Beiträge von ultra75

Hi,
ich bin noch dran. Läuft noch nicht.

Nur mal so auf die Schnelle eine Übersicht was man machen muss:
(Wenn's laeuft gibt es eine richtige Anleitung/HowTo)

Damit Clam als vfs-Objekt (vscan) eingebunden werden kann reicht es nicht Samba via ipkg zu installieren.
Man muss samba-vscan mit den passenden Samba Sourcen selbst bauen. Damit man dass vscan Modul bauen kann sind noch einige Pakete nötig, die man mit ipkg nachinstallieren kann.
Also erst mal die Sourcen für Samba 3.2.15 und samba-vscan 0.3.6 besorgen.

tar -xvf <samba>
tar -xvf <samba-vscan> -C <samba>/examples/VFS/
cd <samba>/source
./autogen.sh && ./configure
cd <samba>/examples/VFS/<samba-vscan>
.configure
make clamav # weil wir ja nur samba-vscan wollen

Wenn alles funktioniert hat, dann wurde das Modul "vscan-clamav.so" und die Config "vscan-clamav.conf" erstellt. Das Modul muss jetzt noch in den VFS Ordner der laufenden Samba Installation kopiert werden und Config in den Ordner der Samba Konfiguration.

So weit die Theorie.
Ich bleib im Moment am

Zitat

./autogen.sh && ./configure

hängen.

Gruss
Uli

Hi Terz,

ja mach ich, brauch aber ein paar Tage. Hab Clam noch nicht integriert. Probiere ich aber die Tage noch aus.

Gruss Uli

Hi Terz,

Mein Skill Level also
Ich beschäftige mich beruflich mit Linux - Schwerpunkt Postfix und Virtualisierung mit XEN. Samba hab ich privat mit LDAP als Backend am laufen. Beschäftige mich allerdings nicht wesentlich mit Samba, nur in so weit ich das auch brauche.

Zitat

smbpasswd -c /etc/config/smb.passwd -a admin

war nicht nur mein Tippfehler hier im Forum, sondern auch in meinem Terminal :roll:
Kaum macht man's richtig, geht's auch.
Trotzdem Danke, das hätte ich in drei Tagen noch überlesen.

Danke
Gruss Uli

Hi Terz,

ich bekomme samba vom Repo nicht zum Laufen.
smbd sucht wohl den root Account.

Zitat

get_root_nt_token: getpwnam("root") failed!
svcctl_init_keys: key lookup failed! (WERR_NOMEM)

Ein

smbpasswd -c /etc/config/smb.passwd -a admin

bringt nix.
kann ich einfach root als Account anlegen?

Gruß Uli

Hi Terz,

ja super, dann steht dem Viren scanning ja nix mehr im weg.
Wie hoch ist denn die Performance-Einbuße beim Schreiben?

Gruß Uli

Hallo Eraser-EMC2,

ja genau das war's. :thumb:
Hatte im Hintergrund noch den tftp-Server laufen.

Danke für die schnelle Hilfe.

Grussß Uli

Hi,

ich wollte meine TS-439 Pro von 4x500GB Platten (Raid 5, FW3.1.1 Build 0815T ) auf 4x1TB Platten erweitern.
Habe alle Platten nacheinander getauscht und in Ruhe synken lassen. So weit hat auch alles funktioniert.
Jedoch kann ich die Kapazität des Raids nicht erweitern. Im ersten Anlauf kam ich bis 50%, dann brach der Vorgang mit der Meldung "[RAID5 Disk Volume: Drive 1 2 3 4] Raid Size Expansion failed." ab. Jedes weitere mal bricht nach ca. 2 Min. mit der gleichen Meldung ab.
Duchbooten und nochmals Erweitern hat auch nix gebracht.
Hab ich was übersehn/vergessen oder ist der Weg eigentlich so richtig?
Bringt ein Update auf Firmaware 3.1.2_Build1014 was?

Danke schon mal im Vorraus.

Gruß Uli

Hi Terz,

jetzt machst Du mich neugierig!
Welche Fehler kommen denn noch, oder funktioniert jetzt alles?
Sei doch so nett und poste mal die Ausgabe von

/usr/local/samba/sbin/smbd -b

, dann können wir das mal mit der original Version vergleichen.

Gruß
Uli

Hi,

die Integration von Clamav in Samba via VFS-Objekt funktioniert nur, wenn samba mit VFS Support compiliert wurde.
Ob Samba mit VFS fuer clamav erstellt wurde kann man mit

/usr/local/samba/sbin/smbd -b | grep clam

herausfinden.
In der von QNAP eingesetzten Version 3.2.24 fehlt die Unterstützung. In der der von Terz beschriebenen Version 3.2.15-1 müsste man mal nachsehen.

