ScannedOnly 0.12 interface les fichiers partagés par Samba 3.2 avec les scans antiviraux de ClamAV

Par Xavier Poli, secuobs.com
Le 25/02/2009

---

Résumé : La nouvelle version Open Source de ScannedOnly permet à Samba 3.2 de ne partager à distance que des fichiers déclarés comme étant de nature saine par les dernières versions de la solution antivirale Open Source ClamAV. - Lire l'article



ScannedOnly est une solution d’interfaçage entre la solution antivirale Open Source ClamAV ( lien ) et le logiciel libre de mise en œuvre des protocoles SMB/CIFS Samba ( lien ). ScannedOnly permet en fait à Samba de ne mettre à disposition que des fichiers partagés qui ont été scannés au préalable par ClamAV et déclarés sains, il a été développé suite aux problèmes rencontrés par Samba-Vscan ( lien ) vis-à-vis des montées en charge consécutives aux multiples requêtes concurrentes sur un même fichier partagé.

Des problèmes latents d’inactivité avaient également été constatés dans Samba_Vscan au niveau de l'accès à des fichiers compressés au format ZIP ( lien ) et présentant des tailles beaucoup trop importantes pour que leur traitement antiviral soit mené à bien pour leur mise à disposition. A savoir que ScannerdOnly est une solution qui est disponible sous la licence Open Source GPL ( lien ), le code source étant disponible pour tout un chacun sur l’espace SourceForge ( lien ) qui lui est spécifiquement réservé.

ScannedOnly se décompose en fait en deux parties bien distinctes à savoir un service qui va être en charge de scanner les fichiers avec ClamAV et un module Samba VFS (Virtual File System - lien ) qui s’occupera de fournir à ce service les informations nécessaires au lancement d’un scan antiviral sur un fichier donné. Si ce fichier est sain, le service créé alors un second fichier avec une extension « .scanned », le module vérifie quant à lui si des fichiers avec cette extension existe dans les répertoires de partage pour ensuite effectuer une analyse comparative et identifier si ce fichier est nouveau ou si il a été modifié depuis sa dernière mise à disposition.

Si c’est le cas, il sera alors affiché dans les partages afin que les utilisateurs finaux puissent le visualiser et le récupérer. Si le fichier d’extension « .scanned » n’est pas existant, le fichier d’origine ne sera tout simplement pas publié et il ne sera ni visible, ni accessible du point de vue des utilisateurs souhaitant accéder aux partages délivrés par Samba. A noter qu’en cas de première publication d’un fichier, il sera nécessaire aux utilisateurs, souhaitant y accéder, d’effectuer un rafraichissement du répertoire partagé afin de visualiser le fichier ayant fraichement reçu l’aval du service ScannedOnly pour sa publication et sa diffusion.

Un utilitaire spécifique, du nom de Prescan, permet par ailleurs de réaliser un inventaire préalable des répertoires partagés afin que les fichiers soient visibles pour les utilisateurs distants dès lors que ces répertoires seront activés dans la configuration de Samba. Si un virus est trouvé par le service, un fichier avec un message d’avertissement est alors créé dans le répertoire utilisateur, ce même avertissement étant de plus envoyé vers les fichiers journalisés de logs alors que le fichier incriminé se verra renommé avec l’extension « .virus », trois niveaux d’enregistrements plus ou moins verbeux sont disponibles.

Les fichiers avec une extension « .virus » ne seront donc jamais visibles d’un point de vue utilisateur et toutes les tentatives d’accès distants en mode aveugle par ceux-ci via les partages Samba seront dès lors interdites. ScannedOnly est un outil pratique qui est déjà disponible depuis l’année 2007, cependant une nouvelle version, la 0.12, vient d’être publiée en février 2009, elle propose un plus grand nombre de messages divers et variés pour les avertissements enregistrés, mais surtout une compatibilité avec la version 3.2 de Samba et avec la version la plus récente de la LibClamAV ( lien ).

D’un point de vue fonctionnel, les communications entre le module et le service peuvent être effectuées en local par l’intermédiaire d’un connecteur Unix, solution privilégiée par défaut, ou à distance sur le port 2020, spécifié par défaut, via un connecteur réseau utilisant le protocole de transport UDP ( User Datagram Protocol - lien ). A savoir que le trafic est uniquement autorisé dans le sens allant du module vers le service afin que le module puisse envoyer les noms des fichiers à scanner, aucune réponse n’étant retournée par le service. Les tâches de scan peuvent donc être ordonnées depuis un serveur distant à la seule condition que les deux machines accèdent aux mêmes fichiers à scanner.

On notera la possibilité d’utiliser le mode multitâches pour des scans simultanés via des machines présentant des architectures complexes multi-cœurs multiprocesseurs ( lien ). Afin d’être certain que la plupart des fichiers normaux vont être scannés rapidement, un seul processus léger ( lien ), quatre sont créés par défaut, est ici alloué pour scanner les fichiers de grande taille, alors que les autres seront en charge de gérer les scans antiviraux pour les fichiers de plus petite taille, la distinction de traitement entre les fichiers de différentes tailles peut être définie par une valeur plus ou moins grande de limite à configurer au niveau du service.

Le module peut quant à lui être configuré de façon particulière pour chacun des partages offert par Samba. Parmi les options qui lui sont spécifiques on retrouve notamment les informations d’accès (nom de domaine, port, socket) au service ScannedOnly, à noter que le nom de domaine en cas d’accès distant au service en UDP via un connecteur réseau doit avoir une occurrence, avec une adresse IP, dans le fichier hosts de la machine où s’exécute le module. Parmi les autres possibilités de configuration du module, on retrouve notamment la possibilité de choisir si oui ou non on veut scanner les fichiers cachés.

Site officiel (lien )

Source : Hackers Center Security Tools and Texts ( lien )