[Tuto béta] Antivirus et Dansguardian

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

[Tuto béta] Antivirus et Dansguardian

Messagepar mathieutlse » 05 Nov 2005 14:06

Bonjour,

L'objectif du jour pour moi à été de filtrer les virus qui passe par le serveur, et ceci par l'intermédiaire du proxy (dansguardian) et de l'antivirus clamv.
Il me reste quelques points qui ne marche pas encore (comme forcer les flux à passer par le proxy).

Ne fonctionne pas encore (mais peut servir de base si quelqu'un peut m'aider à le finir)


Installer et configurer dansguardian avec clamv

on télécharge les fichiers nécessaires :
wget http://www.contribs.org/contribs/dungog ... f.i386.rpm
wget http://www.contribs.org/contribs/dungog ... noarch.rpm

On installe le rpm :
rpm -Uvh dansguardian-2.8.0.4-1.0.rh7.rf.i386.rpm

Démarrer le service :
/etc/init.d/dansguardian start

Redémarer le service après un changement de configuration
/etc/init.d/dansguardian restart

Démarer le service au démarage (à vérifier):
/sbin/e-smith/config set dansguardian service Initscriptorder 92 status enabled
ln -s /etc/rc.d/init.d/e-smith-service /etc/rc.d/rc7.d/S92dansguardian

Activer les règles de filtrage :
cd /etc/dansguardian
wget -qnv http://ftp.teledanmark.no/pub/www/proxy ... sts.tar.gz -O blacklists.tar.gz
tar -zxf blacklists.tar.gz
chown -R root.root blacklists
chmod -R 640 blacklists
find blacklists -name new\* -exec rm {} \;
rm blacklists/README
chmod ug+x blacklists
chmod ug+x blacklists/*

Modification de la conf de squidguard :
vi /etc/dansguardian/dansguardian.conf
Modifier la langue en "french"
Modifier votre nom de domaine

Autres fichiers de configuration (si vous voulez affiner):
/etc/dansguardian/
exceptionsitelist
bannedsitelist
bannedurllist
bannedextensionlist

Obliger les flux Http à passer par le proxy (Transparent proxy):
Par défaut le serveur proxy est sur le port 3218
Il faut le passer sur le 8080
/sbin/e-smith/db configuration setprop squid TransparentPort 8080
/sbin/e-smith/signal-event post-upgrade
/sbin/e-smith/signal-event reboot

Apparement il faut modifier la conf du firewall, maisl à je calle...
To block access to port 80 and 3128 and force users to use 8080
add the following and remove the transproxy lines from masq
The following applies to sme v5.6 or v6.0 which use iptables.
Earlier sme versions require a different fix as they use ipchains.
$OUT .= " /sbin/iptables --append Forward$AllowLocals -s $local -p tcp --destination-port 80 -j DROP\n";
$OUT .= " /sbin/iptables --append Forward$AllowLocals -d $local -p tcp --destination-port 80 -j DROP\n";
$OUT .= " /sbin/iptables --append Input$AllowLocals -s $local -p tcp --destination-port 80 -j DROP\n";
$OUT .= " /sbin/iptables --append Forward$AllowLocals -s $local -p tcp --destination-port 3128 -j DROP\n";
$OUT .= " /sbin/iptables --append Forward$AllowLocals -d $local -p tcp --destination-port 3128 -j DROP\n";
$OUT .= " /sbin/iptables --append Input$AllowLocals -s $local -p tcp --destination-port 3128 -j DROP\n";


Ajouter le filtrage des virus :
rpm -Uvh dansguardian-antivirus-6.4.3-1.src.rpm

Editer le fichier /etc/dansguardian/bannedextensionlist
car il exclu plein d'extension par défaut (peut être trop).

sources:
http://www.harvest.com.br/asp/afn/dg.nsf
http://contribs.org/modules/pbboard/vie ... 910#118910
http://contribs.org/modules/pbboard/vie ... 887#114887

ça marche les virus sont bien arrêté, vous pouvez tester là:
http://www.eicar.org/anti_virus_test_file.htm

Si il y a des gens qui peuvent tester cela et m'aider à finaliser ma doc, je suis preneur.
merci d'avance.

Mathieutlse
Dernière édition par mathieutlse le 09 Nov 2005 07:42, édité 2 fois au total.
Avatar de l’utilisateur
mathieutlse
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 22 Août 2003 00:00
Localisation: toulouse

Sujet du message: [Tuto béta] Antivirus et Dansguardian

Messagepar jpbauer » 08 Nov 2005 19:15

Tout d'abord merci pour cette aide qui m'a été précieuse, mais j'ai une petite question.

Que fait-on du fichier dungog-blacklists-0.1-11.noarch.rpm? J'imagine bien qu'il doit contenir une liste de sites interdits. J'ai intuitivement fait aussi un rpm -Uvh, mais je n'ai pas vu de différence dans les fichiers exceptionsitelist, bannedsitelist, bannedurllist et bannedextensionlist ?

