Vierenscanner für Squid

HellSeeker2k · 13 Mai 2004

Muss an dieser Stelle zugeben das ich erst seit ca. einer Woche Linux verwende und noch nicht wirklich ahnung vom System habe.
Habe jetzt auf dem SUSE 8.1 Rechner Squid installiert und konfiguriere diesen mittels Webmin.

Da ich diesen Server in meiner Firma verwende und als Vierenscanner einsetzen wollte ich wissen ob es einen VScanner für Squid gibt. Wenn möglich sollte dieser Freeware sein. Seine Aufgabe wäre dass alle Suchanfragen (http://, ...) der Clients zuerst geprüft werden, und dann erst angezeigt werden.

Freue mich über jeden nützlichen Beitrag.

mfg
H2K

Knollo · 13 Mai 2004

HellSeeker2k schrieb:
... das ich erst seit ca. einer Woche Linux verwende und noch nicht wirklich ahnung vom System habe.

Da ich diesen Server in meiner Firma verwende und als Vierenscanner einsetzen ...Scannerr für Squid gibt. ...Suchanfragen (http://, ...) der Clients zuerst geprüft...
Freue mich über jeden nützlichen Beitrag.

mfg
H2K

Du hast keine Ahnung (was auch nicht schlimm ist) und willst das Ding in einer Firma einsetzen ? :roll:

Virescanner für Squid? Du solltest dir mal Informationen über die Funktionsweise eine Scanners besorgen.

Nutzliche Antworten bekommt man nur auf nützliche Fragen! :wink:

Zu deiner Info: Ein kostenlosen Virensacnner gibt es von F-Prot!

Bonsai · 16 Mai 2004

Du könntest eMails auf dem Server scannen, bevor sie ankommen, trotzdem muß immer ein Virenscanner auf dem Client laufen. Ausser Du hast als Clients auch Linux.

Den http Traffic kann man nicht so einfach scannen.
Das einzige was ich mir da vorstellen könnte ist, über Mimetypen festlegen, daß der Browser potenziell gefährliches wie z.B. doc exe com ... woanders ablegt.

Ich habe etwas von einem Script gelesen, der in Mozilla über mimetypes die Dateien mittels eines Linuxrechners herunterlädt. Keine Ahnung ob das auch auf dem Windowsmozilla geht.
Dem IE dann am besten einen Proxyserver angeben, den es überhaupt nicht gibt, dann sollte es halbwegs sicher sein.

balubaer · 19 Okt. 2004

==> http://www.bolzchristian.de/software/squidvir/

allerdings ist dies kein 100 % schutz, da ssl verbindung nicht gescannt werden können. daher ist ein virenscanner auf dem client nicht zu ersetzen !
zweiter punkt ist die performance. ein virenscanner beansprucht natürlich auch etwas an resourcen.

Knollo

Virescanner für Squid? Du solltest dir mal Informationen über die Funktionsweise eine Scanners besorgen.

Nutzliche Antworten bekommt man nur auf nützliche Fragen!

na so dumm war die frage doch gar nicht .....

grüße

balubaer

Bonsai · 20 Okt. 2004

Das ist ja mal eine richtig gute Software! Danke für den Tip!

dirigent · 1 Nov. 2004

Hi,
bei mir läuft Squid und Squidvir nicht zusammen.
System: woody
Squid mit Authentifizierung
Habe nach Anleitung die Dateien in die jeweiligen Verzeichnisse gelegt und chmod 777 ausgeführt. Ebenso ein Verzeichnis /var/www/antivirus (777) ein squidvir.log (777) erstellt.
wenn ich im squid.conf: redirect_program /usr/bin/squidvir.pl eingebe, werden auf meinem Browser keine Bilder mehr dargestellt.
Als Virenscanner benutze ich Bitdefender(/usr/bin/bdc --all).
Noch eine Besonderheit: Die Dateien werden von einem transparenten Proxy(squid) auf Port 801 abgerufen.
Als Fehlermeldung erscheint im syslog: redirector exited
Die squidvir.log sowie /var/www/antivirus bleiben leer.
Bitte helft mir!
MfG
dirigent

dirigent · 1 Nov. 2004

Hier mal die Ausgabe von squidvir.pl auf der Konsole:

Can't locate Config/General.pm in @INC (@INC contains: /usr/local/lib/perl/5.6.1 /usr/local/share/perl/5.6.1 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.6.1 /usr/share/perl/5.6.1 /usr/local/lib/site_perl .) at /usr/bin/squidvir.pl line 21.
BEGIN failed--compilation aborted at /usr/bin/squidvir.pl line 21.

