ARTYKUŁ Z SERII Ochrona antywirusowa z wykorzystaniem ClamAV Jak zmusić Sendmaila do pracy z ClamAV |
Nowości W wersjach <= 0.65 ClamAV wykryty został błąd, którego wykorzystanie dokonuje DoS demona clamd W pośpiechu została więc wydana wersja 0.66, która posiadała kilka niedociągnięć. Obecnie zalecaną wersją stabilną jest 0.67 Spis treści 1. Wprowadzenie 2. Jak to działa? 3. Zapotrzebowanie na oprogramowanie 4. Konfiguracja serwera Sendmail 5. Kompilacja ClamAV 6. Uruchamianie 7. Obserwacje i analiza logów Po dłuuugiej przerwie, naszła mnie znów ochota na przygotowanie jakiegoś małego HOWTO. Tym razem zajmę się odwiecznym problemem wirusów, które pustoszą komputery naszych biednych userów i ich wspaniałe windowsy :) 1. Wprowadzenie Jak już w tytule mogliście przeczytać, opiszę sposób w jaki można połączyć Sendmaila z tworzonym na licencji GPL, programem antywirusowym ClamAV. Projekt zapoczątkowany został przez Tomasza Kojma a obecnie rozwijany jest przez międzynarodowy zespół programistów. W chwili powstawania tego HOWTO, ostatnią stabilną wersją ClamAV był 0.65 tak więc wszelkie pliki konfiguracyjne i rozwiązania będą omawiane w oparciu o tę wersję. Zachęcam was również do prób ze snapshotami. Można tam znaleźć naprawdę wiele nowych i przydatnych funkcji. 2. Jak to działa? Na początek krótko opiszę zasadę działania takiego rozwiązania. Gdy ktoś wysyła pocztę do użytkownika, którego konto znajduje się na naszym serwerze, wówczas serwer pocztowy, (MTA - Mail Transfer Agent) w tym przypadku Sendmail, odbiera ją a następnie jeśli przesyłka spełnia odpowiednie wymagania, zapisuje ją jako nową pocztę dla konkretnego użytkownika. Zanim jednak taka przesyłka trafi jako nowy e-mail, zostaje poddana serii testów i musi przejść przez odpowiednie filtry (zupełnie jak student w sesji :>). Sendmail posiada wspaniały mechanizm do zarządzania zawartością e-maili jakim jest milter (Sendmail's Content Management API). Ogólnie mówiąc, milter to pewien rodzaj wewnętrznego API Sendmaila, które pozwala na pełne zarządzanie zawartością przesyłek; tak nagłówkami jak i samą treścią maila. Na tej stronie dowiecie się więcej na temat tego mechanizmu. Biblioteka libmilter wykorzystywana jest przez filtry antyspamowe, programy do zarządzania treścią maili oraz przez programy antywirusowe. Jednym z takich filtrów jest clamav-milter, którego autorem jest Nigel Horne. Filtr ten (a raczej skaner e-mailowy) wchodzący w skład projektu ClamAV dzięki temu, że napisany został w C, jest bardzo szybki i wydajny. clamav-milter może łączyć się z demonem ClamAV - clamd na dwa sposoby. Albo poprzez local socket albo poprzez TCP socket na port 3310. Sposób w jaki ma działać clamd oraz wszelkie związane z tym parametry określamy w pliku konfiguracyjnym clamav.conf. Oto one: LocalSocket /var/run/clamav/clamd.sock # Określenie pliku dla lokalnego socketu #TCPSocket 3310 # Określenie portu #TCPAddr 127.0.0.1 # Określenie adresu IP #MaxConnectionQueueLength 30 # Maksymalna długość kolejki (domyślnie 15)Pamiętać należy, że tylko jeden z tych sposobów może być włączony w danej konfiguracji. Opcja TCPAddr służy do określenie adresu IP na którym będzie nasłuchiwał clamd. Domyślnie clamd akceptuje połączenia przychodzące na wszystkie adresy IP. Jeśli odhaszujemy tę opcję, wówczas ograniczamy clamd do akceptowania połączeń tylko do wybranego adresu. Jest to opcja podnosząca bezpieczeństwo działania w