Forum Linux.debian/ubuntu clamav 0.96 et performances

Posté par  .
Étiquettes :
0
25
mai
2010
Salut à tous,

J'utilise une passerelle antivirus avec une Debian Lenny sur un vieux PC avec 128Mo de RAM. J'ai installé HAVP et clamav dessus. Je suis récemment passé à sa version 0.96, et j'ai quelques problèmes :
toutes les heures, clamav vérifie si sa base antivirale a changé ; si oui il recharge cette base. Il y a d'abord un reload, puis un update des signatures.
Le reload prend de 3 à 4 minutes, l'update environ 1 minute, d'après clamav.log... Et pendant cette période je ne peux pas naviguer.

Y'a-t-il des réglages à faire pour éviter ces désagréments ? Ca se produit grosso-modo toutes les 4h... et je ne souhaite pas faire moins de vérifications pour que ces updates aient lieu moins souvent, au risque de diminuer le niveau de protection.

Autre question, je n'ai pas mis HAVP à jour et il utilise la libclamav5. Est-ce un souci ? J'ai vu que les sources d'une nouvelle version compatible avec libclamav6 sont sorties mais pour des raisons de facilité de maintenance, je préfère utiliser les paquets ; quelle est l'incidence de l'utilisation de cette lib ? Moins de perf, d'efficacité, de protection.. ?

Merci pour vos conseils !

  • # ram et cpu

    Posté par  (Mastodon) . Évalué à 3.

    Bonjour,

    Il me semble bien long le temps annoncé, pour effectuer la mise à jour. Normalement clamav, que cela soit "à la main" ou par le service de mise à jour, va faire cette tache grâce à un fichier "différentiel" : ne contenant que ce qui change par rapport à la base initiale : c'est le fichier "daily."

    Pour contrebalancer l'utilisation de la mémoire vive lors des vérifications, tu peux jouer avec dazuko : ce module noyau permettra de faire des vérifications "en temps réel" (ou plutôt en direct). Tu gagnes en consommation en mémoire vive d'un coté, en faisant monter un peu la consommation en cpu d'un autre, pour cette vérification "en direct". (il te faut compiler le module noyau, le configurer, puis mettre à jour à jour la fstab en ajoutant pour chaque entrée de partitions souhaitées, une entrée spécifiant dazukofs)

    De mémoire, c'est la vérification des archives qui est la plus difficile pour clamav (et sur les .rar s'il a été compilé avec ce support). Là, pas grand chose à faire à part proposer plus de puissance matérielle à ton système.

    ps : tu "surfes" sur la passerelle ? cela veux dire surement dire qu'il y a X et même peut être un bureau ? Peut être alléger son utilisation aidera également : laisser cette passerelle faire son taf de passerelle, et rien d'autre. mes deux cents.

    • [^] # Re: ram et cpu

      Posté par  . Évalué à 1.

      Merci pour la rapidité de cette réponse :)

      Je ne surfe pas sur la passerelle mais y'a quelques autres services qui tournent dessus, dédiés eux aussi à la sécurité ; en gros la mémoire est bien bouffée. Mais il n'y a pas de X dessus.

      Si je lance à la main un force-reload, pareil j'en ai pour 4 minutes... alors que c'était quasi instantané sur le même système avec la version précédente.

      Je vais regarder du côté de dazuko, que je ne connais pas ; les gains sont-ils conséquents ?

      • [^] # Re: ram et cpu

        Posté par  (Mastodon) . Évalué à 2.

        Non les gains ne sont pas conséquents, on gagne en mémoire vive, on perds en cpu.
        Mais on a l'avantage de faire une surveillance en directe, ce que clamav ne sait pas faire sans ce module. Ce qui évite les grosses vérifications pendant les heures d'utilisation, pour les réserver pour la nuit (par exemple)

        • [^] # Re: ram et cpu

          Posté par  . Évalué à 1.

          D'accord. Mais mon utilisation est réservée à HAVP ; donc un scan des pages que je visite. Est-ce que dans ce cas ce module est intéressant ?

  • # Safebrowsing ?

    Posté par  . Évalué à 1.

    As-tu activé l'option de filtrage safebrowsing ?

    J'ai remarqué sur ma machine plusieurs minutes de temps CPU utilisé par freshclam.
    Ce rapport de bug semble correspondre : https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2017

    En purgeant /var/lib/clamav/safebrowsing.cld avant d'exécuter freshclam, le fichier est téléchargé, ce qui consomme plus de bande passante mais est beaucoup plus rapide que d'appliquer les mises à jour.

    • [^] # Re: Safebrowsing ?

      Posté par  . Évalué à 1.

      Non elle n'est pas activée ; j'essaierai. Par contre, es-tu sûr que ça changera quelque chose ? Dans mon cas ce n'est pas freshclam qui est lent, mais clamav-daemon. A moins que son reload ne fasse appel à freshclam ?

      • [^] # Re: Safebrowsing ?

        Posté par  . Évalué à 3.

        Tu parles de lenteur lors de la mise à jour de la base antivirale, c'est le rôle freshclam. C'est pour ça que j'ai fait le lien avec le problème de lenteur de mise à jour de la base liée au safebrowsing.
        Par contre, si tu n'a pas activé l'option safebrowsing, ce n'est pas la bonne explication...

        • [^] # Re: Safebrowsing ?

          Posté par  . Évalué à 1.

          Donc la purge du fichier ne sert à rien si cette option est désactivée ?

  • # Nice ?

    Posté par  (site web personnel) . Évalué à 2.

    Et si tu lançais le process de mise à jour avec un nice plus tolérant ?

    ça prendrait plus de temps, mais ne nuirait pas aux autres services.

    • [^] # Re: Nice ?

      Posté par  . Évalué à 1.

      Grml, je croyais avoir posté ma réponse y'a quelques heures déjà.

      Hum, idée intéressante, mais quand il est en train de se "reload", il ne peut pas scanner, donc ma navigation sera quand même interrompue, non ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.