clamAV et Samba

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Messagepar Cool34000 » 03 Août 2007 19:21

Re,

Je pense aussi que ca vaudrait le coup... Je t'avouerai ne pas avoir cherché à comprendre : j'ai suivi le howto à la lettre (sauf pour les templates et le dossier de quarantaine que je commence à connaitre), créé les 2 fichiers et packagé le tout... Les yeux fermés... Même pas peur ! :oops:
Je n'ai même pas lu le moindre lien que Trixel a donné... Ni même regardé les logs...

Je vais essayer de creuser ca ce soir... Sauf si quelqu'un veut bien s'y pencher ! :wink:
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar Cool34000 » 03 Août 2007 23:59

Salut,

Je viens de me pencher sur le problème de l'utilisateur root vs clamd...
Il y a bien un problème de droit d'accès aux fichiers :
Aug 3 23:48:39 sme-box smbd_vscan-clamav[4807]: ERROR: file /home/e-smith/files/ibays/test/files/eicar.zip not found, not readable or an error occured
Aug 3 23:48:39 sme-box smbd_vscan-clamav[4807]: ERROR: daemon failed with a minor error - access to file eicar.zip denied
Une erreur logique puisque le user clamd n'est pas autorisé à accéder aux ibays ! Mon ibay de test était plus que permissive : lecture/écriture pour tout le monde (groupe shared, dont visiblement clamd ne fait pas parti)
Si quelqu'un a une idée de comment contourner le problème...
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar trixel » 04 Août 2007 12:26

lorsque clamd fait son scan hebdo, il a bien accès aux ibays, non ?
Livebox + SME 7
trixel
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 198
Inscrit le: 04 Mars 2005 17:36

Messagepar trixel » 04 Août 2007 12:49

ok j'ai un début de solution (bien que je pense pas que ce soit top).
Si on met dans le fichier smbusers le compte clamav, il arrive à scanner les ibays (pasles dossiers utilisateurs par contre) mais j'ai peur qu'après n'importe qui arrive à accéder aux partages samba avec le compte clamav
Livebox + SME 7
trixel
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 198
Inscrit le: 04 Mars 2005 17:36

Messagepar trixel » 04 Août 2007 12:54

bon ben autant pour moi le scan fonctionne dans les ibays mais on a pas accès aux partages avec le compte clamav en essayant de se connecter, donc ça parait une bonne piste.

Reste à trouver un moyen pour que le compte clamav est le droit d'accéder aux comptes utilisateurs
Livebox + SME 7
trixel
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 198
Inscrit le: 04 Mars 2005 17:36

Messagepar jibe » 04 Août 2007 18:57

Salut,

Juste une petite remarque qui pourrait éventuelement être une piste : vous parlez d'un user clamd, mais sur ma SME le répertoire de quarantaine est possédé par clamav :
Code: Tout sélectionner
drwxr-s---  2 clamav clamav 4096 avr 19 02:28 quarantine

Ne faites-vous pas confusion entre ces deux users, ce qui expliquerait les problèmes d'accès ?

Parce que la remarque de trixel est pertinente :
trixel a écrit:lorsque clamd fait son scan hebdo, il a bien accès aux ibays, non ?

et pour faire son scan, il doit avoir au moins des droits de lecture. Mais comme également il déplace le cas échéant les fichiers infectés dans son répertoire de quarantaine, il faut bien qu'il ait accès aux ibays en écriture ! Ou alors, il y a vraiment un truc qui m'échappe ! (se pourrait-il qu'il fasse ce scan en étant root ?)
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar trixel » 04 Août 2007 20:09

c ce que je disais quand on met l'utilisateur clamav dans le fichier /etc/samba/smbusers il arrive à scanner les ibays mais pas les comptes persos.
Livebox + SME 7
trixel
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 198
Inscrit le: 04 Mars 2005 17:36

Messagepar Cool34000 » 05 Août 2007 09:49

Salut,

jibe a écrit:Juste une petite remarque qui pourrait éventuelement être une piste : vous parlez d'un user clamd, mais sur ma SME le répertoire de quarantaine est possédé par clamav
C'est une erreur de ma part, il s'agit bien du user clamav (clamd étant le démon)

trixel a écrit:lorsque clamd fait son scan hebdo, il a bien accès aux ibays, non ?
En effet, la remarque de trixel est plus que pertinente et je ne vois pas comment il accède aux ibays... Sans doutes en étant lancé avec le user root comme tu le suggère jibe. Il faudra regarder du coté des crons pour le valider.

trixel a écrit:Si on met dans le fichier smbusers le compte clamav, il arrive à scanner les ibays
C'est surement un début de solution. Pour ma part je n'y vois pas de problème de sécurité, mais je suis loin d'être un expert en sécurité Linux ! Enfin ca me parait déja mieux que scanner directement avec root ! Reste le problème des dossiers Home des utilisateurs...

Je n'ai eu aucune réponse sur la mailing list, surement parce que c'est l'été :roll:
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar Cool34000 » 05 Août 2007 09:55

Re...

Juste une confirmation : voici le contenu de /etc/cron.d/clamav
Code: Tout sélectionner
# smeserver-clamscan filesystem scan
51   0   *   *   *   root   /sbin/e-smith/smeserver-clamscan
Peut-on alors parler de risque de sécurité si le scanner en temps réel utilise le user root ?
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar jibe » 06 Août 2007 22:20

Salut,

Pour ma part, je ne vois pas bien quel risque de sécurité il peut y avoir à lancer clamav en tant que root... Il lui faut de toutes façons un accès à tous les fichiers, cela parait finalement assez logique ! Et je vois mal comment un quelconque pirate pourait tirer profit d'un scan de clamav, qu'il soit ou non lancé en tant que root !

