Bug 14892

Summary: Неверные права на файлы в /etc/havp ?
Product: ALT Linux Server Reporter: Владимир Гусев <vova1971>
Component: bugsAssignee: Slava Dubrovskiy <dubrsl>
Status: NEW --- QA Contact: Andrey Cherepanov <cas>
Severity: critical    
Priority: P5    
Version: 4.0.1   
Hardware: all   
OS: Linux   

Description Владимир Гусев 2008-03-13 17:57:34 MSK
Хотел соорудить связку users->clamav->havp->squid->internet

Настройки havp в принципе несложные, clamav тоже. Вроде настроил. Хочу запустить
havp как сервис, ну и включить заодно запуск при старте (service havp start,
chkconfig havp on). Однако при старте сервис havp не запускался (вручную тоже) -
ничего при этом не писал в консоль.. Только при старте самого компьютера при
старте сервиса узрел причину - не могу открыть whitelist. После загрузки я
проверил содержимое whitelist - нормально.. посмотрел права - 640 и владелец
root. Все файлы в /etc/havp имеют 640. Вначале не стал менять на 644, решил
посмотреть как у squid - там 644. Я тоже поменял у всех в /etc/havp на 644 и
перегрузил компьютер. После этого связка в принципе почти работает, сервис havp
все-таки почти стартовал, вел себя не как раньше, во всяком случае.. Он долго
тужился, подцепил clamav (при старте), потом сказал, что не смог
инициализировать один или несколько сканеров и не стартовал.

НО благодаря смене прав на файлы в /etc/havp я уже имею вполне рабочую ситуацию
и теперь могу смотреть, что там с clamav..

Это баг?
Steps to Reproduce:
1.Hастроить и запустить squid
2.Настроить и запустить clamd
3.Настроить (прописать в нем родительским прокси squid, нацелить на clamav)
4.Запустить вручную freshclam, получить базы (при этом ругается на старый clamav)
5.Запустить havp (как угодно, хоть service havp start, хоть просто havp)
6.По идее в консоли havp ругается на то, что не могу запуститься, может я уже
запущен - доношу смысл по памяти. До логов в этот момент дело почему-то не доходит.
7. Включить старт havp при загрузке ОС
8. Перегрузить
9. Во время старта сервисов havp ругается на недоступность whitelist (наверное
он ругался бы и на что-нибудь другое типа blacklist, если бы не whitelistfirst yes)
Comment 1 Anton V. Boyarshinov 2008-03-19 12:52:59 MSK
мантейнеру
Comment 2 Slava Dubrovskiy 2008-03-19 13:32:03 MSK
(In reply to comment #0)
> Хотел соорудить связку users->clamav->havp->squid->internet
> 
> Настройки havp в принципе несложные, clamav тоже. Вроде настроил. Хочу запустить
> havp как сервис, ну и включить заодно запуск при старте (service havp start,
> chkconfig havp on). Однако при старте сервис havp не запускался (вручную тоже) -
> ничего при этом не писал в консоль.. Только при старте самого компьютера при
> старте сервиса узрел причину - не могу открыть whitelist. После загрузки я
> проверил содержимое whitelist - нормально.. посмотрел права - 640 и владелец
> root. Все файлы в /etc/havp имеют 640. Вначале не стал менять на 644, решил
> посмотреть как у squid - там 644. Я тоже поменял у всех в /etc/havp на 644 и
> перегрузил компьютер. После этого связка в принципе почти работает, сервис havp
> все-таки почти стартовал, вел себя не как раньше, во всяком случае.. Он долго
> тужился, подцепил clamav (при старте), потом сказал, что не смог
> инициализировать один или несколько сканеров и не стартовал.
> 
> НО благодаря смене прав на файлы в /etc/havp я уже имею вполне рабочую ситуацию
> и теперь могу смотреть, что там с clamav..
> 
> Это баг?
Нет. У меня все работает из коробки:

