
$which_section = "virus scanning"; virus_scan();
$which_section = "mail forwarding"; $sts = forward_mail();
みたいにメール全体のファイルを検査用領域にコピーすればいい感じ。
amavisd-newなら最新の20030616-p8(Mar/9/2004アップデート)にする。
- 147 名前:あ [04/03/10 17:33]
- >>145さん
ご教示ありがとうございます。
PostfixとMailMonitorの組み合わせで、SMTP-Authを実現する
のが今の希望なのですが、Postfixを2つたてないで、Postfix内で
うまくMailMonitorを呼ぶことはできないでしょうか。メーカー
にお電話したら「この製品はgateway型なので、サンドイッチする
方法しかない」と言われたのですが。
content_filterはMailMonitorでもいけるでしょうか。
- 148 名前:146 mailto:sage [04/03/10 18:01]
- File::Copyのcopyより単にlinkのほうがいいかな。
>>147
とりあえずcontent_filterについて調べて理解してから書け
- 149 名前:名無しさん@お腹いっぱい。 [04/03/17 12:48]
- clamav-0.68と0.70-rcリリース
0.70-rcでマクロウイルス対応らしい
- 150 名前:名無し募集中。。。 [04/03/17 12:51]
- sahraウイルス2つもキタ─wwヘ√レvv〜(゚∀゚)─wwヘ√レvv〜─ !!
ブラクラ (σ;*Д*)σ死刑!
- 151 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/29 23:10]
- Netsky-Q
なかなかたのしいなぁ。。。
*.pif を開けるお馬鹿さんはまだまだわんさかといるんでつね。
- 152 名前:名無しさん@お腹いっぱい。 [04/03/30 01:27]
- ProScan使ってるけど、ここじゃ評判いまいちね・・
日本語マニュアルがあるのと、RedHat Linuxだとバッチリインストールでき
るので選んだへたれです。
とりあえず大量のNetsky攻撃等、ウィルスは漏れなく駆逐してくれてるぞ。
- 153 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/30 11:12]
- Netsky-PとQが土曜日から今までで、6つほど来テルです。
いまのところ脳dが全部ヌッコロシてくれてるから多分おれはセーフ。
でも念の為に完全スキャン厨。
- 154 名前:名無しさん@お腹いっぱい。 mailto:sage [04/03/31 20:50]
- >>13
これ一回入れちゃうと乗り換え、uninstall出来ないよね?
- 155 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/01 09:29]
- >>154
/usr/lib/AntiVir と /usr/bin/antivir を消せばいいんじゃないの?
- 156 名前:名無しさん@お腹いっぱい。 [04/04/12 15:17]
- ProScanようやくスキャン対象メアドを事前設定する必要なったみたい・・。
www.promark-inc.com/proscan/index.html
とはいえ、おいらはこのスレ見てVexira(qmail)にしようと考えてまつ。
qmail×2な方法と qmail-scanner を利用する方法どちらがお勧めですか?
qmail×2だと、感染メールを拒否れない気もするし、qmail-scanner だと
なんとなく重たそぅ&qmailも入れなおしだし・・・。
vpopmail のPOP before SMTP とかも使っているので、そちらへの影響なども
気になる今日この頃、皆様のご意見をお聞かせ下さいませ。
- 157 名前:あぼーん mailto:あぼーん [あぼーん]
- あぼーん
- 158 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/12 16:54]
- ProScan 6.0x使ってるけど、いまのところウイルス駆除したメアド
しかカウントしてない。
メールユーザー20人、ウイルスメール来たユーザー10人だったら
ProScanが認識するアカウント10って感じ。
ProScanとSpamAssassin(perlの方)を併用してるので、オーバロード
しないように1秒に3プロセスしか処理できないように運営してます。
かなり遅いかもーーーー!
- 159 名前:ななし mailto:sage [04/04/13 03:27]
- ProScanがlibmilterに対応するみたいですね。
- 160 名前:名無しさん@お腹いっぱい。 [04/04/18 16:03]
- Vexiraいれてみたのですが、送信先アドレスにはウィルス感染通知メールを送ってくれないのでしょうか?
