[vpsFree.cz: community-list] ClamAV
Stepan Liska
stepan at comlinks.cz
Thu Feb 26 16:02:14 CET 2015
Souhlasím, že nastavování limitů by mělo být až poslední záchrana.
Nicméně se mi nechce clamav vypínat, neboť chytá přesně takové ty
malware apod. potvory, co zlobí ty naše dědečky a babičky, občas jich
přijde poměrně hodně, pokud jede nějaká vtipná "kampaň".
Koukal jsem na cron.daily, ale na mých debianech je zpravidla nastaven
na stejný čas, tak to možná není řešení. Také jsem zjistil, že není
možné pustit to úplně jednoduše (pokud to nechcete pouštět pod rootem).
Nakonec jsem dospěl k souboru /etc/cron.d/freshclam:
----------------------------------------------------------
#
# ClamAV FreshClam maintenance
#
# m h dom mon dow user command
47 5,15,22 * * * root /usr/bin/ionice -c 3 /etc/init.d/clamav-freshclam
no-daemon > /dev/null 2>&1
----------------------------------------------------------
Toto mi funguje na debianu s ISPConfigem (je nutno ještě vypnout
daemona: update-rc.d clamav-freshclam disable; service clamav-freshclam
stop). (BTW v cronu je root, ale uvnitř se dělá su podle nastavení v conf)
Takže kdo chce použijte, ale HLAVNĚ si nastavte nějaké vlastní náhodné časy.
Štěpán.
Dne 26.2.2015 v 14:56 Pavel Snajdr napsal(a):
> On 02/26/2015 02:46 PM, Vaclav Dusek wrote:
> > Uzitecnost VPS nech posoudi provozovatel. Co ho na to alespon
> > upozornit?
>
> Samozrejme, spolu s oznamenim o nasazeni limitu prijde i duvod, pravda
> je, ze obcas tim limitovanim srazim i VPS, ktera delala bordel jenom
> chvilkove, ale to se da vzdycky vykomunikovat a limit vratim, kdyz k
> nemu neni duvod.
>
> Also, v souladu s tim, co pises, "provozovatel" casto neumi posoudit
> uzitecnost toho ClamAV. Jinak by ho tam ani vetsina IMHO nemela. Ale
> to je vec nazoru, vsak instalujte si kdo co chcete, pokud je to legalni :)
>
>
> > Bud nabizim neomezene sdilene VPS a nebo musim nastavit pravidla,
> > lepe limity a priority. User o tom netusi a nevi, jak se chovat.
>
> Tady je trochu problem v tom, ze kdyz nastavim IO limit, je to limit
> realizovany pres cgroup io controller, kteryzto omezuje jakekoliv IO
> tech procesu, takze i treba output do FIFO. Nebo IO na /dev/null a
> /dev/zero.
>
> Cili nastavit vsem limit == olimitovat i podobne nevinne pripady, coz
> se mi nelibi.
>
>
> > Je zapotrebi najit nejuzsi misto a tam nasmerovat sve snahy o
> > odstraneni problemu:
>
> Proto tu rozebirame ClamAV, ktery se probira zrovna na node2.brq
> jednou za hodinu nemalo VPSkam a vybombi to IO na kompletku.
>
>
> > - vykon diskoveho pole
>
> Neni problem, to pole dava stabilne okolo 1.1k IOPS, to je IMHO az az.
>
> > - nacasovat jinam zalohovani
>
> Neni kam. Sotva se stihaji v rozumnem case ted, zacinaji v 1 rano a
> konci okolo 12te - spravne by melo byt okolo 8me hotovo, nez ty
> servery jsou opravdu potreba. Problem je v rsyncu, kdyz to Aither
> nekdy dodela, tak pri send-recv bude po problemu se zalohovanim, zbyde
> akorat problem s "hlucnymi sousedy".
>
> > - priorita migrace
>
> Neni souvisejici problem, jenom rikam, ze to v tuhle chvili byl dalsi
> zdroj IO operaci
>
> > - limitace
>
> Viz vys.
>
> /snajpa
>
> > - ?
>
> > Nejsem schopen dat vsem na sdilenem prostredi vykon dedikovaneho
> > serveru
>
>
> > Dne 26.2.2015 v 14:39 Pavel Snajdr napsal(a):
> >> No a ted na node2.brq bezi 3 procesy:
> >>
> >> clamscan --recursive --no-summary --infected /
> >>
> >> Velmi uzitecny full scan VPS :)
> >>
> >> K tomu dobihaji zalohy a bezi jedna migrace VPS.
> >>
> >> Chudak node2.brq, trochu to nedava.
> >>
> >> /snajpa
> >>
> >> On 02/26/2015 11:16 AM, Pavel Snajdr wrote:
> >>> Ahojte,
> >>
> >>> mam par dotazu na vas, co pouzivate ClamAV:
> >>
> >>> 1) ta blbost je vubec k necemu dobra? 2) chyti to nekdy neco
> >>> vubec? 3) da se nastavit vic random interval na freshclam?
> >>> Tahle blbost se probira najednou vsem, co to maji nainstalovany
> >>> a spolehlive to zabiji IO. Typicky node2.brq tim ted dost
> >>> trpi.
> >>
> >>> Ja jsem nasazoval uz peknejch par mail serveru, ale ClamAV
> >>> nikdy, nebo jsem ho po par dnech vyhodil, protoze stejne k
> >>> nicemu nebyl.
> >>
> >>> Mate ho tam nekdo naschval, nebo je to jenom soucast nejaky
> >>> instalace neceho hotovyho, jako ISPConfigu nebo tak?
> >>
> >>> Dik za info.
> >>
> >>> /snajpa _______________________________________________
> >>> Community-list mailing list Community-list at lists.vpsfree.cz
> >>> http://lists.vpsfree.cz/listinfo/community-list
> >>
> >> _______________________________________________ Community-list
> >> mailing list Community-list at lists.vpsfree.cz
> >> http://lists.vpsfree.cz/listinfo/community-list
> >>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
More information about the Community-list
mailing list