Problème après l'installation de Mailscanner : Waiting for children to die …



  • Bonjour,
    j'ai installé un pfsense 2.0.1 et je bloque sur un problème de Mailscanner.
    La machine fraichement installée je sélectionne system, package et je choisi Mailscanner-dev.
    Tous s'installe visiblement parfaitement. Je sélectionne donc Mailscanner pour l'activer et le service démarre.
    Quand je regarde les logs dans status,system logs J'ai le message suivant :
    MailScanner: waiting for children to die: Process did not exit cleanly, returned 29 with signal 0

    J'ai fait l'installation un certains nombres de fois et c'est toujours la meme chose.
    La machine est de type ML110 G7.

    J'ai vu qu'il y a un problème de version de perl qui doit visiblement être 5.10.. et j'ai la version 5.12.4_3.
    Lorsque le package s'installe c'est lui même qui met cette version. Faut-il avant de l'installer manuellement installer la version 5.10 sous le shell ? Est-ce que le fait de changer de version de Perl impacte sur les autres paquetages ?

    Merci pour vos réponses.



  • A tout hasard : http://forum.pfsense.org/index.php/topic,43687.0.html

    J'espère juste que c'est sur un Pfsense qui n'est pas destiné à être votre firewall.



  • Bonsoir, oui c'est ce que j'avais vu. Sauf que je trouve moyen de bricoler les paquetages.
    Je passe mon temps à faire ça sous linux. Sous la solution pfsense je pensais (à tord peut etre) que les paquetages présentés sous l'interface étaient fonctionnels et cohérents entre eux. Ca me dérange de bricoler la version de Perl pour en mettre une plus ancienne puis tel module… Si dès que je veux installer un module il s'octroie le droit de mettre à jour mon Perl je vais passer mon temps à désinstaller perl pour mettre une ancienne version. En même temps le module n'est pas en version stable donc ...

    Si je comprend bien il faut utiliser pfsense en version 2.0.1 telle que et ne pas installer de modules complémentaires tant que ceux ci ne sont pas en phase STABLE ?

    Pourquoi ce pfsense ne pourrait pas etre mon firewall ?



  • Si je comprend bien il faut utiliser pfsense en version 2.0.1 telle que et ne pas installer de modules complémentaires tant que ceux ci ne sont pas en phase STABLE ?

    Pourquoi ce pfsense ne pourrait pas etre mon firewall ?

    On attend d'un firewall le niveau maximum de sécurité au regard des critères DICT qui sont les fondamentaux de la sécurité.

    Ne pas installer de module autre qu'en version stable est bien le moins que l'on puisse faire sur un firewall en production. Installer un module est déjà totalement discutable puisque ceux ne sont ni développés, ni validés par l'équipe qui développe Pfsense. Vous n'avez donc aucune garantie de l’innocuité du module. Par ailleurs le nombre de failles de sécurité d'un système est directement proportionnel au nombre de lignes de code source qui compose le dit système.

    On voit bien que la performance, au regard des critères DICT, risque fort d'être dégradée au moindre module ajouté.

    Bricoler les paquetages, ou quoi que ce soit d'autre sur un firewall, reste le meilleur moyen d'aboutir à la compromission de celui ci.

    L'idée de scanner les mails sur le firewall est assez idéale pour se faire infliger, par exemple, un déni de service. Faire toirner des applications accessibles depuis l'extérieur sur un firewall reste très périlleux.

    Ce Pfsense peut être votre firewall mais vous serez loin du niveau de sécurité fourni initialement par celui ci. Ce qui est l'inverse de ce que l'on attend de ce type d'équipement.

    Un exemple des conséquences de l’exécution de Bind sur un firewall :
    http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-596/index.html

    ou encore de Postfix (nécessaire pour mail scaner)
    http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-283/CERTA-2011-AVI-283.html
    http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-420/CERTA-2008-AVI-420.html

    Et pourtant Postifix est d'une des applications les plus sûres qui existent.



  • Bonsoir, on est bien d'accord… Je vous remercie pour votre réponse. Bonne soirée.


Log in to reply