[RESOLU]Mettre un antivirus clamav sur serveurs Bind et Web?

Bonjour et bonne année 2007 à tous!

Bon, je voudrais juste m’assurer si il est utile ou non, d’installer un antivirus (ici, Clamav) sur des serveurs Bind (sous srage 3.1 avec kernel 2.6.12.6-686).

En cherchant un peu, j’ai lu diverses opinions la dessus, mais je n’arrive pas à me décider (conscience professionnelle oblige…).
Je me doute que l’installer peu représenter une sécurité en plus, mais au niveau de l’utilisation du proc et de la RAM, je ne sais pas trop de quoi il retourne.

Sachant que les serveurs seront hébergés dans un data center, derrière un bon gros firewall Netasq f200, est -ce vraiment la peine de charger mes serveurs avec un antivirus de ce type, sachant que je souhaite bien évidemment installer le moins de choses possible dessus pour pouvoir optimiser les performances des machines.

Dilemne… :confused:

Bonjour,
je sais pas trop répondre à ta question, mais je fais remarquer que :

  • Avast est maintenant interessant sous linux, avec une petite interface graphique, mais pas obligée …
  • que bien paramétré et lancé par cron à heure fixe, il scannera tes répertoires sensibles à vitesse grand V je pense.

On peut trés bien imaginer un script qui lors de l’arrivée d’un fichier dans un repertoire de dépot prend l’url du fichier en paramètre et la refile à avast pour un scan …
Je ne connais pas clamav mais je l’avais testé, et ça m’a parut lourd pour ce que j’en faisais.

J’ai une question.

Antivirus, c’est bien joli, mais ouça un antivirus ? Il va faire quoi ? Analyser du mail ? Du HTTP ? autre chose ?

[quote=“usinagaz”]Bonjour,
Je ne connais pas clamav mais je l’avais testé, et ça m’a parut lourd pour ce que j’en faisais.[/quote]

Oui, c’est aussi ce qui m’a semblé lorsque j’ai fait un premier scan complet de la machine ou j’ai vu que le proc était sacrément sollicité!

Pour le cron, c’est très certainement ce que je vais faire.
Pour le script, c’est une autre paire de manche…
Pour les serveurs Bind, je pense que cela devrait suffire (scan en tâche cron), mais pour les serveurs Web, ils sont quand même destinés à héberger pas mal de sites, donc cela implique beaucoup de dépôts/retraits de fichiers, donc beaucoup de scan…Je me taaateuhh :slightly_smiling:

Côté interface graphique, je n’en ai pas (épuration, épuration!!), faut voir si Avast n’est pas trop gourmand de ressources et s’il est facile à administrer…

Je vais essayer

[quote=“ed”]J’ai une question.

Antivirus, c’est bien joli, mais ouça un antivirus ? Il va faire quoi ? Analyser du mail ? Du HTTP ? autre chose ?[/quote]

Bon,

Pour les serveurs web, il sera bien entendu question de:

  • mail
  • bases de données
  • serveurs de fichiers (FTP)

Bref, il devrait être assez sollicité, mais je connais pas tous les champs d’application d’un antivirus et quelle politique adopter en matière de scan sur de tels serveurs, mon humble connaissance me disant de me renseigner d’abord!!

Je ne comprends pas… Que veux tu scanner? Ton serveur? Si c’est le cas laisse tomber clamav et fais un système de surveillance vérifiant l’intégrité des fichiers à intervalles réguliers. Si c’est un serveur très sensible, met les fichiers sensibles sur CDROM, etc. Bref clamav cherche des virus à 99,995% pour Windows, qu’espères tu trouver?

PS: Je ne doute pas de l’apparition à venir de virus sous Linux, mais ceux ci seront orientés sur des versions grand public où l’utilisateur n’aura pas manqué de se donner tous les droits à base de sudo, mais un serveur n’est pas concerné par ça.

