タグ: ClamAV

　前稿からずいぶん時間が経ってしまった。あと何に取り組もうと考えていたかというと，「avc: deniedをもとに，
clamdについてSELinuxのポリシーを新しく作る」である。記事を書いて読み直してみたら，「ClamAVの話」というより，SELinuxの話になってるなあ。

　ところで正直なところ，Access Vector Cache (AVC)そのものが，いまだによくわかっていない状態である。

　そもそも，SELinuxには，Access Vectorルール（P.157参照）というのがあって，これはあるプロセスが（今の場合 clamd），ある作業をすることについてのルールであるらしい。で，これを素早く利用するためにキャッシュが作られるのだが，これがAVC。avc: denied（Clam-Per-rt参照）というのが，audit.logに出るということは，必要な作業についての特権が，当該プロセスに許されていないということになる。「Clam-Per-rt」を見ると，avc: deniedが11行出ていて，scontext（Source Context）は11行とも
　　　scontext=unconfined_u:system_r:clamd_t:s0
である。これは，アクセス元の pid=1362 clamd のセキュリティ・コンテキストなわけだから，11個とも同じなのは当然だ。で，：で区切られた４つの部分を左から順に　user:role:type[:level]　と呼ぶらしい（Security Context (P.20) 参照）。プロセス clamd は clamd_t ドメインで動いているというわけだ。 Clam-Per-rt は， Permissive かつ User root で clamdscan を /home/centos で走らせたときのログなんだが，このとき user は unconfined_u ，role は system_r となっている。

　一方，プロセス clamd のスナップショットを表示してみると，以下のようになる。ここでは，user が system_u になる。OSを起動したときにデフォで動き出すプロセスのほとんどが，system_u:system_rになっているみたい。この辺もまだよくわからない。グダグダだね。
　　　$ ps -AZ | grep clamd
　　　system_u:system_r:clamd_t:s0 xxxx ? 00:00:00 clamd

　さらに，グダグダになるが，忘れないために書いておくと，ps -A（ps -eでも同じ）にくっついている Z は，SELinuxのオプションで，これをつけると大抵のものについて，セキュリティ・コンテキストを表示してくれる。例えば，今の段階で，/home/centos に aaa.txt を作っておいて
　　　$ ls -Z　　　　　とやると，
　　　-rw-r–r–. centos users unconfined_u:object_r:user_home_t:s0 aaa.txt
というように，aaa.txt のセキュリティ・コンテキストが表示される。

　さて，よくわからないなりに，モジュール・パッケージを作ってみることにする。audit2allow を使うらしいが，
　　　$ sudo yum provides */audit2allow
で調べてみると，含まれている policycoreutils-python-2.0.83-19.24.el6.i686 が未インストールなので，まずはこれをインストール。
　　　$ sudo yum install policycoreutils-python

　でね，audit2allow マンを見て， -M オプションを付けて，
　　　$ sudo cat /var/log/audit/audit.log | audit2allow -M myClamAV
とやってみた。

　　　******************** IMPORTANT ***********************
　　　To make this policy package active, execute:

　　　semodule -i myClamAV.pp
というメッセージが戻って来て，/home/centos には，myClamAV.pp と myClamAV.te が出来た。
　　　xxx.pp <<— Policy packages　つまり，新ポリシーをロードするためのモジュールパッケージ。
　　　xxx.te <<— Private policy files in the Reference Policy　xxx.ppに何が定義されているかを教えてくれる。

　さあこれで，semodule -i myClamAV.pp をやれば，新しいポリシーが有効になる。とはいうものの，セキュリティ関係の話だから，実態も把握せずに新ポリシーを有効にするのは論外。というわけで，早速，myClamAV.teを覗いてみた。これ見てもらったらわかるけど，とんでもないことになっていた。前稿までにいろいろやったことがすべて audit.log に残ったままだったわけだ。これじゃあんまりだというわけで， myClamAV.pp は削除し， myClamAV.te と Clam-Per-rt を参考にしながら，新しい myClamAV.te を作ってみた。

　Clam-Per-rt をみると， type: xxxx_t で使われているのは，次の4つ。これを module myClamAV 1.0; の後に require として記述。
　　　clamd_t
　　　home_root_t
　　　user_home_dir_t
　　　user_home_t

　次に，myClamAV.te に class xxxx という行があるが，Clam-Per-rt で使われているclassという単語は，tclass（target class）だけで，tclass=dir と tclass=file の2つ。tclass=dir 関連の denied は， search getattr read open ，また，tclass=file 関連の denied は， read open だから，以下の2行を require に追加し，これを閉じる。
　　　class dir { search getattr read open };
　　　class file { read open };

