Discussion :

[Général03]

J'ai créé un utilisateur "clamav" dans un groupe "clamav" en utilisant l'interface web de freenas. J'ai lancé clamd et j'obtiens

ERROR: Can't open /var/log/clamav/clamd.log in append mode (check permissions!)

En parcourant le web j'ai trouvé ceci pour permettre à mon utilisateur d'avoir les droits en lecture/écriture

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
touch /var/log/clamav/clamd.log
chown clamav /var/log/clamav/clamd.log

Donc je relance "clamd" et alors là horreur je retombe sur l'erreur d'avant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
LibClamAV : ERROR : cli_cvdload() : Can't create temporary directory /var/tmp//clamav-XXXXXXXXXXX
LibClamAV : Can’t load to /var/db/clamav/daily.cvd : Unable to create tempory directory
ERROR : Unable to create tempory directory

Tu remarqueras les //, croyant l'erreur pouvait venir de là, j'ai décommenter dans /usr/local/etc/clamd.conf la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

TemporaryDirectory /var/tmp

mais rien n'y fait toujours cette erreur (de LibClamAV)

Il semblerait que se soit un problème de permission surement due à une mauvaise utilisation de l'user "clamav". J'ai lu qu'il fallait que "clamav" (l'utilisateur) soit en root.
Qu'en penses tu?

Merci de ton aide

[tonton fred]

En parcourant le web j'ai trouvé ceci pour permettre à mon utilisateur d'avoir les droits en lecture/écriture

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
touch /var/log/clamav/clamd.log
chown clamav /var/log/clamav/clamd.log

/var/log/clamav est un repertoire, il faut aussi changer ses permissions:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chown -R clamav:clamav /var/log/clamav

Donc je relance "clamd" et alors là horreur je retombe sur l'erreur d'avant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
LibClamAV : ERROR : cli_cvdload() : Can't create temporary directory /var/tmp//clamav-XXXXXXXXXXX
LibClamAV : Can’t load to /var/db/clamav/daily.cvd : Unable to create tempory directory
ERROR : Unable to create tempory directory

Il ne me semble pas que "//" soit un probleme. Par contre est ce que clamav a les droits en ecriture sur /var/tmp ? En general les applications supposent que /var/tmp et /tmp sont "world-writable" (mondialement ecrisible ? ). D'ailleurs souvent l'un est un symlink vers l'autre. Pour verifier les droits:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ls -l /var

Il semblerait que se soit un problème de permission surement due à une mauvaise utilisation de l'user "clamav". J'ai lu qu'il fallait que "clamav" (l'utilisateur) soit en root.

Je ne sais pas ou tu as lu ca, mais les conseils du type "lance l'application avec root" pour "resoudre" un probleme de configuration sont du n'importe quoi.
Et au passage, avoir un utilisateur "en root" ne veut rien dire. Tu pensais a quoi exactement?

[Général03]

Il ne me semble pas que "//" soit un probleme. Par contre est ce que clamav a les droits en ecriture sur /var/tmp ?

Comment dois je faire pour vérifier que clamav à les droits en écriture sur /var/tmp ? J'ai bien un paramètre "LogFileUnlock yes" dans le fichier /usr/local/etc/clamd.conf que j'ai décommenter, est que cela suffit pour dire que clamav à les droits d'écriture ?

En general les applications supposent que /var/tmp et /tmp sont "world-writable" (mondialement ecrisible ? ). D'ailleurs souvent l'un est un symlink vers l'autre.

Je ne comprend pas la différences entre ces deux répertoires ? Pourquoi utiliser un autre répertoire qui point vers celui utilisé ? Merci de m'éclairer sur ce point j'aimerais bien avoir plus d'explications, stp.

ls -l /var

donne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
total 16
drwxr-xr-x	3	root	wheel	512 Feb 26 20:23 cron
drwxr-xr-x	6	root	wheel	512 Feb 29 20:55 db
drwxr-xr-x	2	root	wheel	512 Feb 26 20:23 empty
drwxr-xr-x	7	root	wheel	512 Feb 26 21:19 etc
drwxr-xr-x	4	root	wheel	512 Feb 29 22:12 log
drwxr-xr-x	2	root	wheel	512 Feb 26 20:23 mount
drwxr-xr-x	4	root	wheel	512 Mar  1 19:40 run
drwxr-xr-x	3	root	wheel	512 Feb 26 20:23 spool
lrwxr-xr-x	1	root	wheel	  5 Feb 26 20:23 tmp -> /ftmp

Je ne sais pas ou tu as lu ça, mais les conseils du type "lance l'application avec root" pour "resoudre" un probleme de configuration sont du n'importe quoi.

Alors pourquoi j'ai trouvé sur plusieurs site ce point, il voulait dire quoi en faite ?