Falls Samba 3.2.15-1 die Unterstuetzung fuer Clamav beinhalte, dann kann man das ontime scanning wie folgt konfigurieren:
In der smb.conf

[share]vfs objects = vscan-clamavvscan-clamav: config-file = /etc/samba/vscan-clamav.conf

Die Datei vscan-clamav.conf mit folgendem Inhalt anlegen.

<title>VFS: Vscan ClamAV Control File</title>## /etc/samba/vscan-clamav.conf#[samba-vscan]; run-time configuration for vscan-samba using; clamd; all options are set to default values; do not scan files larger than X bytes. If set to 0 (default),; this feature is disable (i.e. all files are scanned)max file size = 10485760; log all file access (yes/no). If set to yes, every access will; be logged. If set to no (default), only access to infected files; will be loggedverbose file logging = no; if set to yes (default), a file will be scanned while openingscan on open = yes; if set to yes, a file will be scanned while closing (default is yes)scan on close = yes; if communication to clamd fails, should access to file denied?; (default: yes)deny access on error = no; if daemon failes with a minor error (corruption, etc.),; should access to file denied?; (default: yes)deny access on minor error = no; send a warning message via Windows Messenger service; when virus is found?; (default: yes)send warning message = yes; what to do with an infected file; quarantine: try to move to quantine directory; delete:     delete infected file; nothing:    do nothing (default)infected file action = quarantine; where to put infected files - you really want to change this!quarantine directory  = /opt/clamav/quarantine; prefix for files in quarantinequarantine prefix = vir-; as Windows tries to open a file multiple time in a (very) short time; of period, samba-vscan use a last recently used file mechanism to avoid; multiple scans of a file. This setting specified the maximum number of; elements of the last recently used file list. (default: 100)max lru files entries = 100; an entry is invalidad after lru file entry lifetime (in seconds).; (Default: 5)lru file entry lifetime = 5; exclude files from being scanned based on the MIME-type! Semi-colon; seperated list (default: empty list). Use this with care!exclude file types =; socket name of clamd (default: /var/run/clamd). Setting will be ignored if; libclamav is usedclamd socket name = /tmp/clamd; limits, if vscan-clamav was build for using the clamav library (libclamav); instead of clamd; maximum number of files in archive (default: 1000)libclamav max files in archive = 1000; maximum archived file size, in bytes (default: 10 MB)libclamav max archived file size = 5242880; maximum recursion level (default: 5)libclamav max recursion level = 5

Jetzt noch mit

testparm

die Syntax prüfen. Samba durchstarten und schauen ob alles funktioniert.

Hab aber wenig Hoffnung, dass das klappt.

Gruss
Uli

Hi mumpfi2k,

clamfs ist ein user-space Filesystem mit onacces Viren scanning, so wie bei den meisten Windows Virenscannern.
In Verbindung mit einem Samba Share würde das in etwa so funktionieren:
1. Das Verzeichnis /DATA wird mit clamvs auf /clam-data gemounted.
2. Das Verzeichnis clam-data wird mit Samba als DATEN im Netzwerk freigegeben.
3. Wenn jetzt eine Datei auf das Share DATEN geschrieben werden soll wird erst von clamav die Datei auf Viren gescannt, bevor die Datei im lokalen Verzeichnis /DATA landet.
4. Wenn ein Virus gefunden wird bekommt man die Fehlermeldung: "Zugriff verweigert", oder so was in der Art.

Eine Installation auf der NAS wäre (wie bei clamav) wohl nur über "ipkg install clamfs" möglich, jedoch gibt es kein clamfs Paket im Repo., somit kann man(n) es auch nicht installieren.

Eine weitere Möglichkeit wäre den Virenscanner über ein vfs-objekt in Samba einzubinden. Muss ich mir aber nochmal genau ansehen.

Gruss
Uli

Hi,
zur Info.

Bei Samba4 (alpha8) und LDAP (2.4.19) funktioniert der Domainbeitritt mit Anzeige der Domain-Benutzer und Domain-Gruppen ohne Anpassungen auf der NAS.

Gruss
Uli

Hi mumpfi2k.

Ein Update der Virensignaturen machst Du mit freshclam auf der Konsole.
Automatische Updates kannst Du mit

freshclam -d --quiet

machen, dann läuft der Update Dienst.

In

/opt/var/log/freshclam.log

findest Du dann die Informationen über den update Status, Version der Signaturen u.s.w.

