Koozali.org: home of the SME Server

Other Languages => Italiano => Topic started by: Milano1971 on April 06, 2012, 05:29:25 PM

Title: Clamav su sme
Post by: Milano1971 on April 06, 2012, 05:29:25 PM

Ciao a tutti!
Più che un problema, questo topic voglio dedicarlo ad una mia curiosità, gradendo anche le vostre preziose opinioni!
Nel servermanager di sme, come tutti sappiamo, è presente la sezione relativa al suo antivirus integrato, il famoso clamav.
Ecco il punto: sembrerebbe dalle impostazioni che clamav effettui una scansione solo nel file system del s.o., e non vada a scansionare l'interno delle cartelle home degli utenti e delle ibay. Almeno questo sembra dalle impostazioni, ma potrei sbagliarmi...
Ora secondo voi, considerando che i virus potrebbero finire proprio in quelle cartelle (home e ibay) tramite le workstation windows, ma considerando anche che comunque questi non avrebbero nessun effetto su sme, a cosa potrebbe servire scansionare il file system di sme e come potrebbero finirci dei virus al suo interno?
Secondo voi programmare una scansione automatica ogni tot tempo tramite il servermaneger, avrebbe senso o sarebbe uno spreco di risorse?

Title: Re: Clamav su sme
Post by: nicolatiana on April 06, 2012, 06:09:34 PM

Ciao
 
Non saprei da dove tu abbia tratto questa conclusione ma l'estratto del file di di log (/var/clamd/clamscan.log) dimostra che viene controllato se non tutto il file system sicuramente le cartelle utenti e le ibays
 

Quote

----------- SCAN SUMMARY -----------
Known viruses: 1171100
Engine version: 0.97
Scanned directories: 48146
Scanned files: 219044
Infected files: 0
Data scanned: 206440.65 MB
Data read: 307919.20 MB (ratio 0.67:1)
Time: 46025.238 sec (767 m 5 s)
-------------------------------------------------------------------------------
/home/e-smith/files/ibays/pubblico/files/SoftonicDownloader_per_cmaptools.exe: Trojan.Tdss-7762 FOUND
/home/e-smith/files/ibays/pubblico/files/SoftonicDownloader_per_cmaptools.exe: moved to '/var/spool/clamav/quarantine/SoftonicDownloader_per_cmaptools.exe'

Tenere il filesystem pulito senza "topi morti" vaganti non è mai male: se rimane un file infetto in rete e per un qualunque motivo l'antivirus sul tuo desktop non funziona correttamente hai una barriera in più; un controllo settimanale alla domenica è più che sufficiente.
Quanto alle modalità di scansione, se non hai una implementazione di scansione real-time, e non è il caso di clamav, non è opportuno fare la scansione ad intervalli inferiori al giorno, e comunque se i file sono molti anche quello può diventare (molto) pesante (Vedi il log di cui sopra -> 767 m 5 s = più di 12 ore).
Infine i virus "annidati" nei file di lavoro ormai sono il minore dei problemi con il proliferare di rootkit, trojan e quant'altro che si annidano nei desktop oppure nei link contenuti nella posta.
Per la posta esiste già l'implemantazione del controllo AV e Antispam.
Ti può essere utile implementare dansguardian attivando il controllo antivirus per limitare le schifezze in arrivo dal web; devi poi configurare i pc per utilizzare il proxy e, ad esempio, forzare il tuo router ad accettare connessioni in uscita solo dal proxy.
 
Saluti
 
Nicola

Title: Re: Clamav su sme
Post by: Milano1971 on April 06, 2012, 08:42:39 PM

Il fatto che vengano scansionate le home e le ibay è già un'ottima cosa!
Effettivamente non ho letto i log, mi sono basato sulla descrizione che riporta il server-manager.
In ogni caso comunque, mettendo da parte le workstation del dominio, i "topi morti" annidati negli hard disk del server sme è possibile che possano arrecare un danno al sistema operativo del server stesso o comprometterne il suo funzonamento?

Title: Re: Clamav su sme
Post by: Fumetto on April 06, 2012, 09:59:36 PM

Se il "topo" è su una ibay viene ripulito da clamAV, se è sul file system l'ultimo dei tuoi problemi e pulire... dovresti prima chiederti COME ci è arrivato... :-D

Buona pasqua

PS: Nicola con "forzare il tuo router ad accettare connessioni in uscita solo dal proxy" mi hai dato da fare questa notte... té possino (http://youtu.be/uTBKa_V6L-4)... :-)

Title: Re: Clamav su sme
Post by: Milano1971 on April 07, 2012, 04:57:57 PM

Quello che voglio dire è che il "topo trojan" anche se finisce sulle ibay o nelle home, difficilmente potrà propagarsi all'interno del file system di sme, cosa che potrebbe avvenire tranquillamente nel caso parlassimo di un server windows. giusto?

Per il caso del proxy, invece di intervenire sul router e fare tutto l'ambaradan, non sarebbe meglio utilizzare sme in server gateway e configurarci su un trasparent proxy proprio con dansguardian?

Title: Re: Clamav su sme
Post by: Fumetto on April 07, 2012, 08:35:32 PM

Quote from: Milano1971 on April 07, 2012, 04:57:57 PM

Quello che voglio dire è che il "topo trojan" anche se finisce sulle ibay o nelle home, difficilmente potrà propagarsi all'interno del file system di sme...

Se non sei tu che lo sposti il topo dove è rimane (prima che clamAV lo becca e lo manda in paradiso).

Quote

Per il caso del proxy, invece di intervenire sul router e fare tutto l'ambaradan, non sarebbe meglio utilizzare sme in server gateway e configurarci su un trasparent proxy proprio con dansguardian?

Dipende dalla configurazione di rete, ma in linea di massima se il router accetta solo connesioni dal proxy obblighi la rete a passare dal proxy per andare su internet... personalmente non mi piace usare SME come gateway, preferisco soluzioni ad hoc (IpCop e varie).

PS: Nicola... 200TB di dati... echecazz!!! O_o