|
|
Besucher 727653
Ansichten 419
Online 0 |
|
|
SELinux, amavisd-new und Antivir
| |
| Thema |
Verfasser |
Letzte Antwort |
| SELinux, amavisd-new und Antivir |
Marcus ( ---.185.75.12) |
21 Aug 2008 08:12 | Hallo zusammen.
Ich nutze auf meiner RHEL5 Maschine amavisd-new in Kombination mit dem Antivir Virenscanner. Wenn ich nun SELinux aktiviert habe kommt beim Aufruf von Antivir aus amavis heraus folgende Fehlerbmeldung:
(host 127.0.0.1[127.0.0.1] said: 451 4.5.0 Error in processing,
id=06437-01, virus_scan FAILED: virus_scan: ALL VIRUS SCANNERS FAILED:
Avira AntiVir av-scanner FAILED: /usr/bin/antivir unexpected exit 8,
output="" at (eval 45) line 511. (in reply to end of DATA command))
Muss ich ggfls. für amavisd-new ein selinux Profil erstellen, in dem ich festlege das der Zugriff auf /usr/lib/AntiVir gestattet ist?
Update: Ich habe nun mit:
chcon -t bin_t /usr/lib/AntiVir/antivir
die Antivir binary zum context hinzugefügt. Allerdings bin ich mir nicht sicher ob es nicht noch 'schönger' geht. Eigentlich möchte ich ja das innerhalb der Domain nur amavis erlauben auf die Antivir binary zugreifen zu können?
Viele Grüße
Marcus
Viele Grüße
Marcus |
| ||
| RE: SELinux, amavisd-new und Antivir | Ralf ( ---.dip.t-dialin.net) | 12 Aug 2008 12:15 |
Hallo,
dies ist eine mögliche einfache Variante. Alles andere ist unötig komplizierter.
Gruß,
Ralf
| | RE: SELinux, amavisd-new und Antivir | /dev/null ( ---.gv.chirado.net) | 21 Aug 2008 07:48 |
Hallo Marcus,
die aktuelle Version von Avira's AVMailagte ist technisch eine mittlere Katastrophe. Dies beginnt bereits damit, dass das Programm den Filesystem Hierarchy Standard (http://www.pathname.com/fhs/) nicht einhält und sowohl veränderbare als auch ausführbare Dateien unter /usr/lib/ speichert (konkret: im Verzeichnis /usr/lib/AntiVir). Ein weiteres Übel in der Architektur ist das Programm "antivir", das je nach Aufrufparameter sowohl als Update-Daemon als auch als Scan-Engine operiert. Außerdem ruft es diverse Programme (mount, uname) direkt auf.
Kurzum, für AVMailagte eine vernünftige SELinux-Policy zu schreiben, ist möglich, aber sehr aufwendig (ich kenne jemanden, der dies getan hat).
Der Typ, den Du mit dem chcon-Befehl gesetzt hast, wird meiner Einschätzung nach nicht erhalten bleiben, wenn AVMailgate eine Aktualisierung der Engine durchführt, weil der Update-Daemon (s. o.) standardmäßig in der Domäne "initrc_t" ausgeführt wird und das Verzeichnis /usr/lib/Antivir nicht den Typ "bin_t" besitzt.
Im September wird eine neue Version von AVMailgate erscheinen, welche viele der architektonischen Fehler beseitigt.
ciao
LSC
|
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: