clamd 扫描功能的奇怪行为
Strange Behavior with clamd scan function
我在 ubuntu 服务器 20.04 上有一个简单的 python3 脚本 运行ning,它试图调用 clamd(clamav-daemon 进程)库来扫描文件。扫描 ping() 和 version() 函数都可以正常工作。但是,当我实际进行测试写入和扫描时,出现以下错误:
{'/filedrop/test.doc': ('ERROR', "Can't open file or directory")}
这是我调用test write和scan的代码,都是clamd网站的标准样例:
open('/filedrop/test.doc','wb').write(clamd.EICAR)
print(cd.scan('/filedrop/test.doc'))
代码为 运行 后,我在测试文件中得到以下字符串,表明 python3 脚本能够成功写入文件,但我一直收到错误使用clamd扫描功能无法打开文件
这是写入文件的字符串:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
我还能够从文件夹上的命令行 运行 clamscan,它也成功扫描了文件。
当服务使用 clamav:clamav 时,我 运行 以 root 用户身份登录。
我确实将文件夹和文件的 read/write 权限授予了“其他用户”,并且还表明该文件可以由 python 脚本写入。
我相信这里问题的解决方案是 AppArmour 正在阻止该特定目录的 clamd。我会查看 clamd 的 AppArmour 配置文件。它应该被称为 /etc/apparmor.d/clamav 或类似的名称。您可以调整该配置文件或禁用它(根据 Ubuntu):
sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/profile.name
此处提供更完整的说明:
https://help.ubuntu.com/community/AppArmor
您也可以出于测试目的禁用 AppArmour(我不想建议任何人永久删除安全功能),方法是:
sudo systemctl stop apparmor
sudo systemctl disable apparmor
我在 ubuntu 服务器 20.04 上有一个简单的 python3 脚本 运行ning,它试图调用 clamd(clamav-daemon 进程)库来扫描文件。扫描 ping() 和 version() 函数都可以正常工作。但是,当我实际进行测试写入和扫描时,出现以下错误:
{'/filedrop/test.doc': ('ERROR', "Can't open file or directory")}
这是我调用test write和scan的代码,都是clamd网站的标准样例:
open('/filedrop/test.doc','wb').write(clamd.EICAR)
print(cd.scan('/filedrop/test.doc'))
代码为 运行 后,我在测试文件中得到以下字符串,表明 python3 脚本能够成功写入文件,但我一直收到错误使用clamd扫描功能无法打开文件
这是写入文件的字符串:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
我还能够从文件夹上的命令行 运行 clamscan,它也成功扫描了文件。
当服务使用 clamav:clamav 时,我 运行 以 root 用户身份登录。 我确实将文件夹和文件的 read/write 权限授予了“其他用户”,并且还表明该文件可以由 python 脚本写入。
我相信这里问题的解决方案是 AppArmour 正在阻止该特定目录的 clamd。我会查看 clamd 的 AppArmour 配置文件。它应该被称为 /etc/apparmor.d/clamav 或类似的名称。您可以调整该配置文件或禁用它(根据 Ubuntu):
sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/profile.name
此处提供更完整的说明: https://help.ubuntu.com/community/AppArmor
您也可以出于测试目的禁用 AppArmour(我不想建议任何人永久删除安全功能),方法是:
sudo systemctl stop apparmor
sudo systemctl disable apparmor