　最後に， clamd_t に allow を許可することを列記する。
　　　allow clamd_t home_root_t:dir search;
　　　allow clamd_t user_home_dir_t:dir { getattr read open search };
　　　allow clamd_t user_home_t:dir { getattr read open search };
　　　allow clamd_t user_home_t:file { read open };

　出来上がったのが，新myClamAV.te。なんというか，これ，上出来だった。あとで， audit.log を真っ新にして，audit2allow に作らせてみたのと順番が多少違うだけで，同じだったヨ。

　編集した myClamAV.te をチェック。checkmodule マン参照。
　　　$ checkmodule -M -m myClamAV.te -o myClamAV.mod

　これが，エラーなしで通るまでやる。基本的にやっていることは間違っていなかったが，綴りミスとかセミコロン忘れとか，2回ばかりエラーが出た（恥）。通ると myClamAV.mod ができる。次は， myClamAV.pp を生成。semodule_package マン参照。
　　　$ semodule_package -o myClamAV.pp -m myClamAV.mod

　できたモジュールをインストールした。
　　　$ sudo semodule -i myClamAV.pp

　ちゃんとインストールされたかどうか，確認。
　　　$ sudo semodule -l|grep myClamAV
　　　myClamAV 1.0　　　が戻ってきた。インストール完了。

　で，何が出来るようになったかというと，以下の環境において，ユーザのホームディレクトリ（例えば，/home/centos）で clamdscan がエラーなく走るようになった。
　　　$ getenforce
　　　Enforcing
　　　$ grep User /etc/clamd.conf
　　　User root
=======================================================
　　　$ clamdscan
　　　/home/centos: OK

　　　———– SCAN SUMMARY ———–
　　　Infected files: 0
　　　Time: 0.001 sec (0 m 0 s)
==============================================こんな感じ

　あくまで，ユーザのホームディレクトリという制限つきだから， /root だと，以下のように見慣れたエラーが戻ってくる。
=======================================================
　　　# clamdscan
　　　/root: lstat() failed: Permmision denied. ERROR

　　　———– SCAN SUMMARY ———–
　　　Infected files: 0
　　　Tlotal errors: 1
　　　Time: 0.000 sec (0 m 0 s)
=======================================================

　さて，Enforcing，User root で clamdscan を走らせることができた。あとは，User clamav でということなのだが，これはまだまだ前途多難なようなので，後回しにして他のことに取り組もうと思う。

　ところで， clamscan を自動で走らせるときに，そのオプションを下記のようにしようかなと思っている。
　　　clamdscan /
　　　–infected
　　　–recursive
　　　–move=/var/log/clamav/virus
　　　–log=/var/log/clamav/clamav_`date +%Y-%m-%d`.log
　　　–exclude-dir=^/sys
　　　–exclude-dir=^/proc
　　　–exclude-dir=^/dev
　　　–exclude-dir=^/var/log/clamav/virus
で，参考に読んだところでは clamdscan のオプションは clamscan に準じると書いてあったが，上のを clamdscan で使うと，
　　　WARNING: Ignoring unsupported option –recursive (-r)
　　　WARNING: Ignoring unsupported option –exclude-dir
　　　WARNING: Ignoring unsupported option –exclude-dir
　　　WARNING: Ignoring unsupported option –exclude-dir
　　　WARNING: Ignoring unsupported option –exclude-dir
が戻ってくる。ということは，同じ使い方はできないということになりそうだ。clamscan と clamdscan の違いを考えると，ダウンロードディレクトリをスキャンするのに使うのが現実的かな。

　ああそうだ，忘れないうちに， myClamAV をアンインストールしておこう。
　　　$ sudo semodule -r myClamAV.pp

投稿アップデート情報　　追記(9/8)　　追記２(10/1)

　前項で

そういえば，指定のリポジトリを書き直した方がいいということをよくネット上で見るが，Minimalインストールでも，CentOS6.3には初めからyum-plugin-fastestmirrorとyum-prestoが入ってる。これがあれば，ミラーリストをざっとなめてからやってくれてるみたいだが，それでも指定のリポジトリを書き直したがいいんだろうか。

と書いたのだが，ClamAVをwgetでインストールしたときに分かったことがある。
　常識なんだろうが，yumでインストールすると，依存関係をyumの方でちゃんとやってくれる。なので，
　　　$ sudo yum install clamd
とやると，clamav，clamd，clamav-dbが，すべてインストールされるが，wgetでダウンロードして，rpmでインストールするとそうはいかないから，順番とかライブラリに気を付けなければいけないことになる。どのサイトにも「yumは依存関係の処理もやってくれる」と書いているし，clamav直前のlm_sensorsのインストールでは，自分でも依存関係でいろいろ入ることに驚いているのに，これらのことをしっかり認識していなかったりするのだ（汗）。ただし，rpmを手動でインストールしても，yumは関知してるようで，
　　　$ sudo yum list installed|grep clam*
　　　clamav.i686 0.97.5-2.el6.rf installed
　　　clamav-db.i686 0.97.5-2.el6.rf installed
　　　clamd.i686 0.97.5-2.el6.rf installed
とちゃんとリストに表示される。