D’accord, fran, mais qu’appelles - tu “un système de surveillance vérifiant l’intégrité des fichiers à intervalles réguliers”?
Si tu connais des applications le faisant, je suis curieux de pouvoir les essayer
Sinon, pour ce qui est de clamav, je ne pensais pas que cela se destinait presque exclusivement à windaube. A ce moment là, le seul fait d’en faire une release pour les OS Linux est alors une absurdité totale!! quel intérêt, effectivement?
En tout cas, je te fais confiance la - dessus, mais mon supérieur hiérarchique a du être mal avisé alors (et oui, l’idée ne vient pas de moi! :wink: ), puisque c’est lui qui m’a demandé de le mettre.

Est - ce son habitude à travailler sous Windows qui l’a poussé? Qui sait, héhé, pas moi en tous cas! :smiling_imp: <= c’est lui je crois…

[quote=“fran.b”]
PS: Je ne doute pas de l’apparition à venir de virus sous Linux, mais ceux ci seront orientés sur des versions grand public où l’utilisateur n’aura pas manqué de se donner tous les droits à base de sudo, mais un serveur n’est pas concerné par ça.[/quote]

C’est noté.

[quote=“fullmetalucard”]Sinon, pour ce qui est de clamav, je ne pensais pas que cela se destinait presque exclusivement à windaube. A ce moment là, le seul fait d’en faire une release pour les OS Linux est alors une absurdité totale!! quel intérêt, effectivement? [/quote]C’est qu’en fait, tu n’ai pas atteint par le virus toi, mais tu deviens un vecteur de ropagation en le gardant sur ton système à l’état inhibé (vouai, le choc des mots …).
Attention qu’un full scan avast, avect test des archives et tout , ça mange aussi de la ressource … et que la version avast linux ne fait pas bouclier web ou mail, ya pas de real time possible …

Voui, ca c’est bien vrai, c’est ce que je me suis dit après réflexion, dans le cas où on stocke des fichiers destinés à être utilisé par des stations Windows, comme sur un serveur FTP ou samba… Mais bon, s’ils sont inhibés, c’est très bien comme ca! Je n’aime pas trop les virus extravertis! :smiley:

Pour le real time, je sais que ce n’est pas la peine de compter dessus.
Pour le bouclier web, le pare-feu Netasq s’en charge, pour le reste, je vais voir.

[quote=“fullmetalucard”]
D’accord, fran, mais qu’appelles - tu “un système de surveillance vérifiant l’intégrité des fichiers à intervalles réguliers”?
Si tu connais des applications le faisant, je suis curieux de pouvoir les essayer.[/quote]

Tu as plusieurs paquets. Personnellement j’utilise deux paquets que j’ai fait (surveillance et cacheproc) qui teste l’intégrité des fichiers d’un serveurs (pour le premier) et cherche des processus cachés pour le second. Le tout est lancé régulièrement par cron. Tu as également checkrootkit bien sur. Je pense que tu as pas mal d’outils dans Debian.

Si tu veux tester

deb boisson.homeip.net/debian/ sarge divers

(ou etch)

dans ton sources.list.

Deux lignes
37 * * * * root /usr/bin/surveille
0 * * * * root /usr/bin/regarde
dans /etc/crontab

et root reçoit un mail en cas de pbm. Attention, cacheproc envoit de temps à autre de faux positifs (ils n’ont pas de ligne de commande dans ce cas) lorsqu’un processus disparait au moment où cacheproc le detecte. Sinon ne pas paniquer si un fichier est corrompu, cela peut arriver spontanément (j’ai vu ça plusieurs fois).
Tu as les sources sur deb-src boisson.homeip.net/source/ ./
Tout est compilé en static pour éviter de s’inquiéter d’une corruption de librairie.
Attention, moi j’ai confiance mais c’est une production perso.

Sinon bien sûr, un antivirus sur les mails arrivant ou partant et sur les dossiers partagés par des machines windows peut être une bonne idée mais n’est pas crucial à mon avis.

Oki, merci beaucoup, doc, je vais certainement essayer ta production maison, et t’en donnerais des nouvelles d’ici peu!! :wink:

Pour le moment => configuration du Netasq (huum, miam miam), après on verra, merci encore.