Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:clamav_permissions [2020/06/16 12:07] – [Esecuzione a nome di root] niccolo
+++ doc:appunti:linux:sa:clamav_permissions [2020/06/16 12:25] (current) – [Esecuzione senza privilegi di root] niccolo
@@ Line 53: / Line 53: @@
 <code>
 aa-disable /etc/apparmor.d/usr.sbin.clamd
+</code>
+Il **socket** verrà creato con i seguenti permessi:
+<code>
+srw-rw-rw- 1 root clamav 0 Jun 16 12:08 /var/run/clamav/clamd.ctl
 </code>
@@ Line 63: / Line 69: @@
 </code>
-Il profilo clamd resta disabilitato anche **dopo un reboot**, viene eventualmente ripristinato in caso di reinstallazione del pacchetto clamav-daemon.
+Il profilo clamd resta disabilitato anche **dopo un reboot**, viene eventualmente ripristinato in caso di rimozione e reinstallazione del pacchetto clamav-daemon oppure utilizzando il comando **aa-enforce**.
 ===== Esecuzione senza privilegi di root =====
+Ovviamente la **soluzione ottimale** è lasciare che **clamd** venga eseguito **senza privilegi di root**. In queste condizioni un file non-world readable non è direttamente accessibile da clamd:
+<code>
+clamdscan /root/mail-test-eicar-antivirus.com
+/root/mail-test-eicar-antivirus.com: lstat() failed: Permission denied. ERROR
+</code>
+La soluzione è utilizzare il parametro **%%--fdpass%%** di **clamdscan** che consente (solo lavorando su Unix socket) di passare il file descriptor al demone:
+<code>
+clamdscan --fdpass /root/mail-test-eicar-antivirus.com
+/root/mail-test-eicar-antivirus.com: Eicar-Signature FOUND
+</code>