$ sudo apt-get install havp
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие дополнительные пакеты будут установлены:
  clamav-freshclam libclamav
Следующие НОВЫЕ пакеты будут установлены:
  clamav-freshclam havp libclamav
0 будет обновлено, 3 новых установлено, 0 пакетов будет удалено и 118 не будет
обновлено.
Необходимо получить 0B/550kB архивов.
После распаковки потребуется дополнительно 1264kB дискового пространства.
Продолжить? [Y/n]
Совершаем изменения...
Preparing...                
########################################################################################
[100%]
1: libclamav                
########################################################################################
[ 33%]
2: clamav-freshclam         
########################################################################################
[ 66%]
3: havp                     
########################################################################################
[100%]
Завершено.

# freshclam
ClamAV update process started at Wed Mar 19 12:17:42 2008
Downloading main.cvd [100%]
main.cvd updated (version: 45, sigs: 169676, f-level: 21, builder: sven)
Downloading daily.cvd [100%]
daily.cvd updated (version: 6305, sigs: 63352, f-level: 26, builder: arnaud)
Database updated (233028 signatures) from database.clamav.net (IP: 217.19.16.188)
WARNING: Clamd was NOT notified: Can't find or parse configuration file
/etc/clamav/clamd.conf

$ sudo service havp start
Starting havp service:                                                         
                                     [ DONE ]


> Steps to Reproduce:
> 1.Hастроить и запустить squid
> 2.Настроить и запустить clamd
А зачем clamd? havp использует libclamav по умолчанию.

> 3.Настроить (прописать в нем родительским прокси squid, нацелить на clamav)
Не надо никуда ничего нацеливать
> 4.Запустить вручную freshclam, получить базы (при этом ругается на старый clamav)
> 5.Запустить havp (как угодно, хоть service havp start, хоть просто havp)
Просто havp работать не будет, т.к. ему нужно место где он будет сохранять файлы
для проверки смонтированное с -o mand
> 6.По идее в консоли havp ругается на то, что не могу запуститься, может я уже
> запущен - доношу смысл по памяти. До логов в этот момент дело почему-то не
доходит.
> 7. Включить старт havp при загрузке ОС
> 8. Перегрузить
> 9. Во время старта сервисов havp ругается на недоступность whitelist (наверное
> он ругался бы и на что-нибудь другое типа blacklist, если бы не whitelistfirst
yes)

