nixp.ru v3.0

19 октября 2017,
четверг,
17:41:14 MSK

DevOps с компанией «Флант»
blackpepper написал 27 января 2005 года в 12:52 (407 просмотров) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 9 комментариев на сайте.

Всем привет. Прошу совета по вопросу ClamAV+MTA

Суть заключается в следующем: общеизвестно ,что работа антивируса создает нагрузку на машине на которой он крутится. Согласно документации демон clamd может работать в одном из двух сетевых режимах ,через Unix (local) socket и TCP socket, что уже хорошо, и значит позволяет в сети установить антивирусный сервер который забирает у МТА входящую почту на проверку и тем самым не грузит почтарь.У кого есть положительный опыт решения?

fly4life

Какой MTA?

blackpepper

Да любой, важна методика подключения,ньюансы, положительные и отрицательные стороны, короче любая информация.

fly4life
blackpepper
Да любой, важна методика подключения,ньюансы, положительные и отрицательные стороны, короче любая информация.

В том-то и дело, что методика впринципе одна, как для работы антивируса и МТА на одной машине, так для работы по сети: получение письма почтовиком -> передача антивирусу -> проверка антивирусом -> обратная передача на почтовик, — где передача осушествляется с помощью какого-нибудь транспорта — сторонней программы.

Вот реализация этой схемы под каждый МТА разная.

Посмотри статью: http://www.nixp.ru/cgi-bin/go.pl?q=articles;a=clamav_postfix

В ней описана процедура связки clamav’а и postfix’а посредством транспорта clamsmtpd. В данном случае МТА и антивирус находятся на одной машине, но путём изменения некоторых настроек (в clamd.conf, main.cf, clamsmtpd.conf) можно подружить их с разных машин.

blackpepper

Меня интересует есть резон в настройке такой схемы работы антивиря, т.е. «меня терзают смутные сомнения…» ,уж не пора ли антивирусную службу выносить на отдельно выделенную машину, и я вполне допускаю, что могу ошибаться.

fly4life
blackpepper
Меня интересует есть резон в настройке такой схемы работы антивиря, т.е. «меня терзают смутные сомнения…» ,уж не пора ли антивирусную службу выносить на отдельно выделенную машину, и я вполне допускаю, что могу ошибаться.

Лично я смысла в этом не вижу. У меня на 500-м селероне со 128-ю Мб оперативной памяти загруженность процессора в среднем составляет около 0.3%, а память расходуется чуть больше, чем на половину (и-то это из-за других запущенных сервисов на этой машинке).

Dmitry Ivanov
blackpepper
Меня интересует есть резон в настройке такой схемы работы антивиря, т.е. «меня терзают смутные сомнения…» ,уж не пора ли антивирусную службу выносить на отдельно выделенную машину, и я вполне допускаю, что могу ошибаться.

Надо смотреть на конкретную машину и анализировать ситуацию.

Но я _очень сильно_ сомневаюсь, что затык в этом.

blackpepper

»….Надо смотреть на конкретную машину и анализировать ситуацию.

Но я _очень сильно_ сомневаюсь, что затык в этом….»

Да затыка нету, просто напросто при проектировании и развертывании сетей я стараюсь придерживаться (там где это возможно конечно) принципа избыточности ресурсов, потому что, как показывает практика «аппетит приходит во время еды».

Dmitry Ivanov
blackpepper
»….Надо смотреть на конкретную машину и анализировать ситуацию.

Но я _очень сильно_ сомневаюсь, что затык в этом….»

Да затыка нету, просто напросто при проектировании и развертывании сетей я стараюсь придерживаться (там где это возможно конечно) принципа избыточности ресурсов, потому что, как показывает практика «аппетит приходит во время еды».

А я — здравого смысла.

ЗС говорит, что разнести конечно можно, но логичнее будет потом поставить второй почтовый сервер со своим антивирусом. Кстати, антивирус на соседней машине

очень способствует загрузке интерфейса ;)

И если уж говорить о проектировании — то начинать надо с «какие сервера, какой поток почты»

blackpepper

Дмитрий , понимаю ваш скептицизм. Как видно из вопроса заданного в начале треда, я не вдавался в конкретику, а задал вопрос о возможности и целесообразности раздельной схемы работы антивиря и МТА ,кстати этот вопрос задан и на других форумах, и ответы почти такие же, ответы данные вами и другими посетителями форума достаточны ,что бы сделать вывод о том ,что такая схемы работы нужна только на нагруженных серверах обслуживающих десятки тысяч юзеров и прокачивающих в сутки по несколько гигов трафика.

Главное в ваших ответах — схема работы реальна,но существуют побочные эффекты.

Кстати, а если навесить второй интерфейс?

Genie

надо смотреть на нагрузку и исходить из неё.

как правило, может помочь не разнесение нагрузки путём распределения ролей (почтовый сервер, антивирус,…), а простое распределение всех функций по нескольким компьютерам — см., к примеру, round-robin определение ip по доменному адресу.

тогда можно сделать так, чтобы почта принималась двумя, тремя, …, серверами с разной частотой (просто указав разное клоичество записей с одинаковыми адресами для mx.domain.net), что и позволит разгрузить сервер.

Dmitry Ivanov
blackpepper
Дмитрий , понимаю ваш скептицизм. Как видно из вопроса заданного в начале треда, я не вдавался в конкретику

Кстати, а если навесить второй интерфейс?

Я таки поставил бы второй сервер для почты:)

Дальше есть разные варианты, их много. И каждый со своей спецификой. Потому просто нет смысла рассматривать «вообще». Технически — можно, висеть на IP умеет кажется уже все (либо само, либо через обертку). А практически…… не тот выигрыш

blackpepper

Всем спасибо, удачи.

anonymous
fly4life
В том-то и дело, что методика впринципе одна, как для работы антивируса и МТА на одной машине, так для работы по сети: получение письма почтовиком -> передача антивирусу -> проверка антивирусом -> обратная передача на почтовик, — где передача осушествляется с помощью какого-нибудь транспорта — сторонней программы.

Вот реализация этой схемы под каждый МТА разная.

Посмотри статью: http://www.nixp.ru/cgi-bin/go.pl?q=articles;a=clamav_postfix

В ней описана процедура связки clamav’а и postfix’а посредством транспорта clamsmtpd. В данном случае МТА  и антивирус находятся на одной машине, но путём изменения некоторых настроек (в clamd.conf, main.cf, clamsmtpd.conf) можно подружить их с разных машин.

А ты поправил то, о чем мы говорили ? ;-)

fly4life
redbeard
А ты поправил то, о чем мы говорили ? ;-)

Ты про недостающую опцию '-c' в параметрах clamsmtpd? Ну, да. Я практически сразу же изменил статью и включил туда описание настроек более новой версии clamsmtpd (в новых версиях, и вправду, убрали опцию '-c’. Наверное, из-за ненадобности, т.к. у clamsmtpd появился конфигурационный файл).

П.С. но вообще, это, наверное, оффтопик в данной теме =).