p.s. Nach der Installation von Perl-Config-General funktioniert es endlich.
Zum Scan von Jpeg-Dateien allerdings völlig ungeeignet!
MfG dirigent

oc2pus · 18 Jan. 2005

schau euch mal das Programm SquiVi2 an.
das funzt hervorragend und ist gut konfiigurierbar

gibt es hier:
http://squivi2.sourceforge.net/

styyxx · 1 Feb. 2005

Hallo,

nach austesten von verschiedenen Lösungen (Viralator, DansGuardian+AV, SquidVir) bin ich schließlich bei dem Apache2 Modul mod_clamav hängengeblieben. Das hat sich bisher am reibungslosesten einbinden und konfigurieren lassen. Desweiteren ist der Vorteil das das scannen der Dateien für den User transparent erfolgt. Ein Test mit vielen Benutzern fehlt allerdings noch, wird aber wohl diese Woche gestartet. Neben Mime-Type-Erkennung kann das Modul die Dateien auch anhand der ersten Bytes erkennen, ähnlich dem file Programm. Das einzige Problem was ich ausmachen kann ist das nun sehr viele Semaphores generiert werden, die anscheinend nicht mehr freigegeben werden. Als Workaround habe ich die maximale Anzahl der Semaphores erhöht und lösche die die älter als einen Tag sind mittels ipcrm. Ansonsten macht das ganze einen sehr guten Eindruck, besonders weil noch nichtmal ein VS laufen muß, da das Modul die ClamAV Bibliothek direkt benutzen kann.

Grüße
styyxx

novize · 16 Feb. 2005

Hallo Styyx,

sorry für meine folgende Frage, die bares Unverständnis belegt:

Wie hilft mir das von Dir vorgestellte Apache2 Modul für den Virenschutz unter Squid?

Konkret für meinen Fall: Ich benutze einen Linux Server im WindowsXP Netzwerk. In der Hoffnung die Internet-Zugriffe sicherer (und schneller?) zu machen, habe ich Squid eingsetzt, über den alle Zugriffe laufen. Somit sollte ein online Viren-Scanner unter Squid die dahinter liegende, angreifbare Windows-Welt schützen... Aber wo kommt hier der Apache2 ins Spiel?

Grüße

Der Novize

oc2pus · 16 Feb. 2005

novize schrieb:
Wie hilft mir das von Dir vorgestellte Apache2 Modul für den Virenschutz unter Squid?

Konkret für meinen Fall: Ich benutze einen Linux Server im WindowsXP Netzwerk. In der Hoffnung die Internet-Zugriffe sicherer (und schneller?) zu machen, habe ich Squid eingsetzt, über den alle Zugriffe laufen. Somit sollte ein online Viren-Scanner unter Squid die dahinter liegende, angreifbare Windows-Welt schützen... Aber wo kommt hier der Apache2 ins Spiel?

internet ==> squid ==> virenscanner ==> lokales Verzeichnis
lokales verzeichnis ==> apache ==> user (requester)

d.h. die Datei wird neu "serviert" durch den eigenen apache

er erhält die Datei dann nicht via squid sondern durch deinen eigenen Webserver...

styyxx · 16 Feb. 2005

Tach,

das ganze funktioniert so das der apache hinter dem squid eingebunden wird.

Client===>Proxy(squid--->apache2)===>Internet

Der apache2 läuft als Non-Caching-Proxy und wird im squid als Parent angegeben. Der squid sendet alle Anfragen über den apache. Dieser erledigt dann den Request sowie den Scan und liefert die Seite an den squid.

Grüße
styyxx

novize · 16 Feb. 2005

Ah, ja nun geht mir ein Licht auf :idea:

Ist dieses aber nicht unendlich langsam? Oder "spürt" der Enduser an seinem Browser davon gar nichts?

Eigentlich anderer Topic - passt aber zur Eingangsfrage:

Über Google habe ich Safesquid entdeckt: Soll Squid ersetzen, einen Content-Filter beinhalten und gleichzeitig über ClamAV noch Viren-Scannen. Kennt dieses jemand?

Lt. Webpage wäre dieses das geniale Produkt, sogar mit GUI (ja ich komme aus der Windows Welt

), aber:

:!:
Komisch ist, dass Google in etlichen Foren immer wieder einen User "David" findet der fragt ob jemand SafeSquid kennt und immer "Stephan" antwortet und das Produkt hochlobt. Ein Mod hat den Thread geschlossen, weil beide von der gleichen IP-Adresse gepostet haben. :twisted:

Heisst das nun "Hands off" (schließlich will ich mir ja nicht über eine mir unbekannte Quelle, ein Hintertürchen im System öffnen), oder ist das der legitime Versuch einer Startup-Company mit einer genialen Software ins harte Business einzusteigen?

