วิธีการแก้ไข amvavis รายงาน“ สิทธิ์ถูกปฏิเสธ” สำหรับ clamav


12

ฉันเพิ่งสังเกตเห็น niggle ที่น่าผิดหวัง ... เมื่อประมวลผลอีเมลเซิร์ฟเวอร์ Ubuntu (ที่มีการอัปเดตทั้งหมดที่ใช้) รายงาน "การอนุญาตถูกปฏิเสธ" เมื่อพยายามสแกนไวรัสที่แนบมา

Apr  2 14:05:20 svr amavis[6376]: (06376-01) (!)run_av (ClamAV-clamd) FAILED - unexpected , output="/var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/parts: lstat() failed: Permission denied. ERROR\n"
Apr  2 14:05:20 svr amavis[6376]: (06376-01) (!)ClamAV-clamd av-scanner FAILED: CODE(0x30cf250) unexpected , output="/var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/parts: lstat() failed: Permission denied. ERROR\n" at (eval 136) line 899.
Apr  2 14:05:20 svr amavis[6376]: (06376-01) (!)WARN: all primary virus scanners failed, considering backups

เมื่อฉันดูไดเรกทอรีที่เป็นปัญหาฉันเห็นสิ่งนี้:

$ ls -ld /var/lib/amavis/tmp
drwxrwx--- 4 amavis amavis 4096 Apr  2 14:16 /var/lib/amavis/tmp
$ ls -ld /var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/
drwxr-x--- 3 amavis amavis 4096 Apr  2 14:05 /var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/
$ ls -ld /var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/parts                                                                                                                                                                           
drwxr-x--- 2 amavis amavis 4096 Apr  2 14:16 /var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/parts

ฉันทำให้แน่ใจว่าผู้ใช้แบบ clamd เป็นสมาชิกของกลุ่ม amavisd - แต่สิ่งนี้ไม่ได้แก้ไขอะไร ใครสามารถบอกฉันได้โดยเฉพาะว่าองค์ประกอบใดที่ต้องการสิทธิ์ - และ ... ในอุดมคติ ... จะต้องทำอย่างไรเพื่อแก้ไขปัญหานี้

การชี้แจง : ฉันไม่ได้มองหาคำอธิบายพื้นฐานของการอนุญาต ฉันกำลังมองหาวิธีการแก้ปัญหาที่เหมาะสมกับปัญหาเฉพาะนี้ - ซึ่งอย่างน้อยก่อนหน้านี้ดูเหมือนว่าส่วนประกอบของชุด amavis (อาจจะ clamd) กำลังใช้ค่า umask ผิด แน่นอนความผิดพลาดนี้อาจเกิดขึ้นจากข้อผิดพลาดหรือข้อผิดพลาดในการกำหนดค่าจำนวนมาก ฉันกำลังมองหาเฉพาะสำหรับการแก้ปัญหาที่เหมาะสมที่สุดสำหรับกรณีนี้ ... ที่การติดตั้ง 'vanilla' amavis / clamav ล้มเหลวในการเข้าถึงเนื้อหาของโฟลเดอร์ชั่วคราวที่สร้างขึ้นเป็น / เมื่อต้องการสแกนอีเมลขาเข้า

ฉันรู้นี้คล้ายกัน (ไม่ใช่อูบุนตู) คำถาม คำตอบ Redhat / Centos ไม่ได้แก้ปัญหาที่ฉันพบกับ Ubuntu

พบปัญหานี้ใน "Ubuntu 14.04.2 LTS" - ไม่มีการอัปเดตที่รอดำเนินการ


กลุ่มamavisไม่มีสิทธิ์ในการเขียน/var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/และ/var/lib/amavis/tmp/amavis-20150402T140519-06376-PZcyHfOt/parts
AB

ลองสิ่งนี้chmod -R g+w /var/lib/amavis/tmp
AB

ปัญหาไม่ใช่ว่าฉันไม่สามารถเปลี่ยนการอนุญาตให้กลุ่มเขียนลงในไดเรกทอรี ... ปัญหาคือฉันไม่รู้วิธีการตรวจสอบให้แน่ใจว่าไดเรกทอรีที่สร้างขึ้นภายใต้ / var / lib / amavis / tmp / - ใน ในอนาคต - สร้างด้วยสิทธิ์ที่ถูกต้อง ไดเรกทอรีนี้น่าจะเป็นที่ที่ Amavis ขยายข้อความเพื่อตรวจสอบไฟล์แนบ ค่าเริ่มต้นที่ใช้ในการทำงาน ... ตอนนี้หลังจากอัปเดตบางอย่างแล้วมันไม่ทำงาน
aSteve

จากนั้นตอบคำถามของคุณ
AB

คำตอบ:


13

วิธีการทำงานคือการเปลี่ยนแปลง

AllowSupplementaryGroups false -> true

ใน /etc/clamav/clamd.conf

รีสตาร์ท clamav-daemon


2
นี่คือสิ่งที่แก้ไขได้สำหรับฉัน (ฉันใช้ Debian Jessie) การเพิ่ม clamav ให้กับกลุ่ม amavis ไม่ได้แก้ปัญหา
chmike

2
AllowSupplementaryGroupsตัวเลือกที่ได้รับการลดลงในรุ่นล่าสุดของ clamav (0.99.2+, 2 มิถุนายน 2016 ในต้นน้ำ)
Daniel Vérité

