Duvida Estudo HAVP [RESOLVIDO]

vicktorzx
(usa Ubuntu)

Enviado em 12/12/2014 - 17:49h

Boa Tarde,

amigos do vivaolinux, estou tentando fazer a integração do SQUID3 com o HAVP + CLAMAV e estou tendo um pequeno problema ao subir o serviço.
Executei os seguintes passo a passo:


############################################################################################################

root@lord:~# apt-get install build-essential clamav libclamav-dev -y

root@lord:~# cd /usr/src/

root@lord:/usr/src# http://www.server-side.de/download/havp-0.92a.tar.gz

############################################################################################################

# Descompactar

root@lord:/usr/src# tar -zxvf havp-0.92a.tar.gz

root@lord:~# cd havp-0.92a/

root@lord:/havp-0.92a#

root@lord:/havp-0.92a# ./configure

root@lord:/havp-0.92a# make

root@lord:/havp-0.92a# make install

############################################################################################################

root@lord:~# addgroup havp

root@lord:~# useradd -g havp havp

root@lord:~# chown havp /var/log/havp /var/tmp/havp /var/run/havp

############################################################################################################

root@lord:~# cp etc/init.d/havp /etc/init.d/

root@lord:~# cd /usr/local/etc/havp/

root@lord:~# vim /usr/local/etc/havp/havp.config

############################################################################################################

COMENTARIOS


Comentar o REMOVETHISLINE

#REMOVETHISLINE deleteme

Descomentar e Modificar

TEMPLATEPATH /usr/local/etc/havp/templates/br


####
#### ClamAV Library Scanner
####

ENABLECLAMLIB true

############################################################################################################

root@lord:~# /etc/init.d/havp restart

root@lord:~# vim /etc/fstab


Adicionar em caso de erro a função mand

ext4 errors=remount-ro,mand 0 1

root@lord:~# mount / -o remount

############################################################################################################

root@lord:~# /etc/init.d/havp restart

root@lord:~# netstat -natp

###########################################################################################################

Adicionar ao squid.conf

icp_port 0
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default

#Somente trafego http pode ser scaneado

acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP

##########################################################################################################

root@lord:~# service squid3 restart

O erro, falha, bug não sei ao certo aparece quando executo o restart do serviço constando a mensagem abaixo:


[ 2150.261049] Out of memory: Kill process 3317 (havp) score 545 or sacrifice child
[ 2150.261280] Killed process 3317 (havp) total-vm:343424kB, anon-rss:269152kB, file-rss:0kB Killed



root@lord:~# netstat -natp

###########################################################################################################

buckminster
(usa Debian)

Enviado em 12/12/2014 - 21:06h

Veja isto:

http://linuxpoison.blogspot.com.br/2010/12/configure-squid-proxy-with-clamav.html

Acredito que teu problema está na porta, o HAVP escuta por padrão na porta 8080.

vicktorzx
(usa Ubuntu)

Enviado em 13/12/2014 - 14:10h

Boa Tarde,

Buck, agradeço dês de já a ajuda, e bom segui suas instruções e verifiquei a porta, realmente estava configurada como 8080 ah modifiquei salvei as alterações executei o restart mas o erro, falha ou nem sei persistiu. Aproveitei que ti me estimulou a mente e verifiquei sobre soluções relacionada a porta padrão do HAVP encontrei coisas interessantes e implementei no havp.config mas infelizmente o erro persiste.

