Несколько вопросов по HAVP
-
Здравствуйте.
Хотелось бы получить ответы на несколько вопросов по HAVP:1. Что проверяется вообще и как можно выбрать, что нужно проверять? Например, по расширению файла.
2. Для чего нужно поле Blaclist? Не очень понятно.
3. Какое значение всё-таки лучше выбрать для Scan max file size и как это значение влияет на производительность? Если можно, то поподробнее.
4. Текущая версия HAVP - 0.91. Почему в pfSense до сих пор 0.88? Стоит ли пытаться и как правильно всё это обновить?
5. Пользуетесь ли вы сканированием изображений и мультимедиа-потоков?
6. Быстро ли у вас начинают отображаться сайты и не рвутся ли закачки файлов?HAVP настроен как parent for squid.
-
1. все доступные варианты настроек присутствуют в ГУЕ
2. блэклист для списка блокируемых сайтов
3. мое мнение - не более мегабайта. Все зависит от мощности сервера и скорости интернет-соединения.
4. 0,88 - такая последняя версия в портах pfSense. До обновления у админов руки не дошли еще.
5. я - нет.
6. зависит от настроек. см (3.) -
1. все доступные варианты настроек присутствуют в ГУЕ
2. блэклист для списка блокируемых сайтов
3. мое мнение - не более мегабайта. Все зависит от мощности сервера и скорости интернет-соединения.
4. 0,88 - такая последняя версия в портах pfSense. До обновления у админов руки не дошли еще.
5. я - нет.
6. зависит от настроек. см (3.)1. Непонятно. Там есть только дополнительные галки на сканирование изображений и мультимедиа-потоков. А что он проверяет без этих галочек?
2. Действительно ;D. Когда проверял, не сработало… а сейчас сработало ???
Не пойму, что за тормоза у меня с интернетом. Машина: Cel D 2,4 GHz 512 Mb RAM. Вчера стояли галки проверять изображения и Scan max file size был равен 5 Мб. Инет вроде не тормозил, были проблемы только с закачками. Сегодня решил уменьшить Scan max file size. Сначала все работало отлично и закачки не рвались, а потом тормоза жуткие начались. -
Тормоза у меня и без HAVP… Зря я его подозревал.
-
Из-за чего могут возникать такие ошибки?
1. Jan 20 10:37:36 havp[37048]: (213.180.204.131) Server sent more than Content-Length (127.0.0.1/awaps.yandex.ru:80)
2. Jan 20 10:35:47 havp[36945]: (127.0.0.1) Could not send body to browser -
Jan 27 11:10:40 havp[47646]: (127.0.0.1) Could not send body to browser
Jan 27 11:10:40 havp[47624]: (127.0.0.1) Could not send body to browser
Jan 27 11:12:18 havp[47645]: (127.0.0.1) Invalid request from browser
Jan 27 11:12:18 havp[47658]: (127.0.0.1) Invalid request from browser
Jan 27 11:12:26 havp[47649]: (127.0.0.1) Could not send body to browser
Jan 27 11:12:26 havp[47633]: (127.0.0.1) Could not send body to browser
Jan 27 11:12:26 havp[47625]: (127.0.0.1) Could not send body to browserТочно такие же сообщения … Может кто объяснит откуда это и что с этим делать ?
-
по какой схеме настроен havp? лучше ставить его перед сквидом. т.е
inet-havp-squid-lan -
У меня так и настроен (Parent for Squid)
-
What do all these "Could not.." errors mean in error.log?
Absolutely nothing, unless you know something is broken. They are just debug messages telling if server did not send header as it should have etc.. decrease LOGLEVEL if you don't want to see them.
http://havp.hege.li/forum/viewtopic.php?f=2&t=4
-
Понятно, жаль через GUI не отключается, пришлось havp.inc править…
Заодно "обновил" clamav и havp копированием файлов поверх имеющихся. Если появятся проблемы - отпишусь, хотя пока всё работает :) -
Понятно, жаль через GUI не отключается, пришлось havp.inc править…
Заодно "обновил" clamav и havp копированием файлов поверх имеющихся. Если появятся проблемы - отпишусь, хотя пока всё работает :)Можно чуть более подробную схему действий? спасибо.
-
В файле /usr/local/pkg/havp.inc находим:
$conf[] = "LOGLEVEL 1" и меняем на $conf[] = "LOGLEVEL 0" - 561 строка
Здесь же я ещё поправил параметр HVDEF_HAVP_MINSRV (93 стр.) на 20, чтоб сразу стартовало 20 процессов HAVP.
После изменений в настройках HAVP, конфигфайл будет с этими параметрами, возможно, достаточно просто SAVE нажать.Про обновление (ранее уже встречалось на форуме):
скачиваем пакеты
_ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/All/clamav-0.95.3.tbz
_ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/All/havp-0.91.tbz
распаковываем их, останавливаем havp и clamd
далее из распакованных папок надо скопировать содержимое в /usr/local/ (я копировал без конфигурационных файлов, т.е. без etc):
Например, находясь в clamav-0.95.3/ я делал так:
cp -r bin/ /usr/local/bin/
cp -r lib/ /usr/local/lib/
cp -r libdata/ /usr/local/libdata/ и т.д. (может можно проще, одной командой, не знаю, знаний пока маловато)
Аналогично и для havpПосле этого я запустил clamd просто набрав в консоли clamd и havp из GUI. Всё заработало :)
-
$conf[] = "LOGLEVEL 1" и меняем на $conf[] = "LOGLEVEL 0"
Я так понял это устраняет симптом, а не причину.Сделал по вашей инструкции, вот что получил:
Jan 29 23:58:41 havp[1162]: ERROR: Clamd Socket Scanner failed EICAR virus test! (Could not connect to scanner socket)
Jan 29 23:58:41 havp[1162]: Clamd: Could not connect to scanner! Scanner down?clamd
/libexec/ld-elf.so.1: clamd: Undefined symbol "cl_settempdir"
reboot не помогает.
Хм, оказывается я все копировал в /usr/local/bin :DСкопировал все в правильный папочки, но получил следующее
Jan 30 00:14:44 havp[4137]: ERROR: Clamd Socket Scanner failed EICAR virus test! (Could not connect to scanner socket)
Jan 30 00:14:44 havp[4137]: Clamd: Could not connect to scanner! Scanner down?
Jan 30 00:13:44 havp[4137]: –- Initializing Clamd Socket Scanner
Jan 30 00:13:44 havp[4137]: Running as user: havp, group: havp
Jan 30 00:13:44 havp[4137]: === Mandatory locking disabled! KEEPBACK settings not used!
Jan 30 00:13:44 havp[4137]: === Starting HAVP Version: 0.91
Jan 30 00:13:44 clamd[4119]: Can't unlink the socket file /var/run/clamav/clamd.sock
Jan 30 00:13:44 clamd[4119]: LOCAL: Socket file /var/run/clamav/clamd.sock could not be bound: No such file or directory
Jan 30 00:09:13 clamd[3483]: Can't unlink the socket file /var/run/clamav/clamd.sock
Jan 30 00:09:13 clamd[3483]: LOCAL: Socket file /var/run/clamav/clamd.sock could not be bound: No such file or directoryПомогло следующее
mkdir /var/run/clamav
touch /var/run/clamav/clamd.sock -
Кстати, на работает Dashboard:HAVP alerts. Вирусы ловит, но на доске не показывает, по нажатию на заголовок выдает 404
-
Блин бага какая-то. Надо в проверку запихнуть тест Socket file /var/run/clamav/clamd.soc :-[
-
Кстати, на работает Dashboard:HAVP alerts. Вирусы ловит, но на доске не показывает, по нажатию на заголовок выдает 404
У меня на виртуалке показывает, но виджет проверял только на обновлённом антивирусе.
-
У меня антивирус обновлен.
-
В логах стали появляться вот такие сообщения
Feb 4 17:47:05 havp[31126]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[20033]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[19833]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[31159]: (127.0.0.1) Browser POST without Content-Length header
Feb 4 17:47:05 havp[20372]: (127.0.0.1) Browser POST without Content-Length headerчто это означает и как с этим бороться.
havp настроен как parent for squid. версия pfsense 1.2.3-RELEASE
-
да никак.. это значит, что проблемы у клиентов с их браузерами. они чего-то там отправляют http методом post, но не указывают длину сообщения.. возможно страшные вирусы уже проникли в локальную сеть, ОМГ!