Et au passage, avoir un utilisateur "en root" ne veut rien dire. Tu pensais a quoi exactement?

ben en lisant les pb de certains sur le web, j'ai cru comprendre que pour lancer "clamd" il fallait être à la racine /. Par "avoir un utilisateur en root" j'avais compris que celui-ci pouvait accéder à tous (lecture/écriture de tous les répertoires et fichiers)

[tonton fred]

J'ai bien un paramètre "LogFileUnlock yes" dans le fichier /usr/local/etc/clamd.conf que j'ai décommenter, est que cela suffit pour dire que clamav à les droits d'écriture ?

Comme tu as certainement pu le constater, non Il est tres rare qu'une application decide de quel droit elle dispose, c'est le role de l'administrateur.

Je ne comprend pas la différences entre ces deux répertoires ? Pourquoi utiliser un autre répertoire qui point vers celui utilisé ? Merci de m'éclairer sur ce point j'aimerais bien avoir plus d'explications, stp.

man hier(4)
/tmp est le repertoire (ou partition) temporaire qui est (en general) efface entre chaque reboot
/var/tmp est le repertoire (ou partition) temporaire qui n'est pas efface entre chaque reboot
Sauf que j'ai du mal a voir l'utilite d'un repertoire temporaire dont on garde le contenu. Pour autant que je sache beaucoup de gens remplacent /var/tmp par un symlink vers /tmp (ou l'inverse). Et dans le cas de freenas /tmp s'appelle /ftmp
C'est le cas ici, donc

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ls -l /var

n'indique rien, il faudrait voir les permissions du repertoire pointe (les symlinks n'ont pas de "vraies" permissions).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ls -l /ftmp

nous en dira plus

Maintenant un peu de hors-sujet

Alors pourquoi j'ai trouvé sur plusieurs site ce point, il voulait dire quoi en faite ?

Je ne sais pas, mais le but est de donner le moins de privilege possible a chaque process ou utilisateur. "lancer en root" a chaque probleme de configuration ne resout rien.

ben en lisant les pb de certains sur le web, j'ai cru comprendre que pour lancer "clamd" il fallait être à la racine /.

C'est un petit probleme de traduction: root est la fois / (la racine du systeme de fichier) et l'utilisateur d'uid (user id) 0 qui a tous les droits sur tous les fichiers.

J'ai lu qu'il fallait que "clamav" (l'utilisateur) soit en root.

Par "avoir un utilisateur en root" j'avais compris que celui-ci pouvait accéder à tous (lecture/écriture de tous les répertoires et fichiers)

C'est bien le cas. Mais passer en root ne consiste pas en ce que tu penses:
- soit on change d'utilisateur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
su user
ou
su # pour passer root

- soit on utilise un programme appelle sudo qui permet de lancer une commande avec des droits differents (plus eleve normalement).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo commande

- soit on applique le setuid ou setgid a un executable. Dans ce cas la lorsqu'un utilisateur lance cet executable, le process en memoire a l'user id ou le group id de l'executable et non de l'utilisateur qui l'a lance.
google te donnera plus de details si tu es interresse (su, sudo, setuid et setgid sont un bon debut de recherche )

[Général03]

Merci beaucoup de tes informations ca m'aide à mieux comprendre comment fonctionne le tout.

ls -l /ftmp

donne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
total 0
-rw-------   1   root   wheel   0 Feb 28 17:32 sess_bfcf16a45bb8...

[tonton fred]

Arf pardon j'oublies trop souvent que chez moi ls est un alias pour ls -a ....

Donc la commande est ls -al /ftmp (la permission interressante est celle de '.'). Sinon tu peux faire ls -l /

[Général03]

Arf pardon j'oublies trop souvent que chez moi ls est un alias pour ls -a ....

C'est toi qui a fait cette correspondance ou alors c'est le systeme qui l'impose ?
Je te met tout le contenu de ls -al /ftmp même si comme tu me l'a dit c'est . qui est intéressant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
total 4
drwxr-xr-x   2   root   wheel 512 Mar 1 00:16 .
drwxr-xr-x  18   root   wheel 512 Mar 1 19:55 ..
-rw-------   1   root   wheel   0 Feb 28 17:32 sess_bfcf16a45bb8...

Le point signifie que c'est tous les répertoires ?

[tonton fred]

C'est toi qui a fait cette correspondance ou alors c'est le systeme qui l'impose ?

Le systeme n'impose jamais rien, il propose une configuration par defaut

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

man alias

Le point signifie que c'est tous les répertoires ?

Non, c'est le repertoire courant. Tu devrais lire un guide general sur unix si tu veux continuer a bidouiller plus profondement (ne le prend pas mal hein ).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
drwxr-xr-x   2   root   wheel 512 Mar 1 00:16 .

