Проверка веб-трафика с помощью clamav

Материал из MediaWiki
Версия от 17:42, 9 мая 2018; lor>Cetjs2 (Откат правок 31.173.240.36 (обсуждение) к версии Awesomelackware)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)
Перейти к навигации Перейти к поиску

Общее

Для онлайн-проверки на вирусы веб-трафика можно использовать HAVP (HTTP AntiVirus proxy). Мы рассмотрим использование его в паре со Squid:

Пользователь→Squid→Havp→WWW

Здесь Squid является прозрачным кэширующим прокси с ведением статистики, поэтому havp установлен после него. Lissyara приводит и другие аргументы в пользу такой схемы.

Установка

Предположим, что squid уже установлен и настроен. Устанавливаем havp и вносим изменения в конфиг havp (/etc/havp/havp.config). Закомментируем строку REMOVETHISLINE deleteme и раскомментируем следующее: 

USER havp
GROUP havp
DAEMON true

Меняем значение переменной (в зависимости от нагрузки): 

SERVERNUMBER 20

Раскомментируем: 

PORT 8080 
BIND_ADDRESS 127.0.0.1

В /etc/havp/templates/en поле TEMPLATEPATH меняем en на ru и удостоверяемся, что незакомментирована строка ENABLECLAMLIB true.

Стартуем havp — /etc/init.d/havp start.

Вносим изменения в настройки squid: 

cache_peer 127.0.0.1 parent 8080 0 
always_direct allow SSL_Ports

Перезапускаем squid — /etc/init.d/squid restart или systemctl restart squid (если у вас systemd). Если нет delay pools, то можно сделать и reload.

Проверка

Проверить, что havp слушает, можно командой netstat -an | grep 8080.

Проверить связку можно по адресу http://www.eicar.org/anti_virus_test_file.htm.

Источники

Источник — http://lorwiki.zhbert.ru/index.php?title=Проверка_веб-трафика_с_помощью_clamav&oldid=340