Comment 3 Владимир Гусев 2008-03-19 20:15:36 MSK
(In reply to comment #2)
> (In reply to comment #0)
> > Хотел соорудить связку users->clamav->havp->squid->internet
> > 
> > Настройки havp в принципе несложные, clamav тоже. Вроде настроил. Хочу запустить
> > havp как сервис, ну и включить заодно запуск при старте (service havp start,
> > chkconfig havp on). Однако при старте сервис havp не запускался (вручную тоже) -
> > ничего при этом не писал в консоль.. Только при старте самого компьютера при
> > старте сервиса узрел причину - не могу открыть whitelist. После загрузки я
> > проверил содержимое whitelist - нормально.. посмотрел права - 640 и владелец
> > root. Все файлы в /etc/havp имеют 640. Вначале не стал менять на 644, решил
> > посмотреть как у squid - там 644. Я тоже поменял у всех в /etc/havp на 644 и
> > перегрузил компьютер. После этого связка в принципе почти работает, сервис havp
> > все-таки почти стартовал, вел себя не как раньше, во всяком случае.. Он долго
> > тужился, подцепил clamav (при старте), потом сказал, что не смог
> > инициализировать один или несколько сканеров и не стартовал.
> > 
> > НО благодаря смене прав на файлы в /etc/havp я уже имею вполне рабочую ситуацию
> > и теперь могу смотреть, что там с clamav..
> > 
> > Это баг?
> Нет. У меня все работает из коробки:
> 
> $ sudo apt-get install havp
> Чтение списков пакетов... Завершено
> Построение дерева зависимостей... Завершено
> Следующие дополнительные пакеты будут установлены:
>   clamav-freshclam libclamav
> Следующие НОВЫЕ пакеты будут установлены:
>   clamav-freshclam havp libclamav
> 0 будет обновлено, 3 новых установлено, 0 пакетов будет удалено и 118 не будет
> обновлено.
> Необходимо получить 0B/550kB архивов.
> После распаковки потребуется дополнительно 1264kB дискового пространства.
> Продолжить? [Y/n]
> Совершаем изменения...
> Preparing...                
> 
########################################################################################
> [100%]
> 1: libclamav                
> 
########################################################################################
> [ 33%]
> 2: clamav-freshclam         
> 
########################################################################################
> [ 66%]
> 3: havp                     
> 
########################################################################################
> [100%]
> Завершено.
> 
> # freshclam
> ClamAV update process started at Wed Mar 19 12:17:42 2008
> Downloading main.cvd [100%]
> main.cvd updated (version: 45, sigs: 169676, f-level: 21, builder: sven)
> Downloading daily.cvd [100%]
> daily.cvd updated (version: 6305, sigs: 63352, f-level: 26, builder: arnaud)
> Database updated (233028 signatures) from database.clamav.net (IP: 217.19.16.188)
> WARNING: Clamd was NOT notified: Can't find or parse configuration file
> /etc/clamav/clamd.conf
> 
> $ sudo service havp start
> Starting havp service:                                                         
>                                      [ DONE ]
> 
> 
> > Steps to Reproduce:
> > 1.Hастроить и запустить squid
> > 2.Настроить и запустить clamd
> А зачем clamd? havp использует libclamav по умолчанию.

Согласен, уже неделю как настроил с libclamav, но сути дела (багрепорта) это не меняет.

> > 3.Настроить (прописать в нем родительским прокси squid, нацелить на clamav)
> Не надо никуда ничего нацеливать

Согласен, писал по горячим следам, сути дела это не меняет все равно.

> > 4.Запустить вручную freshclam, получить базы (при этом ругается на старый clamav)
> > 5.Запустить havp (как угодно, хоть service havp start, хоть просто havp)
> Просто havp работать не будет, т.к. ему нужно место где он будет сохранять файлы
> для проверки смонтированное с -o mand

Работает он прекрасно и, используя вариант 2, описанный вами в readme.alt. Места дочерта, хватает.. 
перед хапуском havp при старте системы нужное место монтируется..

> > 6.По идее в консоли havp ругается на то, что не могу запуститься, может я уже
> > запущен - доношу смысл по памяти. До логов в этот момент дело почему-то не
> доходит.
> > 7. Включить старт havp при загрузке ОС
> > 8. Перегрузить
> > 9. Во время старта сервисов havp ругается на недоступность whitelist (наверное
> > он ругался бы и на что-нибудь другое типа blacklist, если бы не whitelistfirst
> yes)

Ну и? Так не работает с правами 640.. Работает с правами 644.

Довод, что у вас все из коробки работает, неубедителен.. 

P.S. Всегда чувствовал, что тут майнтенер может  даже не глядя защищать свое детище, даже не пытаясь 
разобраться.. Вы совершенно справедливо подметили мои недочеты (впервые столкнулся с этой штукой), 
и я впоследствии дошел до этого и все настроил - работает, однако они (недочеты) не имеют никакого 
отношения к правам на файлы в /etc/havp и, вследствие этого, невозможностью стартовать havp из-за 
невозможности "пощупать" whitelist..

Comment 4 Slava Dubrovskiy 2008-03-20 09:53:56 MSK
(In reply to comment #3)
> Ну и? Так не работает с правами 640.. Работает с правами 644.
> Довод, что у вас все из коробки работает, неубедителен.. 
В havp-0.87-alt1 стоят 644. Какая версия у вас?
 
