Yet another Web Blog

In letzter Zeit kommt es immer häufiger vor, dass sich der clamav-daemon unter Debian mit der oben stehenden Meldung verabschiedet.

Nachdem 3. Versuch beendet sich clamav-daemon und schließt das Socket, was unangenehme Folgen haben kann, wenn man z.B. clamsmtp nutzt, da die E-Mails dann mit dem Fehler “451 Local Error (in reply to end of DATA command)” in der Queue stecken bleiben.

Schuld daran ist dass clamav-freshclam das Data Verzeichnis von ClamAV locked.

Ich habe diesbezüglich einen Bugreport bei Debian eingestellt.

Update 15.April.2008:

Der Bugreport wurde mittlerweile geschlossen.
Es handelt sich um einen Bug in clamav-freshclam der in Version 0.93 behoben sein wird.
Siehe diesem Bugreport bei clamav.net

Jedem User ist jetzt schon angeraten den aktuelleren Volatile Debian Spiegel zu verwenden!

Flame against Debian (offtopic):

Der äußerst saure Nachgeschmack der einem User von Debian bleibt ist die Tatsache dass durch o.g. Bugreport bei Debian ans Licht gekommen ist, dass die in der !Stable! Version (Etch) von Debian verbreitete freshclam Installation von den offiziellen Freshclam Mirrorn abgewiesen wird und scheinbar niemand Lust hat ein neues Package zu erstellen.

=> Siehe dazu

Oder auch ein kleiner Auszug:

ERROR: getpatch: Can’t download daily-6110.cdiff from db.local.clamav.net
Ignoring mirror 91.198.238.33 (too often connections with outdated version)

Wie gut dass sich in Sachen Viren nur alle 10 Jahre was tut, wenn es nach den Debianer geht…

// Nachtrag // Update // Lösung // Solution

Die Lösung wie man dieses Problem umgehen kann findet ihr unter folgendem > Link <

Um mod_security in der brandneuen Version 2.5 aus den Sources zu compilien, müssen zunächst diverse Libraries und Pakete nachinstalliert werden.

Nachfolgende Step-by-Step Anleitung geht von einem bereits installierten und funktionstüchtigen Apache2 Setup aus den Distributionspackages von Debian Etch aus.

1. Nachinstallieren der benötigten Pakete

apt-get update
apt-get install apache2.2-common flex libc6-dev gcc openssl libxml2 libxml2-dev lua5.1 \
libpcre3-dev libapr1 libapr1-dev libapreq2-dev aprsd libaprutil1 libaprutil1-dev g++ \
cpp cpp-4.1 libstdc++5 libstdc++6 libstdc++6-4.1-dev

2. Einbinden der von mod_security benötigten Apache2 Module

a2enmod unique_id
 
nano /etc/apache2/apache2.conf
 
Falls noch nicht vorhandenen folgende Zeile einfügen:
LoadFile /usr/lib/libxml2.so

Danach einmal den Webserver neustarten und wenn soweit alles geklappt hat, ist die Hälfte bereits geschafft.

3. Falls nicht schon vorhanden apxs (apxs2) installieren

Dieser Step kommt auf die Version eures Webservers an.

apache2 -V
 
Zeigt euch die Version an. Sollte dort stehen:
<strong>Server MPM:     Prefork</strong>
Dann mittels apt-get die richtige apxs Version installieren und mit Step 4 fortfahren:
apt-get install apache2-prefork-dev
 
Ansonsten solltet ihr das Debian threaded Modell haben:
apt-get install apache2-threaded-dev

4. Sources von mod_security 2.5 compilieren

cd /usr/src
wget http://www.modsecurity.org/download/modsecurity-apache_2.5.0.tar.gz
tar xfz modsecurity-apache_2.5.0.tar.gz
cd modsecurity-apache_2.5.0/apache2
./configure --with-apxs=/usr/bin/apxs2
make
make test

Sollte es zu Fehlern im unter Step-4 genannten Ablauf kommen, liegt dies vermutlich an fehlenden Libraries. Ihr seid gerne eingeladen mich zu kontaktieren

5. Installation von mod_security

make install
mv ../rules /etc/apache2/modsecurity
##
mkdir /etc/apache2/logs
oder den Pfad zur Logdatei anpassen in der Datei /etc/apache2/modsecurity/modsecurity_crs_10_config.conf
##
 
Einfügen von mod_security in die Datei /etc/apache2/apache2.conf:
 
LoadModule security2_module /usr/lib/apache2/modules/mod_security2.so
Include /etc/apache2/modsecurity/*.conf

6. Starten des Apachen mit mod_security

/etc/init.d/apache2 restart

Wenn nun der Apache2 startet hat alles geklappt und euer Webserver ist gegen Angriffe über PHP etc. schon ein ganzes Stück weiter geschützt.

Es ist jedem angeraten sowohl die Rules unter /etc/apache2/modsecurity anzuschauen als auch die Apache2 error_log oft zu kontrollieren, da hier alle abgewiesenen Zugriffe protokolliert werden.

Da es zu False Positive kommen wird, ist dies also vor allem in der Anfangszeit sehr wichtig.
Natürlich können die .conf Dateien unter /etc/apache2/modsecurity mittels einem Editor geprüft und editiert werden, sodass Regeln sehr einfach zu deaktivieren sind.

Ebenso das einfügen von Costum Rules z.B. dem Rulekit von Got Root?

Wie man solche Regeln erstellt und z.B. aus anderen Quellen wie Snort einbinden kann, werde ich in einem anderen Blogeintrag dokumentieren.

Sofern man mod_rewrite nicht generell aktiviert hat, kann man dies gezeilt nur für einzelne Webs/Domains direkt im Confixx aktivieren. Dafür loggen wir uns als Administrator im Confixx ein und navigieren zu dem “httpd-Spezial” Eintrag unter “Einstellungen”. Hier wählen wir nun aus für wen alles die Einstellung gelten soll und können dann im “einfachen Modus” durch einen einzigen Klick die gewünschte Funktion aktivieren. In unserem Fall also “WebServer mod_rewrite” auf “on” setzen.

Sollte man lieber mit dem “Experten Modus” arbeiten, so trägt man dort zum Beispiel folgendes ein:

<Directory "/home/##user##/html"> 
Options +FollowSymLinks +SymLinksIfOwnerMatch 
<IfModule mod_access.c> 
Allow from all 
</IfModule> 
php_admin_flag engine on
</Directory>