Segue abaixo as novas alterações que fiz no havp.config


###################################################

Comente o REMOVETHISLINE

#REMOVETHISLINE deleteme

#Usuario e Grupo
USER havp
GROUP havp

#Rodar como processo
DAEMON true

#Local do arquivo do processo
PIDFILE /var/run/havp/havp.pid

#Quantidade minima e maxima de processos (Depende do hardware)
SERVERNUMBER 20
MAXSERVERS 100

#Arquivo de Log e Erro
ACCESSLOG /var/log/havp/access.log
ERRORLOG /var/log/havp/havp.log
LOG_OKS false
LOGLEVEL 0

#Arquivos temporarios de verificacao
SCANTEMPFILE /var/tmp/havp/havp-XXXXXX
TEMPDIR /var/tmp

#Porta que o serviço vai escutar novas conexoes (Deve ser liberada no firewall da maquina)
PORT 8000
BIND_ADDRESS 127.0.0.1

#Deixar os erros em portugues
TEMPLATEPATH /etc/havp/templates/br

#Scaniar imagens, tamanho maximo de arquivos que vão ser scaniados
SCANIMAGES enable
MAXSCANSIZE 5000000
KEEPBACKBUFFER 200000

#Habilitando o antivirus Clamav (podem ser outros antivirus, veja o arquivo default de conf)
ENABLECLAMLIB true

######################################################

/etc/init.d/havp restart

ERROR

[ 5009.725219] Out of memory: Kill process 4172 (havp) score 538 or sacrifice child
[ 5009.725342] Killed process 4172 (havp) total-vm:339584kB, anon-rss:265420kB, file-rss:0kB Killed

E bom não sei ao certo o motivo do erro mas esta me parecendo ser algo relacionado a memoria não sei.

#####################################################################################################

SERVIDOR

UBUNTU SERVER 14.04

#####################################################################################################

CLIENTES

WINDOWS XP

DEBIAN 7

####################################################################################################

buckminster
(usa Debian)

Enviado em 13/12/2014 - 17:50h

Ok, vamos lá.

Out of memory: Kill process 3317 (havp) score 545 or sacrifice child

Quando excede a RAM o sistema ativa o OOM, out of memory (sem memória) para matar processos, no caso, o HAVP. Tu deves adaptar as configurações de memória do Squid ou do HAVP. Mas eu recomendaria adicionar mais memória RAM.

vicktorzx
(usa Ubuntu)

Enviado em 13/12/2014 - 19:44h

Boa Noite,

Buck, aumentei a memoria de 512MB RAM para 1024MB executei o restar e pelo visto era realmente questão de falta de memoria RAM, mas como alegria de pobre dura pouco rsrs

Constou um novo erro, este abaixo:

#############################################################################################################

service havp restart


Cloud not fork daemon

Exiting..

#############################################################################################################

Executei o comando netstat -natp para desencargo de consciência mas o serviço não subiu.

buckminster
(usa Debian)

Enviado em 13/12/2014 - 20:43h

//We can remove the hardlock/eicar testfile now
while (unlink(TempFileName) < 0 && (errno == EINTR || errno == EBUSY)); if ( Params::GetConfigBool("DAEMON") )
{
if ( MakeDaemon() == false )
{
cout << "Could not fork daemon" << endl;
cout << "Exiting.." << endl;
exit(1);
}
}

Aí em cima está a parte do código do HAVP que dá esse erro.
O sistema não pode iniciar o daemon porque ele não pode bifurcar o processo. Provavelmente é algum erro de configuração e/ou de instalação.

Tente isso:

# service havp stop
# invoke-rc.d havp force-reload
# service havp start


Aqui algumas informações:

Havp (HTTP Proxy Antivirus) é um proxy com um filtro antivírus. Não faz cache e nem é um filtro de pacotes. Faz uma varredura completa do tráfego da rede a todo momento para evitar a chance de deixar passar código malicioso em vários tipos de arquivos, por exemplo HTML (JavaScript) ou Jpeg. Pretende parar especialmente dialer ou browser exploits. Escrever um proxy http antivírus é um verdadeiro dilema! Enormes downloads são um problema para os proxies de varredura de vírus. Um cliente não deve receber os dados sem passar pelo antivírus, mas grandes downloads não podem exceder o tempo limite.

Vantagens:
O escaneamento é iniciado em simultâneo com o download, mas arquivos compactados são um problema, porque eles só são extraídos durante o download.