管理者アドレスにだけしかこない。
- 161 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/18 18:36]
- >>160
最近のウイルスは送信者を偽装するので,
送信先アドレスにウィルス感染通知メールを送るのは(・A・)イクナイ!
- 162 名前:名無しさん@お腹いっぱい。 mailto:sage [04/04/18 18:40]
- いまどきウィルス感染通知メールは迷惑なだけよ。
送信先は詐称アドレスばっかで、関係無い人に通知メールを送る。
受信先のユーザーは、通知メールスパム状態で送らないでくれって希望多いし。
管理者(俺)通知メールなんて見ねえ!
つうことで、ログ見てればいい。
- 163 名前:名無しさん@お腹いっぱい。 [04/05/07 14:34]
- さっさー age
- 164 名前:名無しさん@お腹いっぱい。 [04/05/17 20:14]
- スレを全部読んだのですが、結局何を導入すればよいのか考え物ですね。
(RAVがすばらしかったというのはわかった)
みんなで各ソフトの格付け(ランキング)を行いませんか?
とりあえずここまでのまとめ
RAV
MSの陰謀により死亡
BitDefender
www.bitdefender.com/html/bd_linux.php
Freeらしいのだが謎。
F-Prot
www.f-prot.com/
US $300 per server
OpenAntiVirus
www.openantivirus.org/
オープンなウィルスデータベースを!というプロジェクトらしい。
- 165 名前:名無しさん@お腹いっぱい。 [04/05/17 20:15]
- AntiVir
www.hbedv.com/
FreeBSD/OpenBSD/Linux用がある。
www.hbedv.com/infos/prices.htm#personal
個人利用は無料っぽい。
Clam AntiVirus
clamav.elektrapro.com/
OpenAntiVirusのDB使ってるみたい。
Clam Antivirusに関するメモ
homepage.mac.com/proc/clamav.html
ProScan
www.promark-inc.com/proscan/kounyu02.html
Vexira
SMTPが外にさらされるのが怖い。
qmailを2つ立ち上げるなどしてカバー?
InterScan
高杉
www.trendmicro.com/jp/products/price/price-pdf.htm
- 166 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/17 21:34]
- Sophos ので十分(・ω・)
- 167 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/17 22:16]
- BitDefenderもF-Protも個人利用だと無料
www.bitdefender.com/bd/site/products.php?p_id=16
www.f-prot.com/products/home_use/linux/
- 168 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/18 09:54]
- >>164
OAVはsamba-vscan以外は開発とまってる
- 169 名前:名無しさん@お腹いっぱい。 [04/05/19 17:40]
- ClamAV 0.71リリース
セキュリティ上の修正はなさそう
マクロウイルス対応の向上
自己解凍(.exe)ファイルへの対応など
- 170 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/22 11:56]
- antivir[32298]: Error: new updates will not work with current license
この前personal useのlisence更新したばかりなんだけど。なんで。
> antivir --version
6.25.0.59
operating system: FreeBSD
product version: 2.1.0-26
engine version: 6.25.0.59
packlib version: 2.0.3.10 (supports 24 formats)
vdf version: 6.25.0.73
<snip>
key expires: 31 Mar 2005
- 171 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/22 17:07]
- >170
あ〜それウチでも出てる。
どうやらvdfがぶっ壊れているんじゃ無かろうかと勘ぐっているんだけど・・・・
ちなみに新しいライセンスを取ってもダメですた。
- 172 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/24 15:04]
- そか。うちだけじゃないのか。
たまに自動更新がこけることはあったけど、しばらく放置していたら直ったんだけどな。
まぁ、気長に待つとしますか。
- 173 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/24 18:16]
- >172
なんか未だに直らないですなぁ。
ふとサイトを見に行ったらガラリと一変していた。
もしかしてこのせいなんか?
