антивирусный прокси HAVP

[Sla]

на статью не катит, но может кому-нибудь пригодится

абсолютно случайно узнал в инете про такую штучку и то что это можно поставить под freebsd
и так имеем (що маємо - то маємо)

Код:

$ uname -r
6.1-RELEASE

установленный squid

Squid Cache: Version 2.5.STABLE12

все юзера ходят в инет через него

ставлю HAVP

Код:

# cd /usr/ports/www/havp/
# make

Выскочили какие-то опции - соглашаюсь по умолчанию

Код:

make install
make clean

при инстале havp потянул за собой clamav

смотрю и правлю по своему разумению /usr/local/etc/clamd.conf

т.е. не трогаю то, чего не понимаю - настроил лог, что-то еще, например пути к базе,  вскрытие покажет при эксплуатации если что-то понадобится еще

правлю
/usr/local/etc/freshclam.conf
только одну строку
#NotifyClamd /usr/local/etc/clamd.conf

это чтоб тулза не ругалась на незапущенный демон
правлю конфиг HAVP'а, прокси у меня как родительский
/usr/local/etc/havp/havp.config

Код:

#REMOVETHISLINE deleteme
#сначала поставил в true для отладки - в логе все соединения, при false только в случае обнаружения.
LOG_OKS false

#Пусть пишет айпишик того кто пытался зацепить заразу
FORWARDED_IP true

#по дефолту 8080 но squid на 3128, этот поближе :)
PORT 3127

#в случае каких-либо проблем - выкинет страничку с этого шаблона
TEMPLATEPATH /usr/local/etc/havp/templates/ru

что-то еще возможно правил, не помню


создаю черный список и белый список

Код:

# touch /usr/local/etc/havp/whitelist 
# touch /usr/local/etc/havp/blacklist

для автозапуска правлю /etc/rc.conf

Код:

clamav_freshclam_enable="YES"
havp_enable="YES"

пора обновить базы

Код:

# /usr/local/etc/rc.d/clamav-freshclam start

запускаю HAVP

Код:

# /usr/local/etc/rc.d/havp start

если все в порядке то должно запуститься
проверяю

Код:

# sockstat | grep 3127
havp     havp       2722  3  tcp4   127.0.0.1:3127        *:*
havp     havp       2721  3  tcp4   127.0.0.1:3127        *:*
havp     havp       2691  3  tcp4   127.0.0.1:3127        *:*
havp     havp       2690  3  tcp4   127.0.0.1:3127        *:*
havp     havp       2605  3  tcp4   127.0.0.1:3127        *:*
havp     havp       2599  3  tcp4   127.0.0.1:3127        *:*
havp     havp       2598  3  tcp4   127.0.0.1:3127        *:*

пора браться за squid

Код:

cache_peer 127.0.0.1            parent    3127  0     default no-query

дергаю squid

Код:

# squid -k parse
# squid -k reconfigure 

и... проверяю иду на http://www.eicar.org/anti_virus_test_file.htm
оттуда тыкаю на ...

и в логах и на экране вижу - чувак ты куда лезешь?



когда поставил, то обнаружил статейку http://www.lissyara.su/?id=1662
т.е. если б увидел раньше то и времени заняло бы меньше, а так...


--------
сисадмины пьют шоколад и заедают коньяком.
В случае проблемы в окне браузера большими ЦИФРАМИ номер телефона, а внизу адрес магазина.


зы полгода - полет нормальный...

[RXL]

Sla, ты сравнивал свой метод с той статьей? Если не все одинакого, то может имеет смысл статью написать?

[Sla]

конечно сравнивал, там более подробно некоторые вещи описаны
ту возможно предстоит установка, тогда можно со скриншотами что-то замутить, а так - просто заметка

[RXL]

Ну, а возьмешься?

[Sla]

RXL, ну ты прям руки выкручиваешь
а вдруг и ставить не буду - может обойдусь каким-либо другим способом.
на самом деле в качестве прокси может быть любой прокси поддерживающий каскадирование.
Кроме того Clamv можно прикрутить и к почтовым сервисам.

Преимущество метода - то что основной прокси, тот на ко который смотрит клиент, не кэширует вирусный запрос.
Есть пару интересных моментов, я в них еще не разобрался - это закачка файлов. Т.е. для организаций со "свободным" инетом надо еще что-то подкручивать. а так как у меня обрезано многое (ftp, audio, video), то мне это не совсем интересно.
Заметил что при попытке, например, закачки  больших картинок, идут тормоза...

еще не совсем понял как обновить сам Clamv, чтоб безболезненно и не ручками. Так что для статьи сыровато.

[RXL]

А например, кто бы научил, как к CommuniGate Pro прикрутить spamassassin...

[Sla]

RXL, а это http://www.tffenterprises.com/cgpsa/ не поможет?
или
http://program.farit.ru/doc/cgpav-rus.html

[RXL]

Спасибо большое

Прикрутил. Работает.

Редкий случай, когда хочется спама...

[Sla]

еще не совсем понял как обновить сам Clamv, чтоб безболезненно и не ручками.

#portsnap fetch update

Скачиваем и обновляем индекс дерева портов

#pkg_version |grep need

поиск портов которые нужно обновлять

ну и собственно update
предварительно сохранив рабочие конфиги


#portupgrade -rcvf havp