289 ответов в этой теме

[lazarevee]

- Корректное поведение после обновления .run-пакета (при установке свежего .run-пакета поверх старого)

 

Spoiler

phoenix@phoenix-G31M-ES2L:~$ chmod +X /home/phoenix/drweb-workstations_9.0.0.0-1403201817~linux_amd64.run
phoenix@phoenix-G31M-ES2L:~$ su /home/phoenix/drweb-workstations_9.0.0.0-1403201817~linux_amd64.run
Отсутствует passwd-запись для пользователя «/home/phoenix/drweb-workstations_9.0.0.0-1403201817~linux_amd64.run»
phoenix@phoenix-G31M-ES2L:~$ sudo /home/phoenix/drweb-workstations_9.0.0.0-1403201817~linux_amd64.run
[sudo] password for phoenix:
Creating directory drweb-workstations_9.0.0.0-1403201817~linux_amd64
Verifying archive integrity... All good.
Uncompressing Dr.Web Desktop Security Suite (for Linux workstations)............................................................................................................................................................
'/home/phoenix/drweb-workstations_9.0.0.0-1403201817~linux_amd64/setup'
lpstat: No destinations added.
No printers found!
phoenix@phoenix-G31M-ES2L:~$ 22/03/14 09:54:11 Warning: QSystemTrayIcon::setVisible: No Icon set
phoenix@phoenix-G31M-ES2L:~$

Установка прошла успешно. Агент не закрывал.

 ower-install.png   73,71К   0 Скачано раз

[Igorn]

Если после последующей установки галки в чекбоксе "Запустить" проблем нет, то всё нормально.

А сообщение об ошибке объясняется тем, что при обновлении продукта произошел рестарт drweb-configd - об этом и написано в выводимом окне - компоненты нуждаются в перезапуске. Аналогичное окно будет выведено и в случае удаления продукта (в этом случае, после удаления - компоненты, действительно, уже не установлены)

[Igorn]

Уверен, что о проверке сканерами процессов в RAM, и уж тем более, о ее мониторинге в реальном времени, разработчики антивирусов для линуксовых рабочих станций (разработчики Dr.Web не есть исключение) пока даже и не задумывались

 

После знакомства с новой версией продукта мнение не изменилось?

[lazarevee]

Если после последующей установки галки в чекбоксе "Запустить" проблем нет, то всё нормально.
А сообщение об ошибке объясняется тем, что при обновлении продукта произошел рестарт drweb-configd - об этом и написано в выводимом окне - компоненты нуждаются в перезапуске. Аналогичное окно будет выведено и в случае удаления продукта (в этом случае, после удаления - компоненты, действительно, уже не установлены)

Да, далее без ошибок всё работает.

[the Grey]

 

Уверен, что о проверке сканерами процессов в RAM, и уж тем более, о ее мониторинге в реальном времени, разработчики антивирусов для линуксовых рабочих станций (разработчики Dr.Web не есть исключение) пока даже и не задумывались

После знакомства с новой версией продукта мнение не изменилось?

 

Вижу-вижу что таки задумывались, а вот на сколько серьезно, судить сложно...

Хотя, если говорить про защиту файловой системы, то тут серьезный подход на лицо. Молодцы, действительно проделали большую работу

 

А вот о проверке процессов в RAM, пока такого не скажешь...

Ну да, добавили в "Проверку по требованию" возможность поставить галочку возле "Запущенные процессы", но как проверить что эта фишка работает?

При нажатии на "Проверить" сканеру требуется буквально какие-то доли секунды чтоб выполнить сканирование всех процессов висящих в RAM и вывести отчет о проверке...  что-то подозрительно быстро для серьезной проверки

Вот если бы удалось среди активных процессов спрятать eicar, и Док его выявил, тады - ДА ...а пока, как говаривал великий театральный режиссер, НЕ ВЕРЮ!

Сообщение было изменено the Grey: 22 Март 2014 - 17:26

[Igorn]

the Grey said

среди активных процессов спрятать eicar

Запустите под линуксом eicar - выявим

the Grey said

как проверить что эта фишка работает?

"Пулемёта я вам не дам"

Тут без вирусов для ОС Linux не обойтись

Сообщение было изменено Igorn: 22 Март 2014 - 19:23

[Igorn]

the Grey

Не могли бы попробовать временно удалить продукт? - хотелось бы посмотреть, что на этот раз останется (интересует, останется ли на этот раз /usr/share...) Для удаления должна быть доступна кнопка в меню запуска приложений

Сообщение было изменено Igorn: 22 Март 2014 - 19:27

[lazarevee]

А через wine считается ? Есть генератор икаров.

 Screenshot from 2014-03-23 22:54:36.png   464,43К   0 Скачано раз

Spoiler

 Screenshot from 2014-03-23 22:46:47.png   428,91К   0 Скачано раз

[lazarevee]

Ошибочка икары бракованные получились 

[Igorn]

Некорректный эксперимент - нужно проверять детект запускаемых вредоносных для ОС Linux файлов

[lazarevee]

Spoiler

 Screenshot from 2014-03-23 23:51:32.png   526,79К   0 Скачано раз

В памяти wine генератор вредилок не хочет бить, только билд.

[lazarevee]

winlock-и бьёт в памяти 

 Screenshot from 2014-03-24 00:33:43.png   863,48К   0 Скачано раз

[the Grey]

посмотреть, что на этот раз останется (интересует, останется ли на этот раз /usr/share...) Для удаления должна быть доступна кнопка в меню запуска приложений

Кнопка доступна, но анинсталлер по ней не получает повышения привилегий (работаю под ограниченным пользователем). Точнее сказать, он то пытается, но gksu отрабатывает не корректно и в результате анинсталлер с графическим интерфейсом не стартует, вместо него после ввода пароля рута стартует в терминале скрипт /opt/drweb.com/bin/uninst.sh, требующий от пользователя некоторой активности, подробности под спойлером:

Spoiler

Escalating privileges.
/usr/bin/gksu
Using /usr/bin/gksu.
/usr/bin/gksu "'/opt/drweb.com/bin/uninst-desktop'"

(gksu:7940): Gtk-WARNING **: Unable to locate theme engine in module_path: "pixmap",

(gksu:7940): Gtk-WARNING **: Unable to locate theme engine in module_path: "pixmap",

(gksu:7940): Gtk-WARNING **: Unable to locate theme engine in module_path: "pixmap",
GNOME_SUDO_PASS
sudo: 1 попытка ввода неверного пароля
grey отсутствует в файле sudoers. Данное действие будет занесено в журнал.
GNOME_SUDO_PASS
sudo: 1 попытка ввода неверного пароля
grey отсутствует в файле sudoers. Данное действие будет занесено в журнал.
GNOME_SUDO_PASS
sudo: 1 попытка ввода неверного пароля
grey отсутствует в файле sudoers. Данное действие будет занесено в журнал.
Escalating privileges.
/bin/su
Using /bin/su.
/bin/su root -c "'/opt/drweb.com/bin/uninst.sh'"
Пароль:


This script will help you remove Dr.Web packages

Do you wish to continue? (YES/no)
yes

Select the software you want to remove:
    [ ] 1 Dr.Web Bases (9.0.0.0)
    [ ] 2 Boost, third party C++ libraries needed for Dr.Web (9.0.0.0)
    [ ] 3 Dr.Web Common Files (9.0.0.0)
    [ ] 4 Dr.Web Configuration Daemon (9.0.0.0)
    [ ] 5 Dr.Web EPM - Library for X11 epm gui (9.0.0.0)
    [ ] 6 Dr.Web EPM - Dr.Web uninstaller (9.0.0.0)
    [ ] 7 Dr.Web Secutiry Suite agent (9.0.0.0)
    [ ] 8 Dr.Web Antivirus Filecheck backend (9.0.0.0)
    [ ] 9 Dr.Web GUI (9.0.0.0)
    [ ] 10 Essential third party libraries needed for Dr.Web on x86 systems (9.0.0.0)
    [ ] 11 OpenSSL - Secure Sockets Layer and cryptography shared libraries and tools (9.0.0.0)
    [ ] 12 Google protobuf needed for Dr.Web (9.0.0.0)
    [ ] 13 Qt, third party C++ libraries needed for Dr.Web (9.0.0.0)
    [ ] 14 Dr.Web Antivirus Daemon SE (9.0.0.0)
    [ ] 15 Dr.Web Spider (9.0.0.0)
    [ ] 16 Dr.Web Update (9.0.0.0)
    [ ] 17 Dr.Web Desktop Security Suite (for Linux workstations) documentation (9.0.0.0)

To select a package you want to remove or deselect some previously
selected package - enter the corresponding package number and press Enter.

You may enter A or All to select all the packages, and N or None to deselect all of them.
Enter R or Remove to remove selected packages.
Enter 0, Q or Quit to quit the dialog.
All values are case insensitive.
Select: All

Select the software you want to remove:
    [X] 1 Dr.Web Bases (9.0.0.0)
    [X] 2 Boost, third party C++ libraries needed for Dr.Web (9.0.0.0)
    [X] 3 Dr.Web Common Files (9.0.0.0)
    [X] 4 Dr.Web Configuration Daemon (9.0.0.0)
    [X] 5 Dr.Web EPM - Library for X11 epm gui (9.0.0.0)
    [X] 6 Dr.Web EPM - Dr.Web uninstaller (9.0.0.0)
    [X] 7 Dr.Web Secutiry Suite agent (9.0.0.0)
    [X] 8 Dr.Web Antivirus Filecheck backend (9.0.0.0)
    [X] 9 Dr.Web GUI (9.0.0.0)
    [X] 10 Essential third party libraries needed for Dr.Web on x86 systems (9.0.0.0)
    [X] 11 OpenSSL - Secure Sockets Layer and cryptography shared libraries and tools (9.0.0.0)
    [X] 12 Google protobuf needed for Dr.Web (9.0.0.0)
    [X] 13 Qt, third party C++ libraries needed for Dr.Web (9.0.0.0)
    [X] 14 Dr.Web Antivirus Daemon SE (9.0.0.0)
    [X] 15 Dr.Web Spider (9.0.0.0)
    [X] 16 Dr.Web Update (9.0.0.0)
    [X] 17 Dr.Web Desktop Security Suite (for Linux workstations) documentation (9.0.0.0)

To select a package you want to remove or deselect some previously
selected package - enter the corresponding package number and press Enter.

You may enter A or All to select all the packages, and N or None to deselect all of them.
Enter R or Remove to remove selected packages.
Enter 0, Q or Quit to quit the dialog.
All values are case insensitive.
Select: Remove

A list of packages marked for removal:
    drweb-bases
    drweb-boost151
    drweb-common
    drweb-configd
    drweb-epm9.0.0-libs
    drweb-epm9.0.0-uninst
    drweb-esagent
    drweb-filecheck
    drweb-gui
    drweb-libs
    drweb-openssl10
    drweb-protobuf7
    drweb-qt
    drweb-se
    drweb-spider
    drweb-update
    drweb-workstations-doc
Are you sure you want to remove the selected packages? (YES/no)

Для того чтоб таки запустить анинсталлер с графическим интерфейсом, выполнил по Alt+F2 команду gksu -w /opt/drweb.com/bin/remove.sh (собственно команда взята из /usr/share/gnome/applications/drweb-uninst.desktop, т.е. из той доступной кнопки о которой упоминалось выше, только добавил для поднятия привилегий gksu -w)

И вот что выяснилось: терминальный вариант анинсталлера удаляет свои хвосты из /usr/share/gnome/applications, а графический нет.

Скриншоты по теме, кому интересно:

Spoiler

 Снимок экрана от 2014-03-22 20:07:19.png   676,59К   0 Скачано раз  Снимок экрана от 2014-03-22 20:11:25.png   492,67К   1 Скачано раз  Снимок экрана от 2014-03-22 20:14:16.png   561,79К   0 Скачано раз  Снимок экрана от 2014-03-22 20:24:57.png   548,47К   0 Скачано раз  Снимок экрана от 2014-03-22 20:25:17.png   511,28К   0 Скачано раз  Снимок экрана от 2014-03-22 20:29:29.png   340,22К   0 Скачано раз  Снимок экрана от 2014-03-22 20:37:45.png   205,86К   0 Скачано раз  Снимок экрана от 2014-03-22 21:43:04.png   203,52К   0 Скачано раз

[the Grey]

winlock-и бьёт в памяти

Судя по скрину, бъет он его в кеше, т.е. на диске...

[Igorn]

the Grey

 , большое спасибо за подробную информацию!

 

 

но gksu отрабатывает не корректно

Под спойлером видна причина : grey отсутствует в файле sudoers

 

 

 

Кнопка доступна, но анинсталлер по ней не получает повышения привилегий (работаю под ограниченным пользователем)

Не могли бы попробовать работать под пользователем, которого вводили первым на этапе инсталляции ОС - он является администратором системы по умолчанию. Тогда удаление должно работать корректно

Сообщение было изменено Igorn: 23 Март 2014 - 10:32

[lazarevee]

 

winlock-и бьёт в памяти

Судя по скрину, бъет он его в кеше, т.е. на диске...

Если winlock попадёт в память будет поздно 

[the Grey]

Igorn, на самом деле, grey и есть тот пользователь который был создан на этапе инсталляции ОС, просто затем (при первом же запуске системы) был создан пароль для root`а, а grey урезан в правах и переведен в Обычные... Позже создавались и другие пользователи, например, для обеспечения безопасности ftp сервера, был создан пользователь виртуальных хостов с отключенным шелл, но все это вряд ли может как-то влиять на работу под пользователем grey. Тем не менее чуть позже попробую вернуть для grey отнятые у него привилегии и посмотрим что из этого получится   

[Igorn]

чуть позже попробую вернуть для grey отнятые у него привилегии и посмотрим что из этого получится

После возврата административных привилегий он сможет удалять продукт, не прибегая к использованию пароля root

Сообщение было изменено Igorn: 23 Март 2014 - 13:08

[the Grey]

После возврата административных привилегий он сможет удалять продукт

Да, но хотелось бы иметь возможность удалять продукт, оставаясь в категории Обычные

 

 

 

Позже создавались и другие пользователи

вспомнил, что еще иногда менялось имя хоста (hostname), но и это тоже не должно как-то влиять...

Сообщение было изменено the Grey: 23 Март 2014 - 13:13

[Igorn]

хотелось бы иметь возможность удалять продукт, оставаясь в категории Обычные

Не дело это - обычным пользователям антивирусную защиту удалять (как и любое другое установленное ПО. Да и для установки софта, как известно, тоже соответствующие права нужны)

А так - всегда пожалуйста, но только если перед этим root разрешит делать это пользователю grey (напомню, пока "grey отсутствует в файле sudoers")

Сами же жаловались, что легко защиту отключить, "убив все обнаруженные процессы Доктора". Но ведь убивали то, наверняка, root-ом

Сообщение было изменено Igorn: 23 Март 2014 - 13:34