воскресенье, 25 октября 2009 г.

HAVP & ClamAv

ClamAv - это наиболее распространненый антивирус для Linux.
HAVP - это прокси-сервер с фильтром - антивирусом (clamav, drweb, avp, ...).
Сканировать весь трафик и делать проверку на вирусы является единственной задачей 
данного прокси-сервера.
Поэтому связка HAVP + Squid является наиболее распрастранненым вариантом.
Устанавливаем:
apt-get install havp clamav
Впроцессе установки будет добавлен пакет clamav-freshclam (демон)
который необходим для автомотического обновления антивирусных баз.
конфигурации находятся в /etc/clamav/clamd.conf и /etc/clamav/freshclam.conf
Примеры работы с антивирусом:
clamscan - проверит текущию папку.
clamscan test.rar - проверит архив test.rar
clamscan /temp/folder/*.* - проверит /temp/folder/ рекрусивно
clamscan --move=/home/admin/temp/infected - параметр для перемещение инфицированных файлов
clamscan --reove - прараметр для удаление инфицированных файлов
clamscan -r -i - рекруссивное сканирование и при проверки выводить только зараженные файлы

При первом старте сервиса HAVP у меня вышло сообщение:
Starting havp: Starting HAVP Version: 0.89
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
havp.

Это говорит о том что необходимо сделать обновление LibClamAV как впрочем и всего ClamAv.
Для обновления компонентов антивируса необходимо в /etc/apt/sources.list добавить репозитарий:
deb http://ppa.launchpad.net/ubuntu-clamav/ppa/ubuntu hardy main
после этого выполнить стандартныю процедуры:
apt-get update
apt-get upgrade
Дополнительно можно установить ClamAv как демон (clamd). Для этого надо установить пакет
apt-get install clamav-daemon
ps ax | grep [c]lamd - проверить что демон запущен

Описание схемы взаимодействия двух прокси-сервероав: Браузер клиента подключается по порту 3128 к Squid,
а Squid по порту 8080 через HAVP уже выходит в интернет.
Для этого в Squid настраиваем параметры родительского севера:
cache_peer 127.0.0.1 parent 8080 0 no-quiery no -digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
# будем проверять только HTTP
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP

Важное замечание - по умолчанию HAVP не может обрабатывать FTP страници. Для этого в squid добовляем настройки:
acl ftp proto FTP
always_direct allow ftp

В настройках для HAVP (/etc/havp/havp.conf) я изменил только параметр:
TEMPLATEPATH /etc/havp/templates/ru - русификация сообщения для клиента.

А также в файл whitelist (белый список) добавил строки:
*/*.gif
*/*.png
*/*.jpg
*.finam.ru/*
*.zubsb.ru/*
*.sbrf.ru/*
*.google.com/*
вся информация из этого файла проходит без проверки

В итоге мы получили полнофункциональную систему, кэширующию трафик, блокирующию вирусы 
и рекламму.

Эта инструкция у меня получилась краткой, поэтому привожу ссыки на первоисточники. 
Для полной настройки HAVP и ClamAv
необходимо читать дополнительные статьи.
http://aboutubuntu.ru/content/antivirus-dlya-ubuntu-prosto-i-nadezhno
http://www.tux.in.ua/articles/812
http://www.tux.in.ua/articles/814

Комментариев нет:

Отправить комментарий