Desvantagens:
Se o processo de escaneamento é muito lento e o arquivo for muito grande, você ainda pode receber um vírus! Se o arquivo contém um vírus e este arquivo for muito grande a transferência será cancelada sem aviso. Se você tentar baixar o arquivo novamente, você receberá a mensagem de erro (este recurso ainda não foi implementado).

HAVP, Last Update: 25-Nov-2010.

Leia a FAQ do HAVP:
http://www.server-side.de/faq.htm

Q: Does Havp support HTTPS?
A: No. It is difficult to check https because the proxy can not encrypt the data.

Q: Does Havp support FTP?
A: Only with a parent proxy that supports FTP.

Q: Does Havp support a parent proxy?
A: Yes.

Q: Does Havp support transparent proxy mode?
A: Yes.

Q: How to install Havp?
A: Please check the Documentation.

Q: I'm using Squid with a parent Havp proxy and a virus will not be detected.
A: Maybe the virus is already in your squid or browser cache. Delete the browser cache and retry.


E depois leia a documentação dele:
http://www.server-side.de/documentation.htm


Não vejo necessidade de tu usares o HAVP e o ClamAv juntos. Isto é uma encrenca configurar eles juntos. São dois antivírus na mesma máquina, os dois analisando pacotes ao mesmo tempo. Eu optaria pelo ClamAV.

vicktorzx
(usa Ubuntu)

Enviado em 14/12/2014 - 16:34h

Boa Tarde,

Buck, executei as orientações que me passou e o erro persistiu, então resolvi desinstalar o HAV&#7764; e Clamav e instalá-los novamente, mas via apt-get, executei os mesmo passo a passo que me repassou mas o erro persistiu.


# ERROR

###############################################################################################################

# service havp stop - OK

###############################################################################################################

# invoke-rc.d havp force-reload - FAIL

Cleaning up /var/spool/havp... done
Mounting /var/lib/havp/havp.loop under /var/spool/havp ... done
Cleaning up /var/spool/havp... done
Starting havp: Starting HAVP Version: 0.92
Could not fork daemon
Exiting ..
invoke-rc.d: initscript havp, action "force-reload" failed.

###############################################################################################################

# service havp start - FAIL
Cleaning up /var/spool/havp... done
Starting havp: Starting HAVP Version: 0.92
Could not fork daemon
Exiting ..

###############################################################################################################

Sobre o Clamav vou seguir sua orientação e não fazer uso dele no futuro quando estiver implementando em algo real que não em estudo via VM. So tenho uma duvida que me veio a mente, quando instalava o havp pelo apt-get constou uma falha devido o conflito da porta 8080, e por isto queria saber as configurações da porta padrão do HAVP fica em algum outro local que não apenas o havp.config pois a mesma vem comentada neste arquivo.
Pensei também em instalar uma versão mais antiga do HAVP o que me aconselha?

buckminster
(usa Debian)

Enviado em 14/12/2014 - 16:36h

Te aconselho a ficar somente com o ClamAv, como te falei antes. O HAVP está descontinuado.

vicktorzx
(usa Ubuntu)

Enviado em 14/12/2014 - 17:58h

Boa Tarde,

Buck, entendo amigo, penso então que deve ser algo relacionado a ter ao fato de ter sido descontinuado, só achei estranho um fato fiz os mesmo procedimentos tanto via copilação do HAVP quanto via apt-get no meu SO Nativo Ubuntu 14.04 e funcionou perfeitamente sem nem uma erro.
E acho triste este projeto ter sido descontinuado espero que o retomem no futuro.
Mas devo marcar como resolvido este tópico?

E ah agradeço a sua ajuda por aqui foi muito construtivo para mim como universitário em Tecnologia em Redes Valeu mesmo amigo.

buckminster
(usa Debian)

Enviado em 14/12/2014 - 18:39h

De nada. Pode marcar como resolvido.
O ClamAV é um bom antivírus de rede.