konfiguracji z sieciowym socketem TCP. Podczas uruchamiania, clamav-milter sprawdza w pliku clamav.conf wpisy dotyczące połączenia i na tej podstawie wybiera sposób komunikacji z clamd. Ze względów bezpieczeństwa, autorzy zalecają korzystanie z lokalnego socketu. Po połączeniu z clamd, clamav-milter sprawdza zawartość przesyłki pod kątem występowania w niej wirusów. Rozwiązanie to jest szybkie i bardzo skuteczne. Ma jeden minus, trzeba się trochę nakompilować ale gwarantuję, że warto :-) W dalszej części dokumentu omówię zalety nowej wersji clamav-miltera dostępnej w wersjach latest ClamAV. 3. Zapotrzebowanie na oprogramowanie - ClamAV v0.65 - http://prdownloads.sourceforge.net/clamav/ - Sendmail 8.12.10 - ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz ClamAV posiada wbudowaną obsługę formatów RAR (2.0), Zip, Gzip, Bzip2. Skrypty startowe - Skrypty startowe, które uruchamiają Sendmaila, clamd i clamav-miltera: rc.sendmail rc.clamd rc.clamav-milter Skrypty te zostały zrobione z myślą o dystrybucjach, które jako systemu startowego używają tego, który wywodzi się z systemów BSD. Ja używam dwóch dystrybucji, Slackware i shtOS i w tych dystrybucjach skrypty będą działać prawidłowo. Jeśli używacie systemu startowego System V, to musicie sami stworzyć sobie odpowiednie skrypty startowe. Głównym skryptem startowym jest rc.sendmail. Po uruchomieniu go z opcją start zostaną również uruchomione skrypty rc.clamd i rc.clamav-milter. 4. Konfiguracja serwera Sendmail Ja używam obecnie wersji 8.12.10 ale powinno też działać z wcześniejszymi. UWAGA, na stronie www.sendmail.org w dziale opisującym kompilację i konfigurację libmilter, są nieaktualne informacje. Najświeższe informacje na temat konfiguracji miltera można znaleźć w katalogu sendmail_source/libmilter/README Do dzieła: Do pliku sendmail_source/devtools/Site/site.config.m4 dodajemy linijkę: APPENDDEF(`conf_sendmail_ENVDEF', `-DMILTER') Może się zdarzyć, że nie będziecie mieli pliku site.config.m4 i katalogu Site W takim przypadku należy je stworzyć ręcznie a do naszego pliku .mc (u mnie nazywa się on sendmail.mc) sendmail_source/cf/cf/sendmail.mc następujące dwie linijki: INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clamav/clmilter.sock,F=, T=S:4m;R:4m')dnl define(`confINPUT_MAIL_FILTERS', `clmilter')Oto mój przykładowy plik sendmail.mc Znajdziecie w nim jeszcze dwie linijki dotyczące SMTP-AUTH czyli autoryzacji SMTP. Jeśli ktoś nie używa tego mechanizmu to proszę je usunąć. Oto one: define(`confAUTH_MECHANISMS',`LOGIN PLAIN')dnl TRUST_AUTH_MECH(`LOGIN PLAIN')dnlTeraz dokonujemy standardowej kompilacji Sendmaila: root@linux: cd sendmail_source/sendmail root@linux: sh Build -c root@linux: cd sendmail_source/cf/cf root@linux: sh Build sendmail.cf root@linux: cd sendmail_source/sendmail root@linux: sh Build install root@linux: cd sendmail_source/cf/cf root@linux: sh Build install-cf root@linux: cd sendmail_source root@linux: sh Build installPo tych czynnościach Sendmail jest już zainstalowany i gotowy do działania (na razie jeszcze bez bibliotek libmilter). Teraz zainstalujemy libmilter: root@linux: cd sendmail_source/libmilter root@linux: sh Build installlibmilter powinien się zainstalować. UWAGA: Po instalacji libmiltera konieczna jest konfiguracja bibliotek dynamicznych, czyli: root@linux: ldconfigBez tego nie skompilowałby się nam clamav-milter :> I to w zasadzie wszystko odnośnie Sendmaila. Teraz przejdziemy do kompilacji ClamAV. 