:: /
: havp
Gear Bugs and FR Repocop
Комментарии к сборке пакета havp.
Для сканирования havp сохраняет загружаемые файлы на диск. Тот раздел, на
который он сохраняет файлы для проверки должен быть смонтирован с опцией -o mand
(mandatory looks). В связи с этим возможны такие варианты:
1. Создать отдельный раздел и монтировать его в fstab с необходимыми опциями
2. Использовать для монтирования tmpfs
3. Использовать loop (создается файл, указанный в ram_disk, в котором создается
файловая система и который затем монтируется).
В данной сборке реализованы все варианты. Для ручного создания, монтирования раздела
(вариант 1) необходимо установть manual_mount="1". При этом пропускаются какие-либо
действия по монтированию необходимых разделов.
Вариант 2 используется как основной по умолчанию. Выбор варианта осуществляется в
/etc/havp/spool_disk.config через изменение use_tmpfs_disk.
В варианте 3 на диске создается файл (ram_disk=/var/tmp/havp.disk) в котором создается
файловая система и затем она монтируется.
Размер раздела указывается в disk_size. Размер болжен быть таким, чтобы могли
поместиться все что в данный момент закачивается.
Например, если размер указан 1 гигабайт и загружается файл размером в 1,5
гигабайта, то havp не сможет проверить данный файл (у меня просто обрезался) и
выдается ошибка 130. В связи с этим необходимо указывать максимальный вероятный
размер раздела, например 10GB. По умолчанию 1GB.
NB! Если использовать tmpfs (вариант 2) на машине с 512MB + swap 512MB то,
память может быстро закончиться. В связи с этим я использую swapd, который
следит за наличием свободной памяти и при необходимости добавляет дополнительные
swap файлы. Не забудьте проверить наличие свободного места на /swap. Также, в
зависимости от вашей сети, возможно потребуется более тонкая настройка swapd,
чтобы он "успевал" отслеживать быстро изменяющееся состояние памяти.
В целях безопасности havp слушает только localhost. Если необходимо, измените
переменную BIND_ADDRESS в havp.config
Использование как отдельного прокси сервера.
После установки пакета, havp готов к работе. По умолчанию сервис havp не
запущен. Поэтому проверьте командой #chkconfig --list havp и укажите на каком
уровне должен запускаться сервис. Затем #service havp start.
Укажите в вашем браузере использовать прокси сервер, например localhost:8080 (если
havp установлен на Вашей машине). Или настройте прозрачное проксирование. Для
этого настройте iptables и укажите в havp.config - TRANSPARENT true.
Совместное использование со squid.
Havp может использоваться в связке со сквидом.
Оригинал взят с http://www.server-side.de/ideas.htm
Вариант 1.
Users -> Squid -> AV -> Web Server
Преимущества:
1. Могут быть использованы acl сквида.
2. Кешированные файлы не будут сканироваться. Чтобы этого избежать,
достаточно просто после подключения havp очистить кеш сквида.
Недостатки:
1. Инфицированные Файлы в кеше не будут просканированы
Для настройки сквида для такой схемы работы необходимо добавить в
/etc/squid/squid.conf:
acl all src 0.0.0.0/0.0.0.0
#Указываем использовать родительский прокси сервер
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
#Указываем http трафик всегда брать с родительского прокси сервера
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP
Вариант 2.
Users -> AV -> Squid -> Web Server
Преимущества:
1. Все загружаемые файлы будут сканироваться.
Недостатки:
1. Не могут быть использованы acl сквида.
2. Не возможно снимать статистику с лога сквида, т.к. обращение всегда идет с
127.0.0.1
Для настройки сквида для такой схемы работы необходимо добавить в
/etc/havp/havp.config:
PARENTPROXY localhost
PARENTPORT 3128