- 174 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/25 00:13]
- 66.102.7.104/search?q=cache:_-8KoU7x0jIJ:www.hbedv.com/private/+H%2BBEDV+personal+use&hl=en
あらら。もしかして個人利用も有料になった?
そんなアナウンスは見あたらないんだけどなぁ。
- 175 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/25 00:17]
- あ、
www.hbedv.com/en/support/linux_private_registration/index.html
URL変わっただけなのね。
むぅ。でもサポートフォーラムつながらない。
www.free-av.com/
- 176 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/25 00:36]
- お。f-protって前からprivate useはfreeだったっけ。
www.f-prot.com/download/home_user/
The license for F-Prot Antivirus for BSD Workstations is without charge
for personal users, when used on personal workstations.
文言が微妙だけど。for private useとか書いてくれるとうれしいな。
- 177 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/25 22:46]
- >175
なんかBSD系にBUGが有った模様ですた
www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=21&t=000649&p=2
それならそうとnews mailなりサイトなりに出して欲しいと思われ
- 178 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/26 00:16]
- >>177
そうなのか。情報Thanks.
もれは個人利用も有料になったのかと勘違いしてamavisd + f-prot環境を導入してもーた。
amavisdは嫌いではないけれど動作が遅いというイメージがあるのでavmailgateにもどってこよう。
いや、amavisdから戻るところをavmailgateのportにして2回チェック...
- 179 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/26 00:22]
- >>175
お主がLinuxを別格として愛しているのはわかるが、URL違わないか?
www.hbedv.com/en/support/unix_private_registration/index.html
- 180 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/26 12:40]
- >>178
amavisdって遅い?実はDisk I/Oとかが原因だったりしない?うちのはマシン自体が遅いので、ベンチもへったくれもないんだけどさ。
P4 dual+1G RAM+SCSI+一時ファイルはRAMディスク、くらいの環境で比較してみたいねぇ。
- 181 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/26 12:51]
- tmpfsを使えばamavisdのDisk I/Oは軽減できるかも
ttp://www.stahl.bau.tu-bs.de/~hildeb/postfix/amavisd_tmpfs.shtml
- 182 名前:178 mailto:sage [04/05/27 00:29]
- >>180
amavisdが遅いというよりもこいつが呼び出すclamscanが遅い気がする。
clamdscanにするとかなり速くなるけど安全性の心配があるね。
unix domain socketを使うようにソースコード書き換えるのはまんどくさいし...
>>181
RAMdiskを一時ファイル置き場にすることで高速化をはかるというのはベタな手だけど
電源が落ちた際のデータ消失の可能性をぬぐえないので導入はしてこなかったな。
これに書いてある通り本当にPostfixのsmtp-backdoorに送りつけてからでないと250を
返さないなら上記の懸念は払拭されるわけだけど。
まあ、最近のOSは非同期I/Oが当たり前だからRAMdiskを使って顕著な高速化が
なされるか甚だ疑問なんだけどね。
- 183 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/27 03:52]
- qmailのようになにをするにもいちいちsynかけるような作りになっているのなら、
disk buffferがあっても役立たずでtmpfs使うと如実に速くなったりするけどね。
- 184 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/27 07:28]
- >>182
安全性の問題って何?
- 185 名前:182 mailto:sage [04/05/28 04:31]
- >>183
amavisdがそんなつくりならPostfixに再び渡すまで250を返すという
まどろっこしいことはしないと思うんだけど。
あとでソース見てから議論しますね。
>>184
clamdの待ちうけportであるTCP 3310に接続してコマンドを打つことでどんな名前の
ファイルがホストにあるかの漏洩およびセキュリティーホールによる権限の奪取の問題。
これを使ってOSの詳細なバージョン情報の推測やrootkitの有無の確認、
ホストで提供しているサービスの種類の予測などができるのでそれを攻撃の
ヒントにすることができる。
また、clamdにセキュリティーホールがあった場合にclamd権限奪取の危険性がある。
- 186 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/28 04:39]
- >178
取りあえず5/27Updateで直ったよ>H+BDEV
- 187 名前:184 mailto:sage [04/05/28 05:20]
- >>185
それ、誤解
clamdはTCPかunixソケットかのどちらかを使うようにできるから
TCPはあける必要はない。
→clamav.confでTCPSocket 3310をコメント行にしてLocalSocketを設定する
TCPにした場合でもTCPAddr 127.0.0.1とやれば外部からアクセスされない
- 188 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/30 03:37]
- >>186
うちでも確認しました。ずいぶん時間がかかったような。まぁ、正常になってなによりです。
>>187
うちもunixソケットでやってます。
- 189 名前:182 mailto:sage [04/05/30 14:50]
- >>187
amavisd 0.1では127.0.0.1:3310に繋ぐようにソースコード中で記述されていたので
いじるのはまずいかと思ってclamav.confを書き換えて使ってたけど、
やっぱりamavisdのソースコードいじらないとだめ?
diff -ru amavisd-0.1.orig/amavis/av/clamavd amavisd-0.1/amavis/av/clamavd
--- amavisd-0.1.orig/amavis/av/clamavd Sun May 30 14:26:26 2004
+++ amavisd-0.1/amavis/av/clamavd Sun May 30 14:30:55 2004
@@ -5,7 +5,7 @@
if ($clamd) {
do_log(2,"Using clamd");
- my $sock = IO::Socket::INET->new('127.0.0.1:3310');
+ my $sock = IO::Socket::UNIX->new('/var/run/clamav/clamd');
if (defined $sock) {
$sock->print("SCAN $TEMPDIR/parts\n");
$sock->flush;
- 190 名前:182 mailto:sage [04/05/30 15:20]
- ちなみに、TCPAddr 127.0.0.1としてもjail(2)環境下でclamdを動かしてるので
外部からアクセス可能だったりする。
まあ、ipfwで制限かければいいんだけど。
というわけで、>>189の変更をamavisdに施して対処しました。
- 191 名前:178 mailto:sage [04/05/30 15:22]
- >>186
自分も確認した。
情報Thanks.
- 192 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/31 12:15]
- OAVがScannerDaemon 0.6.0をリリース
スキャンエンジンを作り直して
0.5.2よりも40%高速化+メモリが15%しか消費しないらしい
VirusSignaturesファイルもアップデート
これはClamAVのをOAV用に変換したものみたい
ttp://www.openantivirus.org/latest.php
ついでにPatternOptimizer 1.0.0もリリース
これはClamAVのCVDファイルをOAV用に変換するツールらしい
これでClamAVのを自動更新+変換して使えということか
OAVは以前ClamAVのシグネチャを排除したことがあるんだが
シグネチャはClamAVに任せて自前ではつくらねーということなのか?
- 193 名前:名無しさん@お腹いっぱい。 mailto:sage [04/05/31 14:44]
- これって開発が止まっていたんだっけ?
clamavで問題ないしなぁ。
- 194 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/04 11:52]
- clamav 0.72リリース バグフィックス中心
- 195 名前:182 mailto:sage [04/06/06 15:54]
- >>189 は間違ってた。
これじゃないとちゃんと動かない。
それにしても、このスクリプトだけdo_virusを呼んでいないという
他との整合性の無さからしてamavis組織内部でもclamdへの対応はずさんなのかな?
--- amavis/av/clamavd.orig Tue Feb 25 11:42:54 2003
+++ amavis/av/clamavd Sun Jun 6 15:29:11 2004
@@ -5,7 +5,7 @@
if ($clamd) {
do_log(2,"Using clamd");
- my $sock = IO::Socket::INET->new('127.0.0.1:3310');
+ my $sock = IO::Socket::UNIX->new(Peer => '/var/run/clamav/clamd');
if (defined $sock) {
$sock->print("SCAN $TEMPDIR/parts\n");
$sock->flush;
@@ -15,7 +15,7 @@
if ($output =~ /FOUND$/) { # no errors, a virus was found
$scanner_errors = 0;
@virusname = ($output =~ /: (.+) FOUND/g);
- return 1; # 'true' indicates virus found and stops further checking
+ do_virus($output);
} elsif ($output =~ /OK$/) { # no errors, no viruses
$scanner_errors = 0;
} elsif ($output =~ /ERROR$/) {
- 196 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/06 16:36]
- 素直にamavisd-new使へ
- 197 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/08 01:04]
- >>196
開発はどんな感じ?
