LINUX.ORG.RU
ФорумAdmin

Централизованное обновление CLAMAV

 , , , ,


0

1

Есть такая задача - поставить на один сервер linux clamav и настроить так что бы остальные linux-сервера получали обновления и базы не через инет, а с этого сервера. К сожалению гугл не сильно помог в решении этой задачи. У самого clamav вроде бы нет такого функционала.

Натыкался на информацию, где теоретически описано, что можно как то через локальный DNS и WEB сервер настроить обновление всех серверов с одного linux сервера с ClamAm. Подскажите пожалуйста как это сделать. Наверняка кто то реализовал такое.

Ответ на: комментарий от anc

Но наискосок freshclam.conf параметр DatabaseCustomURL не оно?

Похоже, что оно. ТСу: на первом сервере расшариваешь /var/lib/clamav по NFS (см. nfs-utils), на втором и последующих прописываешь DatabaseCustomURL в /etc/freshclam.conf (по аналогии с закомменченным примером).

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

Дополню. Не обязательно /var/lib/clamav - каталог для freshclam (я имею ввиду тот который изначально будет сливать), вроде можно указать любой. Это просто напомнило момент, что в разные времена/разные версии, этот каталог по дефолту мог и меняться.

anc ★★★★★
()
Ответ на: комментарий от kmag777

Разницы никакой.

З.Ы. Заранее рекомендую сделать конфиг для whitelisting’а false positive.

alestro
()
Ответ на: комментарий от kmag777

А в чём разница по NFS или там вирт дир на apache сделать? Я так понимаю так же будет забирать?

Да, забирать будет что так, что так. Я сказал про NFS сугубо потому, что мне он был бы удобнее, но web, пожалуй, попроще в настройке и не требует поддержки nfs от клиентов (вдруг у тебя с клиентской стороны clamav на винде? :).

dexpl ★★★★★
()
Ответ на: комментарий от AS

Можно кстати просто через squid. У freshclam есть настройки прокси.

А это здесь причем? Задача же:

получали обновления и базы не через инет

anc ★★★★★
()
Ответ на: комментарий от anc

получали обновления и базы не через инет

Ну один-то по-любому через Интернет. А вместо него может быть Squid. Недостаток - всё же доступ в Интернет нужен в момент попытки получения обновления. Преимущество - обновление точно будет новое. Либо из кэша Squid, если кто-то уже скачал, либо скачается актуальное.

Тут вопрос в том, какая конечная задача на самом деле.

AS ★★★★★
()
Ответ на: комментарий от AS

Ну один-то по-любому через Интернет.

Но остальные могут не иметь доступа в инет. И им не положено туда ходить, даже роутинга может не быть до шлюза в инет (навеяно другой темой).

Либо из кэша Squid

Может быть, а может и не быть при таком объеме, «ОБС или как настроим».

Тут вопрос в том, какая конечная задача на самом деле.

Мне кажется ТС её поставил вполне конкретно «получали обновления и базы не через инет». Решаем именно эту задачу. Зачем предлагать то что ТС не просил?

anc ★★★★★
()
Ответ на: комментарий от t184256

Простите, конечно бывают невнятные запросы. Но имхо вопрос ТС не из разряда X-Y

так что бы остальные linux-сервера получали обновления и базы не через инет

Ничего «сверх естественного» в подобном вопросе нет.
ЗЫ Или есть, по вашему мнению?

anc ★★★★★
()
Ответ на: комментарий от anc

Вопрос «а нужно-то что было?» лежит вне плоскости оригинального вопроса и от его сложности не зависит.

t184256 ★★★★★
()
Ответ на: комментарий от anc

Спасибо большое, но к сожалению не могу найти mysigs.ndb в папке /var/lib/clamav/ , которую можно указать в DatabaseCustomURL нет таких файликов. Там только -

bytecode.cvd daily.cld main.cvd mirrors.dat

kmag777
() автор топика
Ответ на: комментарий от dexpl

А если все 3 прописать в эти DatabaseCustomURL, то всё равно ломится в инет -

bytecode.cvd is up to date (version: custom database) Downloading daily.cld [100%] daily.cld updated (version: custom database, sigs: 1589915) main.cvd is up to date (version: custom database) main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) nonblock_connect: connect timing out (30 secs) Can't connect to port 80 of host database.clamav.net (IP: 104.16.218.84) nonblock_connect: connect timing out (30 secs) Can't connect to port 80 of host database.clamav.net (IP: 104.16.219.84) WARNING: getpatch: Can't download daily-25402.cdiff from database.clamav.net

kmag777
() автор топика

теоретически описано, что можно как то через локальный DNS и WEB сервер настроить обновление всех серверов с одного linux сервера с ClamAm

Ну теоретически звучит просто.

1) посмотреть на какой адрес стучится clamav за обновлением
2) на своем днс-сервере сделать А запись на ваш внутренний сервер
3) ...
4) Получить отлуп, т.к. нет нужных ключей для подписи вашего файла обновления

Aborigen1020
()
Ответ на: комментарий от Aborigen1020

Ну вот вот

1)Стучится он на database.clamav.net. 2) если перенаправить на внутренний пишет ошибку так же.

ERROR: getpatch: Can't download daily-25402.cdiff from database.clamav.net WARNING: Incremental update failed, trying to download daily.cvd WARNING: getfile: daily.cvd not found on database.clamav.net (IP: ) ERROR: Can't download daily.cvd from database.clamav.net Giving up on database.clamav.net...