Y a-t-il quelque chose d'autre à faire pour partir d'un référentiel existant et peut-être y a-t-il même un moyen d'automatiser cette mise à jour ?
jpbauer
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 08 Nov 2005 19:10

Messagepar mathieutlse » 08 Nov 2005 22:12

oui c'est dans le répertoire /etc/dansguardian/blacklist je crois.
tu peux bloquer ces listes en enlevant les # du fichier /etc/dansguardian/bannedsitelist

a+
Avatar de l’utilisateur
mathieutlse
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 22 Août 2003 00:00
Localisation: toulouse

Messagepar jpbauer » 09 Nov 2005 01:11

merci bien
jpbauer
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 08 Nov 2005 19:10

Messagepar mathieutlse » 09 Nov 2005 07:40

euh... :oops:
Je viens de me rendre compte qu'en fait l'antivirus ne marche pas avec dansguardian... je suis fatigué en ce moment...
En fait dansguardian a une liste d'exclusion d'extensions de fichier, comme les zip, exe... et c'est pour ça que les tests avec eicar sont bloqués, mais pas parce que l'antivirus a fonctionner.
En fait j'ai testé en supprimant la liste d'exclusion de fichier et les fichiers eicar ne sont pas arrêté... il faut que je me repenche dessus, en fait il faut compiler dansguardian-antivirus.

Je m'y repenche dès que j'ai un peu de temps.
En fait l'installe que j'ai présenté ci dessus ne fait qu'installer dansguardian (ce qui n'est pas mal en soit :) )
a+
Mathieutlse
Avatar de l’utilisateur
mathieutlse
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 22 Août 2003 00:00
Localisation: toulouse

Messagepar MaRCoOf » 09 Nov 2005 16:39

Bonjour,

C'est un peu à coté du sujet, mais moi j'utilise dansguardian avec l'option antivirus clamav de chez Dungog, cela fonctionne impec.
J'ai d'ailleurs était impressionné du nombre de trojans bloqués lors de la navigation.
Marc
MaRCoOf
Major
Major
 
Messages: 85
Inscrit le: 10 Déc 2004 10:27
Localisation: bayonne

Messagepar Pabze » 09 Nov 2005 16:50

@lut,

Idem pour moi, j'utilise depuis pas mal de temps la contribs de dungog sur un de mes serveurs avec grands succés !!

Mais avant de passer à cette solution par rapidité, j'ai aussi bosser sur la mise en place manuel de clamav et de squidguard ! Qui à trés bien fonctionner !!

Pour info Mathieulse, tu n'a pas besoin de recompiler dansguardian pour qu'il reconnaisse clamav, le mieux reste d'utiliser un processus fils depuis squid.conf, pour une fois les données passées par Dansguardian doivent être redirigées sur une feuille de type cgi scannées alors à l'aide de clamav pour les renvoyer vers les utilisateurs !

Lis ma signature !! :wink: :wink:

Allez je t'aide :
http://www.aerospacesoftware.com/clamav ... howto.html

Bonne continuation, et trés bon boulot
Merci de rédiger... je n'ai jamais eu ce courage ... :wink: :wink:

PABZE
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar mathieutlse » 12 Nov 2005 15:38

merci Pabze pour le lien.

mais mes notions d'anglais ne m'ont pas permit de tout comprendre...
En fait on peut se passer de dansguardian ?

après j'ai trouvé ça :
http://www.clamav.net/3rdparty.html#webftp
est ce que quelqu'un à déjà testé une de ces installations avec sme?

sinon pour Dungog, il faut s'inscrire sur le site ? c'est payant? :o
Sinon leur package à l'air super effectivement.

merci d'avance
a+
Avatar de l’utilisateur
mathieutlse
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 22 Août 2003 00:00
Localisation: toulouse

Messagepar daoud » 11 Juil 2006 21:53

sinon pour Dungog, il faut s'inscrire sur le site ? c'est payant?


Effectivement je suis intéréssé pour l'install de Dansguard
et sablacklist

plus plugin dansguard + Clamav

Parles-t-on du meme plugin cité -ci-dessus ? :
Bonjour,

C'est un peu à coté du sujet, mais moi j'utilise dansguardian avec l'option antivirus clamav de chez Dungog, cela fonctionne impec.
J'ai d'ailleurs était impressionné du nombre de trojans bloqués lors de la navigation.
Marc


Ou alors faut-il etre adherent et payer une cotisation ?

ps: merci pour le tuto , pas mal du tout :wink:
____________________________________
Avatar de l’utilisateur
daoud
Vice-Amiral
Vice-Amiral
 
Messages: 628
Inscrit le: 19 Déc 2004 10:16
Localisation: paris


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité