doc:appunti:linux:sa:clamav_permissions
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
doc:appunti:linux:sa:clamav_permissions [2020/06/16 12:07] – [Esecuzione a nome di root] niccolo | doc:appunti:linux:sa:clamav_permissions [2020/06/16 12:25] (current) – [Esecuzione senza privilegi di root] niccolo | ||
---|---|---|---|
Line 53: | Line 53: | ||
< | < | ||
aa-disable / | aa-disable / | ||
+ | </ | ||
+ | |||
+ | Il **socket** verrà creato con i seguenti permessi: | ||
+ | |||
+ | < | ||
+ | srw-rw-rw- 1 root clamav 0 Jun 16 12:08 / | ||
</ | </ | ||
Line 63: | Line 69: | ||
</ | </ | ||
- | Il profilo clamd resta disabilitato anche **dopo un reboot**, viene eventualmente ripristinato in caso di reinstallazione del pacchetto clamav-daemon. | + | Il profilo clamd resta disabilitato anche **dopo un reboot**, viene eventualmente ripristinato in caso di rimozione e reinstallazione del pacchetto clamav-daemon |
===== Esecuzione senza privilegi di root ===== | ===== Esecuzione senza privilegi di root ===== | ||
+ | |||
+ | Ovviamente la **soluzione ottimale** è lasciare che **clamd** venga eseguito **senza privilegi di root**. In queste condizioni un file non-world readable non è direttamente accessibile da clamd: | ||
+ | |||
+ | < | ||
+ | clamdscan / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | La soluzione è utilizzare il parametro **%%--fdpass%%** di **clamdscan** che consente (solo lavorando su Unix socket) di passare il file descriptor al demone: | ||
+ | |||
+ | < | ||
+ | clamdscan --fdpass / | ||
+ | / | ||
+ | </ | ||
doc/appunti/linux/sa/clamav_permissions.1592302046.txt.gz · Last modified: 2020/06/16 12:07 by niccolo