　ということになると，やはりclamavを含むリポジトリの導入をやっておいた方がいいわけで，ここ（魚拓です）を参考にそれをちょっとやってみた。大概のところは，clamavの導入時にリポジトリを追加し，あとでこれを外すみたいに書いてあって，「めんどくさいな。それならwgetでその都度やっても，同じジャン」とか思っていたのだが，参考ページではyum-prioritiesプラグインをインストールすることになっている。これ，いいな。
　　　$ sudo yum install yum-plugin-priorities
　CentOs6のCentOS-Base.repoを弄る。[priority=1]を追加してやって，リポジトリに優先順位をつけるわけだ。
　　　$ sudo vi /etc/yum.repos.d/CentOS-Base.repo

　　　[base]
　　　name=CentOS-$releasever – Base
　　　mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
　　　#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
　　　gpgcheck=1
　　　gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
　　　priority=1　<<—　追加

　　　#released updates
　　　[updates]
　　　name=CentOS-$releasever – Updates
　　　mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
　　　#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
　　　gpgcheck=1
　　　gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
　　　priority=1　<<—　追加

　　　#additional packages that may be useful
　　　[extras]
　　　name=CentOS-$releasever – Extras
　　　mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
　　　#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/
　　　gpgcheck=1
　　　gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
　　　priority=1　<<—　追加
上書き保存して，終了。

　さて，rpmforgeリポジトリをインストールし，ついでにアップデートしておく。どうして，rpmforgeリポジトリにしたかっていうと，ClamAVオフィシャルのLinux（魚拓です）「RedHat and Fedora」のところに，「Dag Wieersによって大変よくメンテされてるリポジトリがあるのでそれを使うといい」と書いてある。これが http://packages.sw.be/clamav/ で，前項ではここからwgetで入れたわけ。今回は，も一度FAQを読みに行って，How do I use Yum ?のところを読み，rpmforge-release packageを見に行って，「RHEL6 and CentOS-6 x86 32bit」の下記を選択した。でもこれ，結局のところ理研のミラーから落ちてくるようだ。
　　　$ sudo rpm -ivh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm
　　　$ sudo yum update rpmforge-release

　「11 packages excluded due to repository priority protections」と出た。yum-prioritiesを入れた効用だ。お利口さん。さて改めて，
　　　sudo yum install clam*　　　　で，うっかりインストールしてしまったので，改めて　　　sudo yum install clamd
でやり直した。clamav，clamd，clamav-dbについては，最新版がインストールされていると出たが，依存関係がうまく解決されていなかったようだ。サービスを止めて，インストールし直してみた。

　その後，
　　　$ sudo vi /etc/clamd.conf
で，189行目を下記のようにコメントアウトする。
　　　#User clamav
clamdを再スタート。
　　　$ sudo /etc/rc.d/init.d/clamd restart　–9/8(土)，消し線追加。どうしてもうまくclamdscanを走らせられないので，clamscanで行くことにした。この場合，Userはclamavのままで，不都合はなかった。clamdscanの不具合は，SELinuxをpermissiveにし，Userをrootにしても直らなかった。今のところ，何が足を引っ張っているのか，不明。当面は，clamscanでいいことにしよう。–

　　　$ chkconfig –list
をチェックしてみると，この段階で，

clamd

0:off

1:off

2:on

3:on

4:on

5:on

6:off

となっており，clamav-milterとclamdが自動起動O.K.になっているようだ。sudo yum install clamdだと，有効になっているサービスは，clamdだけだった。

　　　$ sudo freshclam
　$ sudo /etc/rc.d/init.d/clamd restartも，freshclamやるまえから一度でうまくいった。やっぱ，前回は何かまずかったのかな。
　sudo yum install clamd でやると，やはり，freshclamを先にやらないと，clamd restartがうまくいかない。

追記２(10/1)：
　上に，
> clamdscanの不具合は，SELinuxをpermissiveにし，Userをrootにしても直らなかった。
と書いたのだが，これについては，CentOS6.3 Minimalを改めて新規インストールして試したら，permissive+rootでは走らせることができた。いろいろ弄っていたのでどこかがまずくなっていたのかもしれない。

投稿アップデート情報　　追記(8/12)