- 198 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/08 02:17]
- どんな感じといわれても。。。
もともとscalabilityを求めてforkしたので、ISPとか大きなサイトで使用される
ことを念頭に開発されている、って感じ?
modulableであることもポイント高いかな。
Perlなので自分でもなんとかソースを読めるとか。
こんなかんじでどうでしょ。自分はとても気に入っている。
- 199 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/08 02:37]
- AMaViS系のなかではamavisd-newが一番活発
amavisのMLはこの一年以上は完全にamavisd-newの話題しかない
作者の発言も多いし、最近出てる文書のたぐいもamavisd-newばっかでしょ
元祖amavis/amavisdのほうはもうほとんど開発止まってる
>>195のclamd用のコードはMLに流れてたamavisd-new用のパッチを
ノーチェックで取り込んだだけだから動かなくて当然だし
AMaViS-ngは、まぁ、ほそぼそと、ね
- 200 名前:名無しさん@お腹いっぱい。 mailto:age [04/06/08 17:52]
- age
- 201 名前:197 mailto:sage [04/06/09 02:52]
- >>198, 199
情報Thx。
たしかにapacheみたいにpreforkした子供を持っててマスターワーカーっぽくなってるね。
そういえば、amavisd-newすら1年近く新しいreleaseが出てないけど、
そんなもんなのかな。
- 202 名前:名無しさん@お腹いっぱい。 [04/06/11 15:37]
- どなたかお知恵を貸して下さい。
このページを参考にqmail + SophosAntiVirusをインストールしました。
www.atmarkit.co.jp/flinux/rensai/qmail08/qmail08c.html
手順はバージョンの違いをのぞいて、そのまま実行したつもりです。
しかしページの最後にある次のようなテストを行ってもウィルス探知メールが来ません。
>qmail-scannerに付属するテストコマンドを実行します。
># ./contrib/test_installation.sh -doit
全部で4通くるはずの通知メールが2通しか来ません。
1通目と4通目はプレーンメールですので、ウィルスを見つけたときにメールが来ないようです。
ログには次のように出ています。
# /var/spool/qmailscan/quarantine.log
金, 11 6月 2004 15:23:19 JST root@example.org Qmail-Scanner viral test (2/4): checking perlscanner...EICAR Test Virus sweep: 2.20/3.82.
金, 11 6月 2004 15:23:21 JST root@example.org Qmail-Scanner viral test (3/4): checking non-perlscanner AV... EICAR-AV-Test sweep: 2.20/3.82.
メールログには2通分のログしか載っていません。
(Sophosのところでブロックされてる??)
バージョンは次の通りです。
RedHat9
qmail-1.03 + qmailqueue-patch + qmail-date-localtime.patch
sophos-anti-vir-3.82.linux.intel.libc6.glibc.2.2
qmail-scanner-1.22
maildrop-1.6.3
DB_File-1.808
Time-HiRes-1.59
- 203 名前:名無しさん@お腹いっぱい。 mailto:sage [04/06/11 22:46]
- >>202
SophosAntiVirusは使ったことがないが、
ウィルスを発見したときはサーバーで止めて通知をしないというのが正しい動作である
ソフトもあるよ。
ウィルス発見時の動作は設定で変えられるとは思うけどね。
つうか、ISPのMTAみたいにウィルスを含んだメールが普通に来るようなところで
通知メールされてもうるさいだけだしね。
そう考えたら商用のウィルス対策MTAは通知メールを送らないのが
デフォルトなんじゃないの。
|
 |