> P.S. Всегда чувствовал, что тут майнтенер может  даже не глядя защищать свое
детище, даже не пытаясь разобраться.. 
Почему же не разобрался. Разобрался. Потратил время, проверил, убедился что все
работает и права правильные.
Вот если бы вы хоть сообщили версию, тогда разговор был бы более предметный.
Подозреваю, что мы пользуемся разными версиями пакетов.
Comment 5 Владимир Гусев 2008-03-21 15:34:21 MSK
(In reply to comment #4)
> (In reply to comment #3)
> > Ну и? Так не работает с правами 640.. Работает с правами 644.
> > Довод, что у вас все из коробки работает, неубедителен.. 
> В havp-0.87-alt1 стоят 644. Какая версия у вас?

По-моему пока current-версия ALT Linux Server одна - 4.0.1, и там havp-0.85-
alt1. А из какой коробки у вас havp-0.87-alt1 мне неизвестно.. 

>  
> > P.S. Всегда чувствовал, что тут майнтенер может  даже не глядя защищать свое
> детище, даже не пытаясь разобраться.. 
> Почему же не разобрался. Разобрался. Потратил время, проверил, убедился что 
все
> работает и права правильные.
> Вот если бы вы хоть сообщили версию, тогда разговор был бы более предметный.
> Подозреваю, что мы пользуемся разными версиями пакетов.

Согласен, просто я не думал, что кроме current есть еще источники. Бета-версии 
для рабочего сервера я не скачиваю, как правило. Был закачан первый 
инсталляционный CD ALS 4.0.1, который current.

Видимо нужно в багзилле уточнить - какой именно Server имеется в виду.

Comment 6 Владимир Гусев 2008-03-21 20:05:11 MSK
(In reply to comment #5)
> (In reply to comment #4)
> > (In reply to comment #3)
> > > Ну и? Так не работает с правами 640.. Работает с правами 644.
> > > Довод, что у вас все из коробки работает, неубедителен.. 
> > В havp-0.87-alt1 стоят 644. Какая версия у вас?
> 
> По-моему пока current-версия ALT Linux Server одна - 4.0.1, и там havp-0.85-
> alt1. А из какой коробки у вас havp-0.87-alt1 мне неизвестно.. 

Теперь известно из какой "коробки" - из Сизифа.. Так я вроде писал в раздел Server..
Comment 7 Владимир Гусев 2008-03-21 20:08:45 MSK
(In reply to comment #6)
> (In reply to comment #5)
> > (In reply to comment #4)
> > > (In reply to comment #3)
> > > > Ну и? Так не работает с правами 640.. Работает с правами 644.
> > > > Довод, что у вас все из коробки работает, неубедителен.. 
> > > В havp-0.87-alt1 стоят 644. Какая версия у вас?
> > 
> > По-моему пока current-версия ALT Linux Server одна - 4.0.1, и там havp-0.85-
> > alt1. А из какой коробки у вас havp-0.87-alt1 мне неизвестно.. 
> 
> Теперь известно из какой "коробки" - из Сизифа.. Так я вроде писал в раздел Server..

(In reply to comment #6)
> (In reply to comment #5)
> > (In reply to comment #4)
> > > (In reply to comment #3)
> > > > Ну и? Так не работает с правами 640.. Работает с правами 644.
> > > > Довод, что у вас все из коробки работает, неубедителен.. 
> > > В havp-0.87-alt1 стоят 644. Какая версия у вас?
> > 
> > По-моему пока current-версия ALT Linux Server одна - 4.0.1, и там havp-0.85-
> > alt1. А из какой коробки у вас havp-0.87-alt1 мне неизвестно.. 
> 
> Теперь известно из какой "коробки" - из Сизифа.. Так я вроде писал в раздел Server..

Да и версию Сервера я при создании багрепорта тоже указывал.. 
Comment 8 Mikhail Gusarov 2008-06-13 13:00:10 MSD