Der Novize

styyxx · 16 Feb. 2005

Moin,

natürlich ist es langsamer, schließlich muß das Paket ja auch mehrere Prozesse durchlaufen und evtl. auch gescannt werden. Doch in den allermeisten Fällen ist es halt auch nur meß- und nicht spürbar.

SafeSquid kenn ich nicht. Ob das über ne Hintertür verfügt wirst du wohl nur über die Quellen rausfinden ;-)

An Kommerziellen Produkten hat mich bisher Webwasher am meisten beeindruckt, der kann auch SSL Verbindungen scannen. Ist allerdings auch ein wenig teurer. Recht günstig ist das Astaro Security Linux und auch recht gut.

Grüße
styyxx

novize · 3 März 2005

Hallo styyxx und andere:

nun habe ich also probiert Squivi2 zu installieren. Leider klappt es nicht: Die Dokumentation ist für einen Linux-Novizen nur kryptisch.

Also habe ich die Dateien in ein Verzeichnis unter /srv/www/htdocs/ gepackt und dieses in der squivi.conf angegeben. auch die Squid konfiguration habe ich dementsprechend geändert und Squid neu gestartet. Leider klappt es nicht:
unter localmessages finde ich:

squid[5784]: WARNING: redirector #2 (FD 8) exited
squid[5784]: storeLateRelease: released 0 objects

und der Squid access log gibt folgendes aus:

192.168.1.101 - - [03/Mar/2005:19:14:31 +0100] "GET http://www.sueddeutsche.de/img/g_sz_logo.gif HTTP/1.0" 200 2287 TCP_MISS

IRECT

Apache scheint zu funktionieren:

192.168.1.5 - - [03/Mar/2005:18:51:43 +0100] "GET /SquiVi2/squivi.cgi HTTP/1.0" 200 25348 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

Any ideas?

oc2pus · 3 März 2005

novize schrieb:
nun habe ich also probiert Squivi2 zu installieren. Leider klappt es nicht: Die Dokumentation ist für einen Linux-Novizen nur kryptisch.

Also habe ich die Dateien in ein Verzeichnis unter /srv/www/htdocs/ gepackt und dieses in der squivi.conf angegeben. auch die Squid konfiguration habe ich dementsprechend geändert und Squid neu gestartet.

was steht in der squivi.conf drin ?
wie hast du das tar.gz entpackt ?
wie sieht die Verzeichnisstruktur genau aus ?

novize · 3 März 2005

Dank Dir für die Hilfe!!!

die tar.gz habe ich entpackt und - sofern ich die Anleitung richtig verstanden habe - ins Verzeichnis /srv/www geschoben. Da es nicht funktioniert hat und der Server darauf zugreifen sollte, veruchte ich es mit dem htdocs verzeichnis...

und nun die squivi.conf (die Comments gekürzt, um Platz zu sparen)

# path to conf and squiviscan
basedir = /srv/www/htdocs/squivi2
confpath = ${basedir}/etc/squivi.conf
squiviscan = ${basedir}/bin/squiviscan.pl
downloaddir = ${basedir}/download

showoutput = 1 # if set to 1 a status page will display the current progress
longoutput = 1 # short or long report
redirectftp = 1 # redirect ftp to http - this is a workaround for an problem concerning MS-IE
usenewwin = 1 # opens a new window (only if redirectftp = 1)
backnewwin = 0 # if usenewwin = 1 history.back is called after n seconds (0 to disable, recommended)
# There could be problems on some 'browser website combinations': it could build an loop
# if history.back points to a redirection
refreshtime = 5 # the sleep time until the next refresh of the report
authlifetime = 600 # max lifetime of auth information
webbase = http://192.168.1.3/SquiVi2/ # where is your Webserver
squiviauth = ${webbase}/squiviauth.cgi # URL to squiviauth.cgi
squivicgi = ${webbase}/squivi.cgi # URL to squivi.cgi
squivicss = ${webbase}/squivi.css # URL to squivi.css
squivilogo = ${webbase}/squivi.png # URL to squivi.png, the logo for SquiVi2
squivilogourl = http://squivi2.sf.net/ # URL logo points to
lang = de # which language should be used in the frontend - you find the possibilities in the lang dir
wgetbin = /usr/bin/wget
wgetusedata = 1 # set to 1 if you want that wget sends your referer, UserAgent, Cookies and so on...
waitfordata = 90 # how long to wait for request data (e.g. cookies, useragent, ...)
wgetcookie = --cookies=off --header='Cookie: <cookie>' # wget arg for sending cookies (<cookie> will be replaced)
wgetuseragent = -U '<useragent> SquiVi2/squivi2.sf.net' # wget arg for sending the user agent (<ua> will be replaced)
wgetreferer = --referer='<referer>' # wget arg for sending the referer url (<referer> will be replaced)
#wgetuseragent = -U "Mozilla/8 (compatible; SquiVi2; squivi2.sf.net)" # this one is my favorite!
wgetauthpass = --http-user='<user>' --http-passwd='<pass>' # wget arg for sending auth information
# (<user>, <pass> will be replaced)
# other args for wget
wgetargs = -N -S -t 1 --passive-ftp
wgetargs = --retr-symlinks
# if you want to reduce the bandwidth
#wgetargs = --limit-rate=7k