3)...Гугл тоже не помогает... 4) Отлуп получил, что там за ключи и что делать дальше так и не понял увы((

kmag777
() автор топика
Ответ на: комментарий от Aborigen1020

А ещё есть такое ощущение, что всё-таки он забирает успешно дневной и основной Файл баз данных сигнатур, а пытается как раз скачать какие то download daily-25402.cdiff

Потому как вот -

freshclam restart ClamAV update process started at Fri Jun 7 14:20:51 2019 bytecode.cvd is up to date (version: custom database) daily.cld is up to date (version: custom database) main.cvd is up to date (version: custom database) main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) WARNING: getpatch: Can't download daily-25402.cdiff from local WARNING: getpatch: Can't download daily-25402.cdiff from local WARNING: getpatch: Can't download daily-25402.cdiff from local WARNING: Incremental update failed, trying to download daily.cvd WARNING: Can't download daily.cvd from local Trying again in 5 secs...

Ну и долбится до посинения..

kmag777
() автор топика
Ответ на: комментарий от kmag777

Решил наискосок погуглить. Действительно, похоже не все так просто. Вот из ссылок, но думаю вы её уже видели, https://www.lissyara.su/articles/freebsd/trivia/clamav_mirror/

Сейчас предложу вариант костылестроения, тапками не кидайтесь.
Учитывая задачу «настроить обновление всех серверов». Раскидывать db после обновления по серверам (или сгребать с серверов) и пинать clamd на релоад db, т.е. некий костыльный аналог freshclam.

anc ★★★★★
()

Сначала тебе надо все базы для ClamAV скачать, проверить подписи и их работоспособность:

Как добавить сигнатуры в ClamAV для сканирования виндовых файлов? (комментарий)

Потом проверенные базы распихиваешь самым простым, безопасным методом по другим серверам.

Можно все делать одним скриптов с сервера. Хотя мне больше нравится вариант когда сервер периодически скачивает и выкладывает для клиентов, а клиенты когда захотят сами забирают.

freshclam не использую.

anonymous
()
Ответ на: комментарий от kmag777

А зачем ты используешь freshclam? 4 файла с их сервера можно чем хочеш забирать. И клиенты твои тоже пусть просто файлы забирают без freshclam.

anonymous
()
Ответ на: комментарий от anonymous

А есть здесь желающие сообща поддерживать антивирусных базку в формате YARA?

Могли бы обмениваться сигнатурами...

И ещё clamav не лечит, а иногда надо. Поддерживаю минибазку для лечения особо распространённых. Лучше это делать сообща.

anonymous
()
Ответ на: комментарий от anonymous

Ну так а в чём проблема с freshclam? Зачем что то другое? Я так понимаю тут проблема не в freshclam, а в чём то другом.

Теоретически вообще можно тупо копировать скриптом cp например из папки сервера на клиент. Но я так понимаю, что

bytecode.cvd daily.cld main.cvd mirrors.dat

с обновленного компа ему недостаточно. Потому как ещё раз -

freshclam ClamAV update process started at Thu Jun 13 12:11:28 2019 bytecode.cvd is up to date (version: custom database) Downloading daily.cld [100%] daily.cld updated (version: custom database, sigs: 1593437) main.cvd is up to date (version: custom database) main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) WARNING: getpatch: Can't download daily-25402.cdiff from server WARNING: getpatch: Can't download daily-25402.cdiff from server WARNING: getpatch: Can't download daily-25402.cdiff from server

т.е. он пытается утянуть какой то daily-25402.cdiff без которого ему не обновится.

kmag777
() автор топика
Ответ на: комментарий от anonymous

Ну и потом что значит забирать - ну забрать то можно и подложить. Но примет ли он эти файлы все за обновленную базу свою? В чём отличие если это не freshclam качается?

kmag777
() автор топика
Ответ на: комментарий от kmag777

Clamav трогал давно, но пытаясь скачать этот cdiff он наверное хочет проверить актуальность базы которую ты получил со своего сервера.

hbars ★★★★★
()
Ответ на: комментарий от kmag777

Возможно педергивает демона для печитки баз. Наверняка все можно сделать скриптом.

hbars ★★★★★
()
Ответ на: комментарий от anonymous

Да, это самый правильный совет. По ней и сделал, запускается скрипт .pl официальный, утягивает те же файлы...

Но с других машин при обращении на этот сервер опять пытается утянуть вот это -

freshclam ClamAV update process started at Fri Jun 14 12:04:46 2019 bytecode.cvd is up to date (version: custom database) WARNING: getfile: clamav/daily.cld not found on server (IP: *.*.*.*.) WARNING: Can't download daily.cld from server main.cvd is up to date (version: custom database) main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) WARNING: getpatch: Can't download daily-25402.cdiff from server WARNING: getpatch: Can't download daily-25402.cdiff from server WARNING: getpatch: Can't download daily-25402.cdiff from server WARNING: Incremental update failed, trying to download daily.cvd WARNING: Can't download daily.cvd from server

Он пытается где то найти daily-25402.cdiff

kmag777
() автор топика
Ответ на: комментарий от kmag777

Ну в общих чертах задача решена. Обновляется теперь всё. Проблема в том, что clamav не может брать обновления из кастомной папки апача. Ну т.е. с виртуалхост. Только с **/www/html

Но вот кстати некоторые машинки странно ведут себя- хотят дохрена cdiff файлов.

kmag777
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.