doc:appunti:linux:sa:clamav_permissions
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revision | ||
doc:appunti:linux:sa:clamav_permissions [2020/06/16 11:54] – created niccolo | doc:appunti:linux:sa:clamav_permissions [2020/06/16 12:25] (current) – [Esecuzione senza privilegi di root] niccolo | ||
---|---|---|---|
Line 49: | Line 49: | ||
</ | </ | ||
- | Se si desidera mantenre l' | + | Se si desidera mantenre l' |
< | < | ||
aa-disable / | aa-disable / | ||
</ | </ | ||
+ | |||
+ | Il **socket** verrà creato con i seguenti permessi: | ||
+ | |||
+ | < | ||
+ | srw-rw-rw- 1 root clamav 0 Jun 16 12:08 / | ||
+ | </ | ||
+ | |||
+ | Per verificare che clamd stia girando con i permessi di root, è sufficiente richiamare **clamdscan** su **un file che non sia world-readable**: | ||
+ | |||
+ | < | ||
+ | chmod 600 / | ||
+ | clamdscan / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | Il profilo clamd resta disabilitato anche **dopo un reboot**, viene eventualmente ripristinato in caso di rimozione e reinstallazione del pacchetto clamav-daemon oppure utilizzando il comando **aa-enforce**. | ||
+ | |||
+ | ===== Esecuzione senza privilegi di root ===== | ||
+ | |||
+ | Ovviamente la **soluzione ottimale** è lasciare che **clamd** venga eseguito **senza privilegi di root**. In queste condizioni un file non-world readable non è direttamente accessibile da clamd: | ||
+ | |||
+ | < | ||
+ | clamdscan / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | La soluzione è utilizzare il parametro **%%--fdpass%%** di **clamdscan** che consente (solo lavorando su Unix socket) di passare il file descriptor al demone: | ||
+ | |||
+ | < | ||
+ | clamdscan --fdpass / | ||
+ | / | ||
+ | </ | ||
+ |
doc/appunti/linux/sa/clamav_permissions.1592301254.txt.gz · Last modified: 2020/06/16 11:54 by niccolo