[Postfixbuch-users] clamav stirbt
Uwe Driessen
driessen at fblan.de
Mi Feb 4 01:37:12 CET 2009
On Behalf Of Peer Heinlein
> Am Dienstag, 3. Februar 2009 schrieb Christian Bricart:
>
> > obwohl du damit Signaturupdates aus "trunk" ziehst - ich würde dann
> > eher sagen, dass es der Fehler von clamav.net ist, keine
> > abwärtskompatiblen (oder backgeportete) Signaturen für (ver)alte(te)
> > Versionen
> > bereitzustellen..
>
> Genau. Diese dooooooooooooooofen Virenprogrammierer sind schuld. Die
> sollen sich gefälligst an den Code-Freeze von Debian halten und keine
> neuen Viren-Techniken benutzen, die man mit einem veralteten Binary eben
> nicht mehr scannen kann.
>
> Das erklär mal nach $upstream im Unternehmen: Unser Netzwerk wurde
> gehackt, 1000 Desktops geschrottet weil der Virenprogrammierer
> illegalerweise (!) einen Hack genutzt hat, den Debian stable nunmal nicht
> kannte. Ist aber voll gut für ein Unternehmen, so ein Debian. Krass
> stabil und sicher für alle.
Nun wirst du aber "politisch"
Jeder der ein Auto im öffentlichen Verkehr bewegen will "muß" lt. Gesetz im Besitz einer
gültigen Fahrerlaubnis. Lt. Gesetz müssen die Insassen sich auch an die Verkehrsregeln
halten und einen Sicherheitsgurt anlegen.
Im Internet schert sich da keiner drum und alle geben den Sicherheitsgurten die Schuld an
den Unfällen.
Alle Medien sind voll von Ratschlägen wie man sich verhalten soll keiner hört zu.
Sind wir nur noch Kindermädchen?
Ich stehe immer noch auf dem Standpunkt das man eben diese Unfälle im Netz mit Tödlichen
Ausgang (für die PC's) nicht durch noch so gute Anti-Virenprogramme sondern durch schulen
der Mitarbeiter erreicht.
Ein gutes System 99% der Bedrohung vor den Sicherheitsgurten abfängt.
Wer hindert dich denn daran eines der kommerziellen Programme auf einem Debian stable zu
installieren?
Ob die nun besser funktionieren oder ab und an auch das System lahmlegen weil zwar die
Programme intern stimmig sind aber sich eben nicht sauber ins system integrieren.....
>
> > Dann sollte evtl. freshclam die Signaturen nicht einspielen.. also
> > Fehler/Unzulänglichkeit in freshclam, oder?
>
> Genau. Und Debian erklärt mir jetzt, daß man Netzwerke de facto nicht mehr
> gegen Viren schützen soll. Nee, jetzt wird's pervers.
Es gibt den Weg damit umzugehen und ein beliebter Spruch den ich auch immer wieder meinen
Kunden sage lautet " Technik nutzt man wie sie funktioniert und nicht man meint das sie
funktionieren müsste"
>
> Aaaaaaaaaaaaber: Selbst wenn es ein ClamAV-Problem ist -- dann soll
> Debian das doch bitte als Bug verfolgen und in der Debian-Version
> rauspatchen. Andere Bugs werden ja auch behoben.
Nimm testing und schau dir an was wann in Testing reinfliest und du wirst glücklich sein
(ich würde da auch eher release Kandidat zu sagen wie testing)
>
> > Soviel ich mitbekommen habe, ist die gesamte Problematik auch bei
> > Debian bekannt und nachdem ja volatile ein offizielles Repository ist
> > (seit Umzug von volatile.debian,net -> volatile.debian.org) wird es bei
> > Installation von/ab Lenny direkt bei der Installation schon nebst
> > "security" zum Anklicken angeboten. Und nochmal gesagt: Dieses
> > Repository ist und gehört zu *stable* und nicht
> > unstable/backports/testing/whatever.
>
> Dann ist es ein Bug daß es in der sources.list nicht vorhanden ist, bzw.
> durch einen Bugfix nachinstalliert wird.
>
> > Anderer Vorschlag zu einem System-Setup:
> > - Server aufsetzen mit Debian "stable" und Kernel-flavour "vserver"
> > (was ich immer gerne als "chroot-on-steroids" bezeichne)
> > - kleine chroot (evtl. debootstrap wenn's auch Debian sein soll, kann
> > ja dann unstable sein - sollte ja keine grossen Abhängikeiten geben,
> > wenn's nur ein spezielles Programm ist) als vserver-Gast
> > reininstallieren und exkusiv clamav dort rein.
> > - das Virenscannen die chroot erledigen lassen, den Rest "aussen"
> > machen - oder direkt auf nen externen Scanner-Rechner(-Cluster)
> > schicken, der unter einer Distribution nach Wahl (evtl sogar auch LFS)
> > läuft (kommt halt hier noch TCP-Overhead dazu..)
>
> Anderer Vorschlag:
>
> OpenSUSE nehmen, 10 mal Enter drücken und nach weniger als 15 Minuten
> fertig sein und sorgenfrei die Jahre verbringen ohne einen einzigen
> Klimmzug. Wie wäre es damit? Dann stimmen sogar Postfix und Amavis
> wieder. Hurra! Und die SUSE-Pakete haben im gegensatz zu Debian sogar
> korrekte Abhängigkeiten zu den für Amavis wichtigen Packern. Hurra!
Ich hab mir nur einmal Suse angetan *gg
Und zu Linux habe ich gelernt es geht alles es muß aber auch jemand tun und ob da nach 15
Minuten ein für den Einsatz spezielles System rauskommt wage ich mal einfach zu
bezweifeln.(man kann natürlich auch einfach alle DVD's installieren *gg)
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
Mehr Informationen über die Mailingliste Postfixbuch-users