2004-03-29 9063歩

λ [FreeBSD] ClamAV + qmail-scanner

個人宛でウィルスが来ても別に気にならんが、管理しているメーリングリストに流れるのはアレなので入れることにした。

  • bash2が必要
  • qmail-scannerがsuidperlを必要とする。portsでperl5.8や5.6を入れている環境の場合、/usr/local/binをPATHの中で優先させておく
  • perl5.6で /usr/local/bin/suidperl が存在していたけどうまく動かず。ENABLE_SUIDPERL付きの perl5.8 に差し替え。

qmail-scannerが一時的に展開したファイルが読めないことがある。添付ファイル関係?少なくとも感染していないplain/textなメールだったらエラーにならない。 maillogに残るエラーメッセージは以下の通り。

clamuko: corrupt or unknown clamd scanner error or memory/resource/perms problem - exit status 2 

デバッグモードで動かすと、qmail-scanner から clamdscan を呼ぶところでコケているのが判明し、 /usr/local/bin/qmail-scanner.plを直接編集して clamdscanの代わりにclamscanを使うとエラーが出なくなった。(常駐デーモン使わないので遅くなると思うけど、当面追いつかないということはなさそう)

clamavとqscandのuid,gidを同じにしてみたけど状況は変わらず。

λ [FreeBSD] FreeBSD-SA-04:04.tcp をあてたら遅くなった

かなり忙しいWebサーバがぶらさがっているファイアウォールにFreeBSD-SA-04:04.tcpを適用 したところ、 明らかにパフォーマンスが低下した。

sshで接続して作業をすると時折表示が止まったりするので、パケロスしているような雰囲気。 今回思い当たる原因は FreeBSD-SA-04:04.tcp ぐらいだと思ったので、 このSAのパッチファイルを読んでカーネル変数 net.inet.tcp.reass.maxsegments の値が怪しいとにらんだ。 初期状態では 416 とかになっていた。 ノリとしては kern.ipc.somaxconn みたいなもんだろうと思われるので、いかにも少ない感じ。

早速値を増やそうと思ったが、ReadOnlyのため sysctl コマンドで書き込むことができず、 /boot/loader.confに以下の行を追加して再起動した。

net.inet.tcp.reass.maxsegments="4096"

ここに指定する数値は、ipfstat -sでActiveなセッション数が見えたので、それよりちょっと大きめの数字を設定。 正しい計算の方法は分からんが。とりあえずこれでパフォーマンスは以前のように復活した?

本日のツッコミ(全2件) [ツッコミを入れる]
λ hodaka (2004-05-21 10:56)

qmailscannerのエラーですが、clamav.confのUserをqscandにすれば解決するようです。

λ 上美谷 (2004-06-01 23:40)

「clamavとqscandのuid,gidを同じにしてみた」のところと
効果は同じだと思うのですが…
バージョンが上がっているのでまた試してみます。
情報ありがとうございます。

[]