[sisyphus] Re: Дела почтовые - clamav, exim и прочее
Vitaly Ostanin
=?iso-8859-1?q?vyt_=CE=C1_vzljot=2Eru?=
Пт Фев 20 11:39:07 MSK 2004
Victor Forsyuk wrote:
> Приветствую!
>
> Собирался написать по трем поводам, но все они касаются дел почтовых,
> так что упаковываю всё в одно письмо. :)
>
> 1. В сизиф уже попала сборка новой версии clamav, 0.67. Авторы выпустили
> новую "стабильную" версию, 0.66, как реакцию на обнаруженную возможность
> DoS - крэш демона clamd некорректным письмом специального вида. Впрочем,
> проверка показала, что под Linux падения демона не происходит, тогда как
> под FreeBSD эксплоит приводил именно к этому. В любом случае, практика
> показывает, что 0.65 не была образцом стабильности и для clamav, похоже,
> имеет смысл использовать даже промежуточные снапшоты, которые зачастую
> более устойчивы, чем предыдущие "стабильные" версии.
Да, это было бы неплохо.
> Должен предупредить, что у clamav (clamd) еще в 0.65 присутствовал весьма
> неприятный глюк. Он приводил к проблемам при использовании clamd в тесной
> интеграции с MTA, при проверке письма в SMTP фазе, до выдачи кода ответа
> после DATA (у меня - в exim+exiscan, но по логике та же картина будет и
> при подобном способе интеграции с postfix). Внешнее проявление: количество
> процессов exim, находящихся в состоянии обработки входящих соединений
> ("TCP/IP connection count") начинает монотонно расти, пока не упирается
> в установленный конфигурацией предел. Естественно, после этого ничего
> больше до вмешательства сисадмина этот почтовый сервер не принимает.
> При этом в каталоге сканирования можно наблюдать большое количество
> каталогов с частями проверямых писем в них. В норме они удаляются сразу
> же по окончании сканирования.
>
> Особая неприятность глюка в том, что присходит это очень редко и
> непредсказуемо. Как воспроизвести - совершенно непонятно. Однако,
> вспоминая все наблюдавшиеся мной случаи, могу сказать, что как правило
> этот рост числа exim'ов начинался в 4 утра... То есть, похоже после
> обновления антивирусной базы (?!??).
>
> Есть ли проблема в версиях после 0.65 сказать не могу, прошло слишком
> мало времени.
>
> А теперь (в предположении, что кроме меня кто-то еще пользуется сизифовским
> clamav) вопрос: наблюдал ли кто-то этот глюк? И просьба тем, кто пользуется -
> включить выдачу в syslog отладочной информации (опция Debug в clamav.conf).
> Без этого авторам clamav'а кроме смутных подозрений и подземного стука
> сообщать нечего.
Глюка не наблюдал, параметр включил. Правда, эта связка работает
всего недели 2 (только clamav недавно обновил):
clamav-0.67-alt1
amavisd-new-20030616-alt0.1
postfix-2.0.18-alt1.2
<skipped/>
--
Regards, Vyt
mailto: vyt на vzljot.ru
JID: vyt на vzljot.ru
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 256 байтов
Описание: OpenPGP digital signature
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20040220/36502e61/attachment-0002.bin>
Подробная информация о списке рассылки Sisyphus