Pour la traduction c'est par la
Pour resoudre le probleme:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chmod -R 1777 /ftmp

[Général03]

Tu es vraiment fort, clamd se lance mais une fois qu'il a fini de se charger j'obtiens

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ERROR : LOCAL: Socket file /var/run/clamav/clamd.sock could not be found : Permission denied

J'ai regardé dans /usr/local/etc/clamd.conf et les propriétés suivantes sont activées

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
LocalSocket /var/run/clamav/clamd.sock
FixStaleSocket yes

donc j'ai fait ls -al /ftmp et j'obtiens pour .

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

drwxrwxrwt   2 root   wheel   512 Mar 1 23:11 .

il ne manque pas x à la fin de la permission (avant le t) ?

[Général03]

il ne manque pas x à la fin de la permission (avant le t) ?

Pardon question bête car la rep était dans le lien que tu m'as donné... pour ceux que ça intéresse la rep c'est non car on utilise un Sticky bit et il remplace le dernier x par t....

Je préfère te demander avant de faire car je ne veux pas détruire tout se que tu m'as fait faire mais maintenant ne faut il pas faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chown -R clamav:clamav /var

pour que le répertoire run change de propriétaire ??

[Général03]

lorsque je saisie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chown -R clamav:clamav /var/run/clamav

puis lance clamd j'ai n'ai plus d'erreur (dsl je n'ai pas attendu une rep de ta part j'étais tellement excité du fait que je détenais peut être la seule reponse à toutes mes questions depuis le début, que je n'ai pas pu m'empêcher d'y faire...
Mais j'aimerais savoir si mon daemon clamd fonctionne vraiment, je ne trouve pas la commande pour faire cela tu aurais une piste à me donner ?

[tonton fred]

lorsque je saisie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chown -R clamav:clamav /var/run/clamav

puis lance clamd j'ai n'ai plus d'erreur (dsl je n'ai pas attendu une rep de ta part j'étais tellement excité du fait que je détenais peut être la seule reponse à toutes mes questions depuis le début, que je n'ai pas pu m'empêcher d'y faire...

Bien joue

Par contre, attention:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chown -R clamav:clamav /var

Ca par contre c'etait une tres mauvaise idee, heureusement que tu ne l'as pas fait... Modifier les permissions par defaut des "repertoires systemes" a des consequences assez imprevisibles (parfois a retardement ce qui n'arrange rien)

Mais j'aimerais savoir si mon daemon clamd fonctionne vraiment, je ne trouve pas la commande pour faire cela tu aurais une piste à me donner ?

Plusieurs possibilite:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/usr/local/etc/rc.d/script_de_demarrage status

Si le demon le supporte
Sinon, 2 moyens parmi d'autres:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
top
pgrep clam

[Général03]

En effet c'est cette commande pour connaitre si clamd est lancé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/usr/local/etc/rc.d/clamav-clamd status

Mais n'existe t-il pas un endroit où l'on peut connaitre tous les démons lancés ?

Maintenant que je sais que clamd tourne, je voudrais savoir s'il est opérationnel. Donc pour cela je dois mettre un "faux virus" sur mon NAS. J'ai trouvé cette adresse où il y en a plusieurs à télécharger. Mais comment je fais pour les récupérer depuis FreeNAS ?

Merci

[tonton fred]

Il vaut mieux que tu fasses un sujet par question ou probleme, ca permet de garder un semblant d'ordre

Mais n'existe t-il pas un endroit où l'on peut connaitre tous les démons lancés ?

Ceci fonctionne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ps auxj | awk '{ if ($12==1) print $0}'

Il existe d'ailleurs surement d'autres facon d'obtenir la liste. Mais pas de rapport direct avec un antivirus sous freenas.

Maintenant que je sais que clamd tourne, je voudrais savoir s'il est opérationnel. Donc pour cela je dois mettre un "faux virus" sur mon NAS. J'ai trouvé cette adresse où il y en a plusieurs à télécharger. Mais comment je fais pour les récupérer depuis FreeNAS ?

Tu as plus de chance d'avoir une reponse dans la section securite linux

[Général03]

Il vaut mieux que tu fasses un sujet par question ou probleme, ca permet de garder un semblant d'ordre

C'est vrai tu as raison donc je vais conclure.

Je te remercie de m'avoir aidé autant car soyons franc je n'aurais pas réussi à déboguer tous les problèmes que j'ai eu avec ma petite expérience en Unix. Tu as été d'une grande patience et grande disponibilité pour m'expliquer les phases à mettre en place.

On oublie trop souvent de remercier les personnes comme toi, alors je voulait faire exception à la règle

Merci encore et on se retrouvera surement sur le forum pour d'autres péripéties