logfacility = LOG_USER
loglevel = 9

limitlevel = 10 # how many times should be searched for new compressed files
limitarchiv = 50 # max number of compressed files
limitsize = 500000000 # max size of all files (incl. compressed data)
limitfiles = 1000 # max number of files

# H+BEDV Datentechnik
<scanner antivir>
bin = /usr/bin/antivir
args = -s --allfiles
exitnovirus = 0
</scanner>

Ich würde mich freuen, wenn einer schlau daraus werden sollte...

oc2pus · 4 März 2005

novize schrieb:
die tar.gz habe ich entpackt und - sofern ich die Anleitung richtig verstanden habe - ins Verzeichnis /srv/www geschoben. Da es nicht funktioniert hat und der Server darauf zugreifen sollte, veruchte ich es mit dem htdocs verzeichnis...

ich hoffe du hast das tar.gz korrekt entpackt, also nicht alle Dateien in EIN Verzeichnis, sondern die squivi Verzeichnisstruktur beibehalten ...
Das meinte ich mit meiner Frage: Wie sieht die Verzeichnisstruktur aus ?

Hast du die Rechte für die Verzeichniss korrekt gesetzt ?
Wenn dein apache den Zugriff erlaubt und die squivi Seite anzeigt ist dieser Teil in Ordnung.

Deine squid.conf sollte für den redirector-Aufruf entsprechend konfiguriert sein. Was hast du dort eingetragen?

novize · 4 März 2005

Ah jetzt verstehe ich.

Also die Dateien habe ich in die jeweilige SquiVi Verzeichnisse entpackt:
/srv/www/htdocs/SquiVi2/bin
/srv/www/htdocs/SquiVi2/etc
...
Für die Einrichtung habe ich diese verzeichnisse und alle Dateien für alle Benutzer freigegeben chmod 0777 und den Eigentümer auf squid / users gesetzt.

Funktioniert leider alles nicht

.

Oder gehören die Dateien in die entsprechenden /root/-verzeichnisse?

Bzw. wie muss der Apache2 vorbereitet sein? Änderungen in httpd.conf oder anderen Dateien?

Habe noch ein paar Squidfehler-Meldungen in localmessages gefunden:

WARNING: redirector #4 (FD 30) exited
...
The redirector helpers are crashing too rapidly, need help!

Gruß

novize · 6 März 2005

Nun glaube ich wirklich, dass es etwas mit den Ordner zu tun hat in die ich Squivi2 gespeichert habe.
Folgenden Fehler gibt Squid aus:

Can't locate SquiVi2/Taint.pm in @INC (@INC contains: /usr/lib/perl5/5.8.5/i586-linux-thread-multi /usr/lib/perl5/5.8.5 /usr/lib/perl5/site_perl/5.8.5/i586-linux-thread-multi /usr/lib/perl5/site_perl/5.8.5 /usr/lib/perl5/site_perl /usr/lib/perl5/vendor_perl/5.8.5/i586-linux-thread-multi /usr/lib/perl5/vendor_perl/5.8.5 /usr/lib/perl5/vendor_perl /srv/www/SquiVi2/../lib/) at /srv/www/SquiVi2/squivi.pl line 65.
BEGIN failed--compilation aborted at /srv/www/SquiVi2/squivi.pl line 65

Wohin habt Ihr denn die SquidVi2-Dateien gespeichert? Und wie habt Ihr dann die Directory Section in der conf geschrieben.

Vierenscanner für Squid

Newbie

Newbie

Advanced Hacker

Newbie

Advanced Hacker

Newbie

Newbie

Ultimate Guru

Member

Newbie

Ultimate Guru

Member

Newbie

Member

Newbie

Ultimate Guru

Newbie

Ultimate Guru

Newbie

Newbie