5. Kompilacja ClamAV Przed rozpoczęciem kompilacji należy dodać nowego użytkownika - clamav root@linux: groupadd clamav root@linux: useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamavAby ClamAV skompilował się wraz z clamav-milter, należy uruchomić configure z opcją --enable-milter + jakieś nasze dodatkowe opcje, np: user@linux: cd clamav_source user@linux: make clean user@linux: ./configure --prefix=/usr --sysconfdir=/etc/clamav --datadir=/etc/clamav \ --with-dbdir=/etc/clamav --enable-milter user@linux: make user@linux: make check user@linux: su root@linux: make installNa koniec musimy jeszcze zrobić link symboliczny: root@linux: ln -s /usr/sbin/sendmail /usr/lib/sendmailNależy jeszcze dokonać edycji pliku /etc/clamav/clamav.conf, czyli pliku konfiguracyjnego ClamAV. Tutaj dostępny jest mój plik clamav.conf UWAGA: clamav-milter do działania wymaga odhaszowania następujących wpisów w clamav.conf; LocalSocket /var/run/clamav/clamd.sock ScanMail SaveStreamToDiskclamav-milter uruchamiamy poprzez wpisanie polecenia: root@linux: /usr/sbin/clamav-milter -c /etc/clamav/clamav.conf --max-children=15 -blo /var/run/clamav/clmilter.sockJeśli używasz moich skryptów startowych (rc.clamav-milter) to nie musisz się o to martwić, skrypt dokona prawidłowego uruchomienia automagicznie :> Poniżej przedstawie krótki opis zastosowanych tu parametrów wywołania clamav-milter. -c (--config-file=FILE) Odczytaj konfigurację z pliku FILE -b (--bounce) Wyślij wiadomość o błędzie do nadawcy maila -l (--local) Skanuj maile pochodzące z wewnętrznej sieci LAN -o (--outgoing) Skanuj wiadomości wychodzące z tej maszynyPolecam również zapoznanie się z komendą clamav-milter --help :-) Na koniec należy skopiować najnowsze bazy sygnatur wirusów do katalogu /etc/clamav Możesz je ściągnąć ze strony http://database.clamav.net/ lub z któregoś z mirrorów. Polecam stosowanie baz sygnatur w formacie CVD. Poprzednie bazy były w formacie tekstowym, ale w przyszłości nie będą już obsługiwane przez ClamAV. Pliki baz danych to main.cvd i daily.cvd. Do main.cvd trafiają już sprawdzone sygnaturki, w których sporadycznie pojawiają się jakieś błędy lub niedociągnięcia. W pliku daily.cvd znajdują się ostatnio dodane sygnaturki najnowszych wirusów. W dniu tworzenia tego dokumentu, ClamAV rozpoznawał prawie 20800 różnych wirusów, robaków i koni trojańskich. Liczba rozpoznawanych wirusów rośnie bardzo szybko i tylko patrzeć jak doścignie komercyjną konkurencję :-) Do pobrania najnowszych baz sygnatur można użyć programu freshclam, który potrafi działać jako demon. To rozwiązanie jest o tyle wygodne, że program sam sprawdza, określoną przez nas ilość razy dziennie, czy dostępne są nowe sygnaturki. Jeśli tak to je pobiera a następnie dokonuje przeładowania clamd aby ten rozpoznawał najnowsze wirusy. Uprawnienia Jeszcze kilka słów na temat uprawnień. Demon clamd musi być uruchomiony jako root, ale do poprawnego działania wcale nie potrzebuje praw roota. Wystarczą mu ograniczone uprawnienia jakiegoś użytkownika (np. clamav). Poprzez opcję User w pliku clamav.conf, możemy określić na prawach jakiego użytkownika ma pracować clamd. Po uruchomieniu, clamd porzuci uprawnienia roota i przejdzie na niższy poziom z uprawnieniami określonego użytkownika. Już niedługo dostępne będzie HOWTO, w którym postaram się opisać wszelkie zagadnienia związane z poprawną konfiguracją ClamAV oraz z używaniem innych narzędzi dostępnych w ramach projektu. 