Nicht vergessen:
clamav scannt keine Viren im Hintergrund auch wenn der clamd läuft. Dateien die Du auf Viren prüfen willst, musst Du jeweils mit dem Kommando "clamscan" oder "clamdscan" + Dateiname manuell prüfen. Automatisches scannen von Dateien geht nur mit clamfs.
Jedoch kannst Du Deine Dateien mittels cronjob periodisch auf Viren checken lassen, oder als Virenscanner für Emails einbinden.

Gruss
Uli

Hi,
mal 'ne kleine Anleitung für die Installation von clamav auf der TS-439 Pro.

Mit ssh auf die Konsole der NAS und folgende Kommandos eingeben:

ipkg install clamavfreschclam zum updaten der Signaturentouch /opt/var/log/clamd.logchown clamav:clamav /opt/var/log/clamd.log

Prüfen, ob clamd schon läuft:

ps aux | grep clamd>14100 clamav    75596 S   clamd

Jetzt sollte alles laufen!

Test:
Mit clamdscan

clamdscan images/deleted/6/v/l/6vl7rxvcas2dkt7lp3chalxo60vfbvl.jpg/share/MD0_DATA/Qweb/mediawiki/images/deleted/6/v/l/6vl7rxvcas2dkt7lp3chalxo60vfbvl.jpg: OK----------- SCAN SUMMARY -----------Infected files: 0Time: 0.181 sec (0 m 0 s)

und mittels clamscan (ohne Daemon)

clamscan images/deleted/6/v/l/6vl7rxvcas2dkt7lp3chalxo60vfbvl.jpg 
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
images/deleted/6/v/l/6vl7rxvcas2dkt7lp3chalxo60vfbvl.jpg: OK


----------- SCAN SUMMARY -----------
Known viruses: 630638
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.66 MB
Data read: 0.66 MB (ratio 1.00:1)
Time: 5.381 sec (0 m 5 s)

Wie man sieht ist clamdscan schneller als clamscan.

Vielleicht hast ja jemand geholfen.

Grüße
Uli

Hi!
Ich hab das ganze jetzt so gelöst:

In der smb.conf den Eintrag

winbind use default domain = Yes

auf

winbind use default domain = No

,damit werden die Benutzer und Gruppen wieder mit vorangestellter DOMÄNE angezeigt.
Winbind seperator ist bei mir ein . (Punkt)

Jetzt können Domänengruppen mit @"DOMÄNE.domain users" und Domänenbenutzer mit "DOMÄNE.username" berechtigt werden.

Gruß
Uli

Hi, ich habe eine TS-439 Pro (Firmware 3.1.1) und kämpfe nach der Domainintegration in eine Samba (3.2.5) Domain mit LDAP Backend, mit den Benutzern und Gruppen.

Vorgegangen bin ich wie folgt:
1.) Computerkonto fuer die NAS im LDAP erstellt.
2.) smb.cof der NAS erweitert mit:
idmap gid = 35000-65000
idmap uid = 35000-65000
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
password server = xensamba
passdb backend = ldapsam:ldap://<IP-LDAP-Server>:389/
pam password change = Yes
ldap admin dn = cn=admin,dc=example,dc=com
ldap delete dn = Yes
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=machines
ldap idmap suffix = ou=idmap
ldap passwd sync = Yes
ldap suffix = dc=example,dc=com
ldap ssl = no
realm = EXAMPLE.COM
3.) mit ipkg install openldap und openldap-lib nachinstalliert
4.) /etc/krb5.conf angepasst
5.) Auf der konsole der NAS mit " /usr/local/samba/sbin/net rpc join -S<domaincontroller> -U<Administrator>%<Passwd>" der Domane beigetreten.

wbinfo -u oder getent passwd zeigen alle Benutzer in meiner Domäne an, jedoch über die Web Admin Oberfläche werden meine Domänenbenutzer und Gruppen nicht angezeigt und somit kann ich keine Berechtigung für die Shares vergeben.

Ein /usr/local/samba/bin/net rpc user zeigt allerdings nur die lokalen Benutzer an.
Mit /usr/local/samba/bin/net rpc user -S<SAMBA-SERVER> -U<ADMINISTRATOR> werden alle Benutzer angezeigt.

Die NAS arbeitet wohl immer mit dem Befehl " /usr/local/samba/bin/net ads ..." für Samba brauchte ich aber "/usr/local/samba/bin/net rpc ...".
Wo stehen denn die Skripte für die Ajax Admin Oberfläche, damit ich die Befehle abändern kann? Oder kennt jemand einen anderen Weg die NAS in eine Samba Domäne zu integrieren?

Gruesse
Uli