doc:appunti:linux:sa:clamav_permissions
Differences
This shows you the differences between two versions of the page.
| Next revision | Previous revision | ||
| doc:appunti:linux:sa:clamav_permissions [2020/06/16 11:54] – created niccolo | doc:appunti:linux:sa:clamav_permissions [2020/06/16 12:25] (current) – [Esecuzione senza privilegi di root] niccolo | ||
|---|---|---|---|
| Line 49: | Line 49: | ||
| </ | </ | ||
| - | Se si desidera mantenre l' | + | Se si desidera mantenre l' |
| < | < | ||
| aa-disable / | aa-disable / | ||
| </ | </ | ||
| + | |||
| + | Il **socket** verrà creato con i seguenti permessi: | ||
| + | |||
| + | < | ||
| + | srw-rw-rw- 1 root clamav 0 Jun 16 12:08 / | ||
| + | </ | ||
| + | |||
| + | Per verificare che clamd stia girando con i permessi di root, è sufficiente richiamare **clamdscan** su **un file che non sia world-readable**: | ||
| + | |||
| + | < | ||
| + | chmod 600 / | ||
| + | clamdscan / | ||
| + | / | ||
| + | </ | ||
| + | |||
| + | Il profilo clamd resta disabilitato anche **dopo un reboot**, viene eventualmente ripristinato in caso di rimozione e reinstallazione del pacchetto clamav-daemon oppure utilizzando il comando **aa-enforce**. | ||
| + | |||
| + | ===== Esecuzione senza privilegi di root ===== | ||
| + | |||
| + | Ovviamente la **soluzione ottimale** è lasciare che **clamd** venga eseguito **senza privilegi di root**. In queste condizioni un file non-world readable non è direttamente accessibile da clamd: | ||
| + | |||
| + | < | ||
| + | clamdscan / | ||
| + | / | ||
| + | </ | ||
| + | |||
| + | La soluzione è utilizzare il parametro **%%--fdpass%%** di **clamdscan** che consente (solo lavorando su Unix socket) di passare il file descriptor al demone: | ||
| + | |||
| + | < | ||
| + | clamdscan --fdpass / | ||
| + | / | ||
| + | </ | ||
| + | |||
doc/appunti/linux/sa/clamav_permissions.1592301254.txt.gz · Last modified: by niccolo