[Postfixbuch-users] clamav stirbt
Peer Heinlein
p.heinlein at heinlein-support.de
Di Feb 3 23:21:05 CET 2009
Am Dienstag, 3. Februar 2009 schrieb Christian Bricart:
> obwohl du damit Signaturupdates aus "trunk" ziehst - ich würde dann
> eher sagen, dass es der Fehler von clamav.net ist, keine
> abwärtskompatiblen (oder backgeportete) Signaturen für (ver)alte(te)
> Versionen
> bereitzustellen..
Genau. Diese dooooooooooooooofen Virenprogrammierer sind schuld. Die
sollen sich gefälligst an den Code-Freeze von Debian halten und keine
neuen Viren-Techniken benutzen, die man mit einem veralteten Binary eben
nicht mehr scannen kann.
Das erklär mal nach $upstream im Unternehmen: Unser Netzwerk wurde
gehackt, 1000 Desktops geschrottet weil der Virenprogrammierer
illegalerweise (!) einen Hack genutzt hat, den Debian stable nunmal nicht
kannte. Ist aber voll gut für ein Unternehmen, so ein Debian. Krass
stabil und sicher für alle.
> Dann sollte evtl. freshclam die Signaturen nicht einspielen.. also
> Fehler/Unzulänglichkeit in freshclam, oder?
Genau. Und Debian erklärt mir jetzt, daß man Netzwerke de facto nicht mehr
gegen Viren schützen soll. Nee, jetzt wird's pervers.
Aaaaaaaaaaaaber: Selbst wenn es ein ClamAV-Problem ist -- dann soll
Debian das doch bitte als Bug verfolgen und in der Debian-Version
rauspatchen. Andere Bugs werden ja auch behoben.
> Soviel ich mitbekommen habe, ist die gesamte Problematik auch bei
> Debian bekannt und nachdem ja volatile ein offizielles Repository ist
> (seit Umzug von volatile.debian,net -> volatile.debian.org) wird es bei
> Installation von/ab Lenny direkt bei der Installation schon nebst
> "security" zum Anklicken angeboten. Und nochmal gesagt: Dieses
> Repository ist und gehört zu *stable* und nicht
> unstable/backports/testing/whatever.
Dann ist es ein Bug daß es in der sources.list nicht vorhanden ist, bzw.
durch einen Bugfix nachinstalliert wird.
> Anderer Vorschlag zu einem System-Setup:
> - Server aufsetzen mit Debian "stable" und Kernel-flavour "vserver"
> (was ich immer gerne als "chroot-on-steroids" bezeichne)
> - kleine chroot (evtl. debootstrap wenn's auch Debian sein soll, kann
> ja dann unstable sein - sollte ja keine grossen Abhängikeiten geben,
> wenn's nur ein spezielles Programm ist) als vserver-Gast
> reininstallieren und exkusiv clamav dort rein.
> - das Virenscannen die chroot erledigen lassen, den Rest "aussen"
> machen - oder direkt auf nen externen Scanner-Rechner(-Cluster)
> schicken, der unter einer Distribution nach Wahl (evtl sogar auch LFS)
> läuft (kommt halt hier noch TCP-Overhead dazu..)
Anderer Vorschlag:
OpenSUSE nehmen, 10 mal Enter drücken und nach weniger als 15 Minuten
fertig sein und sorgenfrei die Jahre verbringen ohne einen einzigen
Klimmzug. Wie wäre es damit? Dann stimmen sogar Postfix und Amavis
wieder. Hurra! Und die SUSE-Pakete haben im gegensatz zu Debian sogar
korrekte Abhängigkeiten zu den für Amavis wichtigen Packern. Hurra!
Peer
--
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de
Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
Mehr Informationen über die Mailingliste Postfixbuch-users