Bug 14309 - Расширение функционала обновления антивирусных баз
Summary: Расширение функционала обновления антивирусных баз
Status: CLOSED WONTFIX
Alias: None
Product: Sisyphus
Classification: Development
Component: clamav (show other bugs)
Version: unstable
Hardware: all Linux
: P2 enhancement
Assignee: Sergey Y. Afonin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks: 14545
  Show dependency tree
 
Reported: 2008-02-04 16:31 MSK by Serhii Hlodin
Modified: 2008-05-06 19:43 MSD (History)
7 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Serhii Hlodin 2008-02-04 16:31:05 MSK
В рамках создания школьного дистрибутива необходима доработка средств обновления
антивирусных баз путем создания многоуровневых локальных зеркал со следующей
методикой работы:

1. Центральный антивирусный сервер вытягивает обновления антивирусных баз и
ложит их в определенное место на сервере.
2. Внутрикорпоративные антивирусные сервера обновляются с центрального сервера
как будто он и есть сервер обновлений.
3. Клиенты (рабочие станции) обновляются с корпоративных антивирусных серверов,
за которыми они закреплены.

Доработка данного функционала позволит использовать clamav даже в сложных
многоуровневых закрытых WAN-сетях (школьные, институтские, научные,
специализированные) имеющих лишь одну точку выхода в интернет.
Comment 1 Michael Shigorin 2008-02-05 19:37:29 MSK
Оно-то необходимо, но по-хорошему -- совсем не clamav-specific: с репозиториями
то же самое, как минимум.  Отчасти из-за этого и говорил, что пакеты -- далеко
не худшее зло.

PS: Серёж, если в bugzilla логиниться как @altlinux.org, прав будет чуть больше :)
Comment 2 Serhii Hlodin 2008-02-05 20:07:14 MSK
Да я понимаю, что это не clamav-specific, но действительно такой функционал
возможно необходимо доработать и больше не начто вешать багу. Предложение Андрея
Черепанова о периодическом обновлении антивирусных баз в репозитариях
поддерживаю хотя потому, что даже мало-мальские антивирусы имеют в себе базы при
установке. Неважно какой давности, но ведь имеют! И делают предлагают полную
проверсу сразу после установеи. Да, я понимаю Витю Форсюка, когда он говорит о
чувстве ложной защищенности, но иногда это необходимо и этим пользуются.
Давайте оставим право выбора пользователю -- пользоваться базами из
репозитария(ев) или обновляться в режиме он-лайн. От этого сам проет ALT Linux
не пострадает.
Comment 3 Andrey Cherepanov 2008-02-06 12:46:27 MSK
Выложил в Сизиф clamav-db-20080206-alt0.src.rpm
Устанавливается по умолчанию в /var/lib/clamav-db, что не влияет на готовые 
базы clamav (если их кто обновляет сам). Осталось в klamav по умолчанию 
прописать путь к этому каталогу. Права позволяют писать пользователям туда.
Comment 4 Victor Forsyuk 2008-02-06 18:03:02 MSK
(In reply to comment #2)
> Предложение Андрея
> Черепанова о периодическом обновлении антивирусных баз в репозитариях
> поддерживаю хотя потому, что даже мало-мальские антивирусы имеют в себе базы при
> установке. Неважно какой давности, но ведь имеют!

Ну и? Это вступление. Аргументация где? Имеют. Из этого совсем не следует, что
нам нужно было создавать пакет, который затирает свежие версии баз старыми.

> Да, я понимаю Витю Форсюка, когда он говорит о
> чувстве ложной защищенности, но иногда это необходимо и этим пользуются.

Иногда необходимо чувство ложной защищенности?

Comment 5 Victor Forsyuk 2008-02-06 18:05:31 MSK
(In reply to comment #3)
> Выложил в Сизиф clamav-db-20080206-alt0.src.rpm
> Устанавливается по умолчанию в /var/lib/clamav-db, что не влияет на готовые 
> базы clamav (если их кто обновляет сам). Осталось в klamav по умолчанию 
> прописать путь к этому каталогу. Права позволяют писать пользователям туда.

Это ничего что каталог и файлы имеют права три семерки?
Comment 6 Andrey Cherepanov 2008-02-06 18:19:47 MSK
Ничего. Это позволит разделить проверку администратором (по старой схеме) и 
для пользователей через KlamAV. 777 сделано для обновления базы средствами 
KlamAV от простого пользователя.
Comment 7 Serhii Hlodin 2008-02-06 18:54:32 MSK
(In reply to comment #6)
> Ничего. Это позволит разделить проверку администратором (по старой схеме) и 
> для пользователей через KlamAV. 777 сделано для обновления базы средствами 
> KlamAV от простого пользователя.

Вкорне неправильное решение. KlamAV должен сначала проверять базу в
/var/lib/clamav-db и после этого в домашней директории пользователя и выбрать
более новую базу.

При этом сама директория /var/lib/clamav-db должна иметь атрибуты 755, а файлы в
ней -- 644.

В этом случае используется самая свежая база из наличиствующей. Загрузка
обновлений баз пользователя средствами klamav должна оставаться без изменений --
в домашнюю директорию пользователя.
Comment 8 Serhii Hlodin 2008-02-06 19:03:51 MSK
(In reply to comment #4)

> Ну и? Это вступление. Аргументация где? Имеют. Из этого совсем не следует, что
> нам нужно было создавать пакет, который затирает свежие версии баз старыми.

Я не это имел ввиду. Смотри мой ответ Черепанову (#7). Такое же поведение было
бы приемлемым и для самого clamd (clamscan). То есть, необходимо их научить
смотреть несколько директорий и выбирать более новую базу из существующих.

> > Да, я понимаю Витю Форсюка, когда он говорит о
> > чувстве ложной защищенности, но иногда это необходимо и этим пользуются.
 
> Иногда необходимо чувство ложной защищенности?

Конкретная ситуация. Я устанавливаю систему на новый компьютер, делаю:

apt-get update
apt-get upgrade
cp -a /backup/home/user /home/user
clamscan -r --move=/var/spool/infected/user /home

Проверяю директорию с зараженными файлами, отдаю компьютер пользователю. При
наличии свежего пакета clamscan-db я даже не задумываюсь о наличии доступа в
интернет (а конкретному данному пользователю он и не нужен), получаю свежие
базы, которые будут нормально обновляться при apt-get upgrade, трачу минимум
времени на какие-либо настройки компьютера. Явная экономия времени и ресурсов.
Comment 9 Michael Shigorin 2008-02-09 16:19:30 MSK
(In reply to comment #7)
> При этом сама директория /var/lib/clamav-db должна иметь атрибуты 755, а файлы в
> ней -- 644.
+1

PS: ab@ огорчился, что его не расслышали.
Comment 10 Victor Forsyuk 2008-02-11 15:28:27 MSK
(In reply to comment #9)
> (In reply to comment #7)
> > При этом сама директория /var/lib/clamav-db должна иметь атрибуты 755, а файлы в
> > ней -- 644.
> +1

Это без вариантов. Не понятно только по каким соображениям каталог вообще не
упакован в пакет clamav-db.

> PS: ab@ огорчился, что его не расслышали.

Меня это тоже огорчает, поскольку он предложил единственно правильный метод
решения проблемы.