[Postfixbuch-users] clamav stirbt

Peer Heinlein p.heinlein at heinlein-support.de
Di Feb 3 23:21:05 CET 2009


Am Dienstag, 3. Februar 2009 schrieb Christian Bricart:


> obwohl du damit Signaturupdates aus "trunk" ziehst - ich würde dann
> eher sagen, dass es der Fehler von clamav.net ist, keine
> abwärtskompatiblen (oder backgeportete) Signaturen  für (ver)alte(te)
> Versionen
> bereitzustellen..

Genau. Diese dooooooooooooooofen Virenprogrammierer sind schuld. Die 
sollen sich gefälligst an den Code-Freeze von Debian halten und keine 
neuen Viren-Techniken benutzen, die man mit einem veralteten Binary eben 
nicht mehr scannen kann.

Das erklär mal nach $upstream im Unternehmen: Unser Netzwerk wurde 
gehackt, 1000 Desktops geschrottet weil der Virenprogrammierer 
illegalerweise (!) einen Hack genutzt hat, den Debian stable nunmal nicht 
kannte. Ist aber voll gut für ein Unternehmen, so ein Debian. Krass 
stabil und sicher für alle. 

> Dann sollte evtl. freshclam die Signaturen nicht einspielen.. also
> Fehler/Unzulänglichkeit in freshclam, oder?

Genau. Und Debian erklärt mir jetzt, daß man Netzwerke de facto nicht mehr 
gegen Viren schützen soll. Nee, jetzt wird's pervers.

Aaaaaaaaaaaaber: Selbst wenn es ein ClamAV-Problem ist  -- dann soll 
Debian das doch bitte als Bug verfolgen und in der Debian-Version 
rauspatchen. Andere Bugs werden ja auch behoben.

> Soviel ich mitbekommen habe, ist die gesamte Problematik auch bei
> Debian bekannt und nachdem ja volatile ein offizielles Repository ist
> (seit Umzug von volatile.debian,net -> volatile.debian.org) wird es bei
> Installation von/ab Lenny direkt bei der Installation schon nebst
> "security" zum Anklicken angeboten. Und nochmal gesagt: Dieses
> Repository ist und gehört zu *stable* und nicht
> unstable/backports/testing/whatever.

Dann ist es ein Bug daß es in der sources.list nicht vorhanden ist, bzw. 
durch einen Bugfix nachinstalliert wird.

> Anderer Vorschlag zu einem System-Setup:
> - Server aufsetzen mit Debian "stable" und Kernel-flavour "vserver"
> (was ich immer gerne als "chroot-on-steroids" bezeichne)
> - kleine chroot (evtl. debootstrap wenn's auch Debian sein soll, kann
> ja dann unstable sein - sollte ja keine grossen Abhängikeiten geben,
> wenn's nur ein spezielles Programm ist) als vserver-Gast
> reininstallieren und exkusiv clamav dort rein.
> - das Virenscannen die chroot erledigen lassen, den Rest "aussen"
> machen - oder direkt auf nen externen Scanner-Rechner(-Cluster)
> schicken, der unter einer Distribution nach Wahl (evtl sogar auch LFS)
> läuft (kommt halt hier noch TCP-Overhead dazu..)

Anderer Vorschlag:

OpenSUSE nehmen, 10 mal Enter drücken und nach weniger als 15 Minuten 
fertig sein und sorgenfrei die Jahre verbringen ohne einen einzigen 
Klimmzug. Wie wäre es damit? Dann stimmen sogar Postfix und Amavis 
wieder. Hurra! Und die SUSE-Pakete haben im gegensatz zu Debian sogar 
korrekte Abhängigkeiten zu den für Amavis wichtigen Packern. Hurra!

Peer


-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin



Mehr Informationen über die Mailingliste Postfixbuch-users