日记 [2007年03月13日]Trophie + HAVP + Squid 实现高效防毒网
Trophie + HAVP + Squid 实现高效防毒网关(只针对HTTP)
一、方案
系统:Red Hat 9
实现:Trophie + HAVP-0.85 + Squid
二、笔记
1、Trophie
Trophie下载 http://www.vanja.com/tools/trophie/
掃描引擎 http://www.trendmicro.com/download/zh-tw/product.asp?productid=20
病毒碼 http://www.trendmicro.com/download/zh-tw/product.asp?productid=20
# mkdir /etc/iscan
# tar zxvf vsapi-XXXXXX.tar.Z
# tar xvf ptnXXX.tar
# mv libvsapi.so lpt\$***.XXX whatsnew.txt /etx/iscan
# tar zxvf trophie-1.12.tar.gz
# cd trophie-1.12
# ./configure --with-vsapilib=/etc/iscan
# make
# mv trophie /usr/local/sbin
#cd /usr/lib
#ln -s /etc/iscan/libvsapi.so(没有这个软连接,后面的HAVP启动会报错)
2、HAVP(以0.85为列)
HAVP下载 http://www.server-side.de/download.htm
# tar zxvf havp-0.85.tar.gz
# cd havp-0.85
# ./configure
过程中应该会出现[*** Trend Micro library found, Trophie support enabled!](如果没有clamav,可以用--disable-clamav)
# make
# make install
# groupadd havp && useradd -g havp -M havp
# chown havp:havp /var/log/havp /var/run/havp
# vi /usr/local/etc/havp/havp.config
#REMOVETHISLINE deleteme (加上#)
SERVERNUMBER 40 (以下两项理论上越大越好)
MAXSERVERS 500
TEMPDIR /var/tmp/havp (放临时文件的位置)
DBRELOAD 60 (删除#)
SCANIMAGES false (删除# 由 false 改成 true,不检查图片CPU轻松点,看需要自定)
ENABLETROPHIE true (由 false 改成 true)
以下用ramdisk作为上面的TEMPDIR,这样会快一些,前提是你有够大的内存,HAVP可扫描的文件大小将受限于这是所挂载的磁盘空间!
# vi /boot/grub/grub.conf
kernel /vmlinuz-2.6.9-5.EL ro root=/dev/Lvm/root ramdisk=65535(此处定义ramdisk大小为64M)
# reboot (重启让ramdisk生效)
# mkfs.ext2 /dev/ram0
# mount -o mand /dev/ram0 /var/tmp/havp
# chown havp:havp /var/run/havp
3、Squid
# rpm -ivh /your-cd/Redhat/RPMS/squid-2.5.STABLE6-3.i386.rpm (在安装盘中)
# vi /etc/squid/squid.conf
找到acl
acl mynet src 192.168.1.0/24 (你内网的网段)
http_access allow mynet (放在http_access deny all之上)
在文件最后加上
#================ HAVP Seting ===================
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP
4、防火墙iptables
# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
# iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
5、启动脚本
# chkconfig squid on
# vi /etc/rc.d/rc.local
#========== HAVP ===========
mkfs.ext2 /dev/ram0 (由于ramdisk每次关闭系统都会丢失,所以启动时要重新加载)
mount -o mand /dev/ram0 /var/tmp/havp
chown havp:havp /var/tmp/havp
/etc/init.d/havp start
# reboot (重启后就OK了)
6、客户端测试
浏览器的设置当然是192.168.1.100:3128了(PS: 1.100是我的机子),QQ中设为“使用浏览器设置”!
在此测试防毒效果 http://www.eicar.org/anti_virus_test_file.htm
在此测试RAR3效果 http://img3.oncity.cc/data/user/img1/112/0/flash.boy/eicar.rar
为了方便把squid配置成透明代理
修改/etc/squid/squid.conf
httpd_accel_host ProxyServer#主机名
httpd_accel_port 80#透明代理端口
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
病毒库自动升级
在cron中加入每天凌晨自动更新Trophie病毒码
页:
[1]