1
+1 สิ่งนี้ใช้ได้ คำตอบที่ได้รับการอนุมัติด้านล่างไม่ได้ หากคุณติดตามหน้า wiki ของ Ubuntu AmavisNew (หวังว่า) คุณจะได้เพิ่ม amavis / clamav เป็นกลุ่มเสริมเข้าด้วยกัน คำตอบที่ได้รับอนุมัติไม่ได้ทำอะไรนอกจากทำซ้ำสิ่งนี้ - และไม่ได้ผล ฉันใช้ pkgs เริ่มต้นใน 16.04.1 LTS อ้างอิง: help.ubuntu.com/community/PostfixAmavisNew
bshea


ยืนยันแล้ว: ปัญหาคงที่สำหรับฉันเช่นกัน Ubuntu LTS 16.04.1

6

ในขณะที่clamdผู้ใช้เป็นสมาชิกของamavisกลุ่มclamdกระบวนการทำงานในฐานะผู้ใช้clamav(ไม่ใช่clamd)

การเพิ่มclamavไปยังamavisกลุ่มแก้ไขปัญหา


2

อย่างที่AllowSupplementaryGroupsไม่มีอยู่อีกต่อไปฉันสิ้นสุดโดยการเพิ่มผู้ใช้แต่ละคนในกลุ่มอื่นเช่นนี้:

usermod -a -G clamav amavis
usermod -a -G amavis clamav

(และรีสตาร์ททุกสิ่งเพื่อให้แน่ใจ)

/etc/init.d/clamav-daemon restart
/etc/init.d/amavis restart
/etc/init.d/postfix restart

ด้วยสิ่งนี้ไม่จำเป็นต้องเปลี่ยนการอนุญาตของโฟลเดอร์ใน/var/lib/amavis/tmp(และฉันไม่แน่ใจว่าสิทธิ์เหล่านั้นจะถูกทิ้งไว้ในการอัพเกรด apt-get ครั้งต่อไป ... )


pkg เริ่มต้นใน 16.04.1 มีคำสั่ง AllowSupplementaryGroupsในการกำหนดค่าหลัก คุณกำลังโพสต์ข้อมูลที่ทำให้เข้าใจผิด หากคำสั่งไม่มีอยู่ในเวอร์ชันที่ใหม่กว่า - เหตุใดการเพิ่มกลุ่มเสริมลงในแต่ละบัญชีจึงใช้งานได้สำหรับคุณ ยังคงอยู่ใน CONFIG เมื่อวันที่ 16.04.1 เพราะมันไม่ได้ใช้อีกต่อไป? อืมมม แสดงหลักฐาน BTW การเปลี่ยน 'TRUE' นี้ทำให้ทุกอย่างทำงานได้ในวันที่ 16.04.1 อ้างอิง: help.ubuntu.com/community/PostfixAmavisNew# การแก้ไขปัญหา
bshea

สิ่งนี้ไม่เป็นความจริงที่ AllowSupplementaryGroups ไม่มีอยู่ และยิ่งกว่านั้นคุณต้องตั้งค่าให้เป็นจริงเพื่อให้มันใช้งานได้จริง
user3021729

grep จาก source ver 0.99.2 clamd / clamd.c- if (optget (opts, "AllowSupplementaryGroups") -> เปิดใช้งาน) {clamd / clamd.c- # ifdef HAVE_INITGROUPS clamd / clamd.c: if (กลุ่มเริ่มต้น (opt->> strarg, user-> pw_gid)) {clamd / clamd.c: fprintf (stderr, "ERROR: initgroups () ล้มเหลว \ n"); clamd / clamd.c- optfree (opts); clamd / clamd.c- ส่งคืน 1; clamd / clamd.c-} clamd / clamd.c- # else
Ding-Yi Chen

0

ฉันมองไปรอบ ๆ และไม่พบข้อมูลใด ๆ เกี่ยวกับสิ่งที่ฉันทำ ก่อนอื่นฉันเลิกเมานท์ไดรฟ์ที่มีปัญหาแล้วจึงทำการเมานต์ใหม่

ls -l /dev
sudo umount /dev/sdd4
sudo mkdir /mnt
sudo mount /dev/sdd4 /mnt

-5

คุณได้ลองใส่สิ่งนี้ในเทอร์มินัล:

       sudo -i
       gksu thunar

และถ้าไม่ได้ติดตั้ง thunar ให้ป้อนสิ่งนี้ในเทอร์มินัล:

        sudo apt-get install thunar 

และให้สิทธิ์ในการอ่านและเขียนสำหรับไดเรกทอรี:

       /var/lib/amavis

และนี่คือดวงจันทร์สีขาวและมันอาจทำงานได้ดีในลักษณะนี้


4
thunar เพื่อตั้งค่าการอนุญาต? พระเจ้าช่วย.
AB

2
แล้วบนเซิร์ฟเวอร์
AB

ไม่ดี, คุณสามารถใช้สิ่งนี้เพื่อเปลี่ยนการอนุญาตเมื่อคุณมี GUI (gtk2 + xfce) ติดตั้งแล้วเช่น Ubuntu desktop edition OP ที่นี่กล่าวถึงการใช้งาน Ubuntu Server นั่นหมายความว่าไม่ได้ติดตั้ง GUI และคุณต้องใช้ CLI / บรรทัดคำสั่งแทน eq: sudo chmod -R +rw /var/lib/amavis(-R สำหรับการเรียกซ้ำ)
user.dz

ลอง ulimet -i นี้โดยไม่ จำกัด และอาจใช้งานได้ดีในลักษณะนี้
Michael
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.