Несколько вопросов по HAVP

Alexey12

Здравствуйте.
Хотелось бы получить ответы на несколько вопросов по HAVP:

1. Что проверяется вообще и как можно выбрать, что нужно проверять? Например, по расширению файла.
2. Для чего нужно поле Blaclist? Не очень понятно.
3. Какое значение всё-таки лучше выбрать для Scan max file size и как это значение влияет на производительность? Если можно, то поподробнее.
4. Текущая версия HAVP - 0.91. Почему в pfSense до сих пор 0.88? Стоит ли пытаться и как правильно всё это обновить?
5. Пользуетесь ли вы сканированием изображений и мультимедиа-потоков?
6. Быстро ли у вас начинают отображаться сайты и не рвутся ли закачки файлов?

HAVP настроен как parent for squid.

dvserg

1. все доступные варианты настроек присутствуют в ГУЕ
2. блэклист для списка блокируемых сайтов
3. мое мнение - не более мегабайта. Все зависит от мощности сервера и скорости интернет-соединения.
4. 0,88 - такая последняя версия в портах pfSense. До обновления у админов руки не дошли еще.
5. я - нет.
6. зависит от настроек. см (3.)

Alexey12

@dvserg:

1. все доступные варианты настроек присутствуют в ГУЕ
2. блэклист для списка блокируемых сайтов
3. мое мнение - не более мегабайта. Все зависит от мощности сервера и скорости интернет-соединения.
4. 0,88 - такая последняя версия в портах pfSense. До обновления у админов руки не дошли еще.
5. я - нет.
6. зависит от настроек. см (3.)

1. Непонятно. Там есть только дополнительные галки на сканирование изображений и мультимедиа-потоков. А что он проверяет без этих галочек?
2. Действительно  ;D. Когда проверял, не сработало… а сейчас сработало  ???
Не пойму, что за тормоза у меня с интернетом. Машина: Cel D 2,4 GHz 512 Mb RAM. Вчера стояли галки проверять изображения и Scan max file size был равен 5 Мб. Инет вроде не тормозил, были проблемы только с закачками. Сегодня решил уменьшить Scan max file size. Сначала все работало отлично и закачки не рвались, а потом тормоза жуткие начались.

Alexey12

Тормоза у меня и без HAVP… Зря я его подозревал.

Alexey12

Из-за чего могут возникать такие ошибки?
1. Jan 20 10:37:36 havp[37048]: (213.180.204.131) Server sent more than Content-Length (127.0.0.1/awaps.yandex.ru:80)
2. Jan 20 10:35:47 havp[36945]: (127.0.0.1) Could not send body to browser

nmichael200

Jan 27 11:10:40 havp[47646]: (127.0.0.1) Could not send body to browser
Jan 27 11:10:40 havp[47624]: (127.0.0.1) Could not send body to browser
Jan 27 11:12:18 havp[47645]: (127.0.0.1) Invalid request from browser
Jan 27 11:12:18 havp[47658]: (127.0.0.1) Invalid request from browser
Jan 27 11:12:26 havp[47649]: (127.0.0.1) Could not send body to browser
Jan 27 11:12:26 havp[47633]: (127.0.0.1) Could not send body to browser
Jan 27 11:12:26 havp[47625]: (127.0.0.1) Could not send body to browser

Точно такие же сообщения … Может кто объяснит откуда это и что с этим делать ?

deutsche

по какой схеме настроен havp? лучше ставить его перед сквидом. т.е
inet-havp-squid-lan

Alexey12

У меня так и настроен (Parent for Squid)

rubic

What do all these "Could not.." errors mean in error.log?

Absolutely nothing, unless you know something is broken. They are just debug messages telling if server did not send header as it should have etc.. decrease LOGLEVEL if you don't want to see them.

http://havp.hege.li/forum/viewtopic.php?f=2&t=4

Alexey12

Понятно, жаль через GUI не отключается, пришлось havp.inc править…
Заодно "обновил" clamav и havp копированием файлов поверх имеющихся. Если появятся проблемы - отпишусь, хотя пока всё работает :)

DasTieRR

@Alexey12:

Понятно, жаль через GUI не отключается, пришлось havp.inc править…
Заодно "обновил" clamav и havp копированием файлов поверх имеющихся. Если появятся проблемы - отпишусь, хотя пока всё работает :)

Можно чуть более подробную схему действий? спасибо.