6. Uruchamianie Przed uruchomieniem skryptów musimy zadbać jeszcze o stworzenie odpowiednich katalogów i nadanie im odpowiednich uprawnień; i tak: root@linux: chown -R clamav:clamav /etc/clamav root@linux: mkdir /var/run/clamav; chown -R clamav:clamav /var/run/clamav root@linux: mkdir /var/log/clamav; chown -R clamav:clamav /var/log/clamavW nowszych wersjach clamav-milter dostępna jest opcja --quarantine-dir podczas wywołania której musimy podać jako parametr, katalog z plikami poddanymi kwarantannie. W tym celu musimy go najpierw utworzyć. root@linux: mkdir /var/clamav/quarantine; chown -R clamav:clamav /var/clamav/quarantine Zabijmy jeszcze działający stary proces sendmail root@linux: killall -9 sendmailTeraz wystarczy uruchomić skrypt /etc/rc.d/rc.sendmail start i wszystko powinno ruszyć. Jako pierwszy uruchomi się demon clamd po 1 sekundzie zwłoki clamav-milter a po kolejnych dwóch sekundach, Sendmail. Te sztuczne opóźnienia wprowadzone są po to aby programy zdążyły połączyć się z socketami. W przeciwnym wypadku, mogą wystąpić pewne problemy, zwłaszcza podczas łączenia się Sendmaila z socketem clamav-milter. 7. Obserwacje i analiza logów Nie muszę chyba pisać jak ważne jest okresowe przeglądanie logów serwera. W przypadku ClamAV również należy zwrócić uwagę na kilka szczegółów. Szczególnie jeśli chodzi o zachowanie clamav-miltera i demona clamd. Wszystkiego możemy się dowiedzieć z plików /var/log/clamav/clamd.log i /var/log/maillog Ja po kilku dniach obserwacji trio Sendmail+ClamAV+clamav-milter, doszedłem do nastepujących wniosków: - Zalecam zwrócenie szczególnej uwagi na clamav-miltera. Najprostszym sposobem jest; root@linux: ps -Ai obserwacja czy nie występuje nadmierna liczba procesów clamav-milter. Zauważyłem, że clamav-milter miał skłonność do nie zamykania swoich procesów. Jego nowe wersje (dostępne w wersji deweloperskiej ClamAV) radzą sobie zdecydowanie lepiej i nie ma już takich problemów. Nowy clamav-milter zapisuje podejrzane pliki do katalogu kwarantanny (ang. quarantine). Ma też lepszą obsługę zawieszonych procesów. - Kolejną rzeczą, którą zmieniłem jest liczba maksymalnych procesów potomnych ( --max-children ), które może tworzyć clamav-milter. Im większe obciążenie serwera pocztą przychodzącą tym liczba tych procesów powinna być wyższa. Ja używam --max-children=15 i jest to w moim przypadku liczba wystarczająca. Jeśli liczba ta jest zbyt mała w logu /var/log/maillog można dostrzec wpisy typu: clamav-milter[22068]: hit max-children limit (7 >= 3): waiting for some to exit clamav-milter[26826]: hit max-children limit (8 >= 3): waiting for some to exit clamav-milter[26515]: hit max-children limit (8 >= 3): waiting for some to exit clamav-milter[4360]: hit max-children limit (9 >= 3): waiting for some to exitWartość --max-children każdy z Was musi ustalić samodzielnie w zależności od obciążenia MTA. Na początek proponuję - 10; a następnie przez kilka dni należy obserwować maillog. Na koniec, życzę Wam owocnej kompilacji i wychwycenia jak największej ilości wirusów :-) Wszelkie pytania i sugestie proszę wysyłać pocztą. Autor: Przemysław Hołowczyc e-mail: doozer (at) skc (dot) com (dot) pl Mon Sep 15 22:34:21 CEST 2003 Pierwsza wersja HOWTO Mon Feb 9 16:58:50 CET 2004 Wersja aktualna # sendmail_clamav.html v1.2; Last modified: Mon, 23 Feb, 2004 20:04:34 by doozer # |