　今日は，夕立あり。３時過ぎには，降り出した。まぁ，一時の雨足は強かったが，本当に夕立で，すぐにやんだ。昨日は立秋。暑い暑いと言っていても，季節は進んでいるな。

　Tera Termを起動して，サーバに接続する。
　　　$ sudo yum update
をやってみた。できたけど，アップデートが何もなかった（爆）。そういえば，指定のリポジトリを書き直した方がいいということをよくネット上で見るが，Minimalインストールでも，CentOS6.3には初めからyum-plugin-fastestmirrorとyum-prestoが入ってる。これがあれば，ミラーリストをざっとなめてからやってくれてるみたいだが，それでも指定のリポジトリを書き直したがいいんだろうか。

　Tera Termそのものは，CUIのターミナルエミュレータだが，マウスでコピー＆ペーストもできるし，サーバの処理をやりながらおんなじPC上でこの記事も書けるし，うんと楽チン。CentOS6.3のMinimalインストールでは，マウスさえ使える状態になっていなくて，久しぶりにキーボード頼りだった。日頃も結構ショートカットキーを使ってはいるが，全部となると，また問題が別。今日の夜中にSSHが使えるようになって，前記事の冒頭でぼやいたことが嘘みたい。サーバ上はこのまま，CUIだけでいいや。現金なやつ —>> 自分

　本家のお世話-#40。で書いたように，春から初夏にかけて，温度のことで大騒ぎしたxw4200なので，lm_sensorsを入れて温度を測ってみた。しかし，lm_sensorsを入れるだけでも，依存関係で結構いろいろ入るものである。
　　　$ sudo yum install lm_sensors
　　　$ sudo sensors-detect
　　　$ sensors
　　　　　　———————————————
　　　　　　smsc47b397-isa-0480
　　　　　　Adapter: ISA adapter
　　　　　　fan1: 5619 RPM
　　　　　　fan2: 0 RPM
　　　　　　fan3: 0 RPM
　　　　　　fan4: 3810 RPM
　　　　　　temp1: +52.0°C
　　　　　　temp2: +0.0°C
　　　　　　temp3: +42.0°C
　　　　　　temp4: +0.0°C
　　　　　　———————————————
　今朝からずっと火を入れていて，14:00現在，室温34℃の状態で上記だと，上出来じゃないだろうか。ただし，システムファンは7段階の７番目（「低 <-- １２３４５６(７) --> 高」）でフル回転していて，ものすごーくウルサイ。

　そういえばClamAVを入れていないので入れてみることにする。標準のリポジトリには含まれていないので，ダウンロードにwgetを使うが，これもMinimalには入っていないので，先にwgetをインストール。
　　　$ sudo yum install wget
　次に，ClamAV関係の３ファイルをダウンロードする。
　　　$ sudo wget http://pkgs.repoforge.org/clamav/clamav-0.97.5-2.el6.rf.i686.rpm
　　　$ sudo wget http://pkgs.repoforge.org/clamav/clamd-0.97.5-2.el6.rf.i686.rpm
　　　$ sudo wget http://pkgs.repoforge.org/clamav/clamav-db-0.97.5-2.el6.rf.i686.rpm
　ダウンロードした３ファイルは/home/centosに保存されている。
　　　$ sudo rpm -ivh clamav-db-0.97.5-2.el6.rf.i686.rpm
はできたが，
　　　$ sudo rpm -ivh clamav-0.97.5-2.el6.rf.i686.rpm
をやると，libltdl.so.7がないと怒られるので，libtool-ltdlをインストール。
　　　$ sudo yum install libtool-ltdl
改めて，次をやると
　　　$ sudo rpm -ivh clamav-0.97.5-2.el6.rf.i686.rpm
通ったので，次に，
　　　$ sudo rpm -ivh clamd-0.97.5-2.el6.rf.i686.rpm
で，インストールは完了。

　　　$ sudo /etc/rc.d/init.d/clamd start
とやると，
　　　　　Starting Clam AntiVirus Daemon: LibClamAV Error: cl_cvdhead: Can’t read CVD header in
　　　　　/var/clamav/daily.cld
　　　　　LibClamAV Error: cli_loaddbdir(): error parsing header of /var/clamav/daily.cld
　　　　　ERROR: Malformed database
と daily.cld が壊れているらしいので，先に
　　　$ sudo freshclam
をやってみた。その後，改めて
　　　$ sudo /etc/rc.d/init.d/clamd start
をやったら，Clam AntiVirus Daemon が無事走り出した。

追記(8/12)：
　ちゃんとrpmforgeリポジトリを導入して，ClamAVのインストールをやり直した。その経緯を次記事に書いたので，インストールする場合は，そっちを参考にしてください。