Alexey12

В файле /usr/local/pkg/havp.inc находим:
   $conf[] = "LOGLEVEL       1" и меняем на     $conf[] = "LOGLEVEL       0"   - 561 строка
Здесь же я ещё поправил параметр HVDEF_HAVP_MINSRV (93 стр.) на 20, чтоб сразу стартовало 20 процессов HAVP.
После изменений в настройках HAVP, конфигфайл будет с этими параметрами, возможно, достаточно просто SAVE нажать.

Про обновление (ранее уже встречалось на форуме):
скачиваем пакеты
_ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/All/clamav-0.95.3.tbz
_ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/All/havp-0.91.tbz
распаковываем их, останавливаем havp и clamd
далее из распакованных папок надо скопировать содержимое в /usr/local/ (я копировал без конфигурационных файлов, т.е. без etc):
Например, находясь в clamav-0.95.3/ я делал так:
cp -r bin/ /usr/local/bin/
cp -r lib/ /usr/local/lib/
cp -r libdata/ /usr/local/libdata/ и т.д. (может можно проще, одной командой, не знаю, знаний пока маловато)
Аналогично и для havp

После этого я запустил clamd просто набрав в консоли clamd и havp из GUI. Всё заработало :)

deutsche

$conf[] = "LOGLEVEL       1" и меняем на     $conf[] = "LOGLEVEL       0"
Я так понял это устраняет симптом, а не причину.

Сделал по вашей инструкции, вот что получил:
Jan 29 23:58:41 havp[1162]: ERROR: Clamd Socket Scanner failed EICAR virus test! (Could not connect to scanner socket)
Jan 29 23:58:41 havp[1162]: Clamd: Could not connect to scanner! Scanner down?

clamd

/libexec/ld-elf.so.1: clamd: Undefined symbol "cl_settempdir"

reboot не помогает.
Хм, оказывается я все копировал в /usr/local/bin :D

Скопировал все в правильный папочки, но получил следующее
Jan 30 00:14:44 havp[4137]: ERROR: Clamd Socket Scanner failed EICAR virus test! (Could not connect to scanner socket)
Jan 30 00:14:44 havp[4137]: Clamd: Could not connect to scanner! Scanner down?
Jan 30 00:13:44 havp[4137]: –- Initializing Clamd Socket Scanner
Jan 30 00:13:44 havp[4137]: Running as user: havp, group: havp
Jan 30 00:13:44 havp[4137]: === Mandatory locking disabled! KEEPBACK settings not used!
Jan 30 00:13:44 havp[4137]: === Starting HAVP Version: 0.91
Jan 30 00:13:44 clamd[4119]: Can't unlink the socket file /var/run/clamav/clamd.sock
Jan 30 00:13:44 clamd[4119]: LOCAL: Socket file /var/run/clamav/clamd.sock could not be bound: No such file or directory
Jan 30 00:09:13 clamd[3483]: Can't unlink the socket file /var/run/clamav/clamd.sock
Jan 30 00:09:13 clamd[3483]: LOCAL: Socket file /var/run/clamav/clamd.sock could not be bound: No such file or directory

Помогло следующее
mkdir /var/run/clamav
touch /var/run/clamav/clamd.sock

deutsche

Кстати, на работает Dashboard:HAVP alerts. Вирусы ловит, но на доске не показывает, по нажатию на заголовок выдает 404

dvserg

Блин бага какая-то. Надо в проверку запихнуть тест Socket file /var/run/clamav/clamd.soc  :-[

DasTieRR

@deutsche:

Кстати, на работает Dashboard:HAVP alerts. Вирусы ловит, но на доске не показывает, по нажатию на заголовок выдает 404

У меня на виртуалке показывает, но виджет проверял только на обновлённом антивирусе.

deutsche

У меня антивирус обновлен.

nmichael200

В логах стали появляться вот такие сообщения
Feb 4 17:47:05 havp[31126]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[20033]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[19833]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[31159]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[20372]: (127.0.0.1) Browser POST without Content-Length header

что это означает и как с этим бороться.

havp настроен как parent for squid. версия pfsense 1.2.3-RELEASE

rubic

да никак.. это значит, что проблемы у клиентов с их браузерами. они чего-то там отправляют http методом post, но не указывают длину сообщения.. возможно страшные вирусы уже проникли в локальную сеть, ОМГ!