Par contre, je ne ressens pas vraiment comme "SME spirit" le fait d'ajouter clamav aux smbusers. Intéressant à essayer pour tests, mais je suis plus réservé pour une utilisation habituelle... Et si en plus ça ne fonctionne pas pour les home, plus aucun intérêt.

Et pour cette question de fonctionnement, je dirais que les ibays ont vocation à être ouvertes à plusieurs (groupe), alors que les home d'utilisateurs sont des espaces strictement personnels. Il est donc normal qu'un autre smbuser n'y ait pas accès :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar trixel » 07 Août 2007 10:48

Bon ben vu ce qui est dit là, le RPM créé doit être ok alors ? je vais essayer de l'installer (je vais d'abord enlever les modifs faites à la main) .

Cool34 : comment on change les paramètres une fois le rpm installé (par exmple rep de quarantaine, taille des fichiers analysés, etc)
Livebox + SME 7
trixel
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 198
Inscrit le: 04 Mars 2005 17:36

Messagepar trixel » 07 Août 2007 10:56

Cool34000 : J'ai testé ton rpm mais ça ne change pas l'user clamav en root , c normal ?
Livebox + SME 7
trixel
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 198
Inscrit le: 04 Mars 2005 17:36

Messagepar jibe » 07 Août 2007 18:45

Salut,

trixel a écrit:Bon ben vu ce qui est dit là, le RPM créé doit être ok alors ?

:lol: Peut-être...

Attention : le rôle d'un expert en sécurité est de signaler les failles que d'autres experts n'ont pas vues. Donc, lorsqu'un expert (ce qui n'est même pas mon cas !) dit qu'il ne voit pas de faille de sécurité, ça veut simplement dire que c'est un autre qui trouvera celle(s) qu'il n'a pas vue(s) :P

Autrement dit, plus il y a d'experts qui disent qu'ils ne voient plus de failles, moins il y a de chances qu'un pirate réussisse à exploiter celle(s) qui reste(nt).

Autrement dit encore, on peut prouver l'existence d'une faille, mais il faut toujours garder à l'esprit que l'absence de preuve n'est pas preuve de l'absence.

Dans notre cas, vous êtes deux à craindre une faille (sans la démontrer), et je suis seul à affirmer que je n'en vois pas... Image
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Cool34000 » 07 Août 2007 21:58

Salut,

Héhé, j'ai templatisé les fichiers... Ils sont donc à leur place !!! 8)

- Ton ancien fichier vscan-clamav.conf est donc découpé dans ce dossier :
Code: Tout sélectionner
/etc/e-smith/templates/etc/samba/vscan-clamav.conf/
- La modification dans smb.conf (section globals) est dans ce fichier :
Code: Tout sélectionner
/etc/e-smith/templates/etc/smb.conf/10globals-1
- Quand à la modification du user, elle est effectuée par un template-custom puisque le template existe déja ! Il est donc caché dans ce fichier :
Code: Tout sélectionner
/etc/e-smith/templates-custom/etc/clam.conf/User


Certains réglages peuvent être fait via la DB de SME :
- taille maxi des fichiers scannés (défaut 5Mo)
- l'envoi ou non du message par le service messenger de 2000/XP (inutile sous vista)
- l'action à entreprendre en cas d'infection

Pour plus d'infos
Code: Tout sélectionner
# config show vscan
Requis si tu changes une valeur
Code: Tout sélectionner
expand-template /etc/samba/vscan-clamav.conf
/etc/init.d/smbd restart
service smb restart



Tout cela était expliqué à l'install du RPM
L'install du RPM a écrit:[root@sme-box ~]# rpm -Uvh *.rpm
Préparation... ########################################### [100%]
1:smeserver-samba-vscan ########################################### [100%]
Restarting smbd [ OK ]
Restarting nmbd [ OK ]
Restarting smbd [ OK ]

-------------------------------------------------------------------------------
maxfilesize: 0 or size in bytes (i.e. 5000000 for 5MB)
sendwarning: yes/no
action : nothing/delete/quarantine
After any change you need the following commands:
expand-template /etc/samba/vscan-clamav.conf
/etc/init.d/smbd restart
service smb restart

vscan=service
action=quarantine
maxfilesize=5000000
sendwarning=yes
-------------------------------------------------------------------------------


Voili voilou !
Enfin si l'utilisation de l'utilisateur ROOT ne pose pas de problème, je suis ravi... Mais ca ne me parait pas très conventionnel quand même. Ne pouvant expliquer pourquoi, on dira que c'est pas trop mal... Jusqu'à ce que ca soit un peu mieux (sur le même ton convaincu que Bill Gates lors de la présentation de W98 à la presse mondiale rolf)
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar Cool34000 » 07 Août 2007 22:14

Re...

Un ptit oubli : le dossier de quarantaine a été déplacé comme expliqué "à sa place"
Les virus arrivent donc dans le dossier :
/var/spool/clamav/quarantine

Le template à modifier (de préférence par un template-custom si tu veux garder tes réglages après une mise à jour du RPM par exemple) est celui la :
Code: Tout sélectionner
/etc/e-smith/templates/etc/samba/vscan-clamav.conf/07infected-action
N'oublie pas les commandes nécessaire après toute modif de la conf :
Code: Tout sélectionner
expand-template /etc/samba/vscan-clamav.conf
/etc/init.d/smbd restart
service smb restart


Je crois que j'ai fais le tour !
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Précédent

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron