La casistica: il cliente mi mette a disposizione un’ottima macchina virtuale Win2k3 R2 Sp2 dove installo tutta la parte server del Sophos che proteggerà la sede centrale e alcuni altri computer. Di “quegli altri computer” alcuni sono portatili che vengono giustamente sballottati in giro per le varie sedi. Come aggiornarli? Semplice, direte voi.
Generalmente si espone il server Sophos su rete esterna con IIS (consigliato da Sophos, sconsigliato da me, tzè! :P ) e si da accesso everyone in lettura da fuori. Una cosa simile a questa di seguito (realizzata però con Apache, meglio né!):
Adesso arriva il “però“:
- la macchina non ha Samba installato;
- non posso installare Samba (ordine dall’alto) ;
- è una macchina in DMZ senza indirizzo di rete interna;
- ho solo un accesso SSH sul quale ho messo autorizzazioni di scrittura nella cartella HTML (quella contenente il sito web visibile dall’esterno);
- considerando le prime due condizioni Sophos non è chiaramente in grado di creare una C.I.D. che si aggiorni automaticamente su quella macchina.
Perché non scriptare e appoggiarsi all’ottimo PSCP? Si crea un nuovo file di testo, lo si rinomina “quellochevipare.bat” e lo si modifica per poter inserire una stringa simile a questa:
E:\autoupdate\pscp -r -l UTENTE -pw PASSWORD "E:\Sophos Sweep for NT\ESXP\*" NOMEMACCHINALINUX:/home/httpd/html/www.SITOWEB.com/sav/ESXP/ exit
Dove:
- E:\autoupdate…: deve essere sostituito con la posizione assoluta dove risiede il programma pscp.
- UTENTE: deve essere sostituito da uno user valido e autorizzato alla scrittura nella cartella HTML della macchina Linux.
- PASSWORD: provate a lavorare di fantasia … :P
- E:\Sophos…: deve essere sostituito con la cartella contenente il pacchetto di installazione Sophos sul server Windows che ospita l’antivirus.
- NOMEMACCHINALINUX: è possibile specificare sia il nome (se correttamente risolto dai DNS) che l’IP della macchina. Chiaramente dopo il :/ va specificato il percorso completo dove andare ad inserire i pacchetti.
Morale della favola: ogni 60 minuti (creando un’apposita operazione pianificata in Windows) il batch viene lanciato e tutti i file vengono copiati sulla share Linux aggiornando le definizioni Sophos. Una policy di aggiornamento farà puntare i client a quell’indirizzo web aggiornandoli nel caso in cui siano uscite nuove definizioni. Si elude così la necessità di creare una CID Sophos dalla Library :)
Cheers!
Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)
