rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:clamav_permissions

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
doc:appunti:linux:sa:clamav_permissions [2020/06/16 11:54] – created niccolodoc:appunti:linux:sa:clamav_permissions [2020/06/16 12:25] (current) – [Esecuzione senza privilegi di root] niccolo
Line 49: Line 49:
 </code> </code>
  
-Se si desidera mantenre l'infrastruttura apparmor attiva, è comunque possibile disabilitare il profilo clamd (viene creato un link simbolico in **/etc/apparmor.d/disable/**):+Se si desidera mantenre l'infrastruttura apparmor attiva, è comunque possibile disabilitare il profilo clamd. È necessario installare il pacchetto **apparmor-utils** ed eseguire quanto segue (viene creato un link simbolico in **/etc/apparmor.d/disable/**):
  
 <code> <code>
 aa-disable /etc/apparmor.d/usr.sbin.clamd aa-disable /etc/apparmor.d/usr.sbin.clamd
 </code> </code>
 +
 +Il **socket** verrà creato con i seguenti permessi:
 +
 +<code>
 +srw-rw-rw- 1 root clamav 0 Jun 16 12:08 /var/run/clamav/clamd.ctl
 +</code>
 +
 +Per verificare che clamd stia girando con i permessi di root, è sufficiente richiamare **clamdscan** su **un file che non sia world-readable**:
 +
 +<code>
 +chmod 600 /root/mail-test-eicar-antivirus.com 
 +clamdscan /root/mail-test-eicar-antivirus.com 
 +/root/mail-test-eicar-antivirus.com: Eicar-Signature FOUND
 +</code>
 +
 +Il profilo clamd resta disabilitato anche **dopo un reboot**, viene eventualmente ripristinato in caso di rimozione e reinstallazione del pacchetto clamav-daemon oppure utilizzando il comando **aa-enforce**.
 +
 +===== Esecuzione senza privilegi di root =====
 +
 +Ovviamente la **soluzione ottimale** è lasciare che **clamd** venga eseguito **senza privilegi di root**. In queste condizioni un file non-world readable non è direttamente accessibile da clamd:
 +
 +<code>
 +clamdscan /root/mail-test-eicar-antivirus.com 
 +/root/mail-test-eicar-antivirus.com: lstat() failed: Permission denied. ERROR
 +</code>
 +
 +La soluzione è utilizzare il parametro **%%--fdpass%%** di **clamdscan** che consente (solo lavorando su Unix socket) di passare il file descriptor al demone:
 +
 +<code>
 +clamdscan --fdpass /root/mail-test-eicar-antivirus.com 
 +/root/mail-test-eicar-antivirus.com: Eicar-Signature FOUND
 +</code>
 +
doc/appunti/linux/sa/clamav_permissions.1592301254.txt.gz · Last modified: 2020/06/16 11:54 by niccolo