Linux als SOHO-Server

für Linux- und Windows-Clients
http://linux.eusterholz.dyndns.org

Kapitel:

Home
Debian Installation
Debian Etc.
Internet-Zugang
Telnet
FTP
r-Utilities
SSH
Printing
NTP
Nameserver
NFS/NIS/Automount
Samba (SMB-Server)
Apache (WEB-Server)
Modem / ISDN
Backup
Etc.

Viren-Scanner

[ Viren-Scanner ] [ Rootkits ]

Der Einsatz von Viren-Scannern auf Linux-Systemen ist zum Teil sehr umstritten. Linux-Systeme gelten im Vergleich zu Systemen mit Microsoft Betriebssystem zwar als relativ sicher, zu Problemen mit Schad-Software kann es aber auch hier kommen. Auch sollte einen klar sein, dass Linux trotz seiner resistenteren Architektur, auch nicht unantastbar ist. Spätestens beim Einsatz von Linux als E-Mail- oder File-Server für Windows-Systeme sollte ein Viren-Scanner auf dem Server eingesetzt werden, der Schädlinge frühzeitig erkennt und ihre Ausbreitung verhindert. Auch wenn in einer reinen Linux-Umgebung zumeist Windows-Viren dem Linux-System nichts anhaben können, müssen diese nicht nicht gesammelt, geschweige verteilt werden.

Viren-Scanner lassen sich grob in zwei Kategorien einteilen:
Das sind zum einen so genannte 'On-Demand'-Scanner (klassische Virenscanner), die explizit aufgerufen werden müssen (z.B. auf der Kommandozeile), damit sie nach Schädlingen suchen. Diese Scanner können natürlich auch z.B. via 'cron'-Job regelmäßig gestartet werden. Der Nachteil dieser Methode ist, dass ein von einem Virus befallenes System schon eine Menge Schaden angerichtet haben kann, bevor die Gefahr erkannt wird.
Die zweite Kategorie bringt zusätzlich einen 'On-Access'-Wächter mit ein, welcher permanent läuft und die Dateizugriffe überwacht. Kommt es zu einem positiven Befund, räumt er die befallene Datei beiseite, löscht oder desinfiziert sie. Ein Systemverwalter muss sich also nicht darum kümmern, den Datenbestand zu prüfen, und erhält Alarmmeldungen schon beim ersten Befall.

Auf der folgenden Seite wird die Installation und Handhabung von zwei bekannten 'On-Demand'-Scannern unter Debian-Linux vorgestellt. Dabei handelt es sich um den freien Scanner 'Clam AntiVirus' und der kommerziellen Lösung von 'Avira AntiVir'. Wobei der Einsatz von 'Avira AntiVir Personal' für Privatpersonen kostenfrei ist.

Clam AntiVirus

'Clam AntiVirus', oder auch kurz 'ClamAV' bezeichnet, ist ein Open-Source (GPL) Anti-Virus-Werkzeugsatz für Unix/Linux. Das komplette Paket 'ClamAV' bietet einen Viren-Scanner für die Kommandozeile, ein Tool für die automatische Aktualisierung und einen eigenständigen Dämon. Mit 'ClamAV' verfügt man so über einen schnellen Multi-Scanner, der in der Lage ist alle gängigen Dateiformate und E-Mail-Anhänge auf Viren zu überprüfen.

Unter Debian lässt sich  die Kommandozeilenversion von 'ClamAV' einfach mittels: 'aptitude install clamav' installieren. Dabei werden die Basis-Komponenten und das automatische Update-Tool: 'freshclam' mitinstalliert, auch sollten sonstige Abhängigkeiten während der Installation aufgelöst werden. Nach der Installation sollte der Kommandozeilen-Version einsatzbereit sein. Mit 'clamscan --help' erscheint eine Liste der zur Verfügung stehenden Optionen. Hier ein Beispiel-Aufruf von 'clamscan' zum Scannen:

debian:~# clamscan --recursive --infected /home
/home/localuser/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 527778
Engine version: 0.94.2
Scanned directories: 74
Scanned files: 95
Infected files: 1
Data scanned: 0.90 MB
Time: 9.640 sec (0 m 9 s)
debian:~#

Beim Aufruf durchsucht das '/home'-Verzeichnis rekursiv (Option '--recrusive') nach schädlicher Software. Die Option '--infected' besagt, dass nur erkannte Dateien ausgegeben werden. In diesem Beispiel wurde der Test-Virus: 'eicar.com' gefunden, grüne Markierung.
Anstatt der Option: '--infected' können auch '--move' oder '--remove' eingesetzt werden, um die betroffene Datei(en) sofort zu isolieren oder zu eliminieren.

Mit dem Kommando: 'freshclam' kann die Datenbank für Viren-Muster (Viren-Pattern) aktualisiert werden. Normalerweise ist es jedoch nicht notwendig einen manuellen Update anzustoßen, da dieses eigentlich vom 'freshclam'-Dämon automatisch erledigen wird. Der Dämon prüft zyklisch nach Updates für neue Viren-Pattern. Die Konfigurationsdatei hierfür befindet sich unter: '/etc/clamav/freshclam.conf'. Innerhalb der Konfigurationsdatei können die Update-Server, Update-Intervalle, Log-Informationen, etc. angegeben werden. Die Log-Datei für 'freshclam' befindet sich unter normalerweise unter: '/var/log/clamav/freshclam.log'.

Weiterhin besteht die Möglichkeit den Dämon 'clamd' zu installieren, welcher eine Art Pipe für Scann-Aufträge zur Verfügung stellt. Die Scann-Aufräge können über einem Netzwerkport oder einer Socket-Anfragen entgegengenommen werden. So genannte 'Third Party Addons' können so den Viren-Scanner in Mail- und File-Servern sowie Proxys- und Web-Servern einzubinden.
Die Installation vom 'clamd' kann unter Debian einfach mit: 'aptitude install clamav-daemon' erfolgen, danach sollte der Dämon auch automatisch mit der Default-Konfigurationsdatei starten. Die Konfigurationsdatei 'clamd.conf' befindet sich unter '/etc/clamav'. Es besteht die Möglichkeit diese mit dem Kommando: 'dpkg-reconfigure clamav-base' zu konfigurieren.
Der Dämon 'clamd' scannt von sich aus nichts, er benötigt hierzu immer einen Client der einen Auftrag hierfür gibt. Ein einfachster Client hierfür ist der 'clamdscan', der wie der 'clamscan' genutzt werden kann. 'clamdscan' wird mit dem Paket 'clamav-daemon' mitinstalliert, hier ein Beispielaufruf mittels 'clamdscan':

debian:~# clamdscan --log=/var/log/clamav/scan_report.log --move=/tmp /usr/share/
--------------------------------------
/usr/share//clamav-testfiles/clam.exe.bz2: ClamAV-Test-File FOUND
moved: /usr/share//clamav-testfiles/clam.exe.bz2 to '/tmp//clam.exe.bz2'
/usr/share//clamav-testfiles/clam.zip: ClamAV-Test-File FOUND
moved: /usr/share//clamav-testfiles/clam.zip to '/tmp//clam.zip'
/usr/share//clamav-testfiles/clam.cab: ClamAV-Test-File FOUND
moved: /usr/share//clamav-testfiles/clam.cab to '/tmp//clam.cab'
/usr/share//clamav-testfiles/clam.exe: ClamAV-Test-File FOUND
moved: /usr/share//clamav-testfiles/clam.exe to '/tmp//clam.exe'

----------- SCAN SUMMARY -----------
Infected files: 4
Time: 672.671 sec (11 m 12 s)
debian:~#

Bei diesem Beispiel wird das Verzeichnis: '/usr/share' inklusiv aller Unterverzeichnisse gescannt, Scann-Funde werden ins Verzeichnis '/tmp' verschoben, weiterhin wird eine log-Datei '/var/log/clamav/scan_report.log' erzeugt.

Für 'ClamAV' stehen auch grafische Bedienungsprogramme (Frontends) zur Verfügung, sowohl für die Gnome- als auch die KDE-Oberfläche. Auf diese sekundären Programme wird jedoch hier nicht weiter eingegangen.

Avira AntiVir für Linux

'Avira AntiVir ist ein Antivirenprogramm, dass unter Windows und Linux läuft. Die Personal-Version ist für den privaten Einsatz kostenlos. Unter Linux kann das Programm entweder über die Kommandozeile oder über eine großteils deutschsprachige grafische Oberfläche bedient werden.

Zunächst hier eine kleine Installationsanleitung, wie 'Avira AntiVir Personal' unter Debian-Linux installiert werden kann:

cd /tmp
wget http://dlce.antivir.com/down/unix/packages/antivir-workstation-pers.tar.gz
wget http://dlce.antivir.com/down/windows/hbedv.key
tar xvpzf antivir-workstation-pers.tar.gz
cd antivir-workstation-pers*

Zunächst ist als Benutzer: 'root' in das '/tmp'-Verzeichnis zu wechseln, um dort die Installationsdatei und Lizenzdatei für 'Avira AntiVir Personal' herunterzuladen. Anschließend ist die Archiv-Datei zu entpacken und in das neu erstellte Verzeichnis zu wechseln.
Nun kann die eigentliche Installation von 'Avira AntiVir' beginnen:

./install

Während der Installation sind einige Fragen zu beantworten, bei Unklarheiten sollte zunächst in der Dokumentation nach Hilfe gesucht werden. Auch wird das Tool für automatische Updates konfiguriert. Nach der erfolgreichen Installation sollte zunächst ein Update geschehen, welches einfach mit:

antivir --update

angestoßen werden kann, danach sollte der Viren-Scanner einsatzbereit sein.

Generell wird der Viren-Scanner mit folgenden Syntax aufgerufen:

antivir --<OPTION(s)>

Eine komplette Übersicht kann z.B. mit der Option: '--help' gewonnen werden. 'root'-Rechte werden eigentlich nur in Ausnahmefällen benötigt, etwa beim Update. Hier einige der elementarsten Optionen:

• --allfiles  Synonym für --scan-mode=all
• --alltypes  Synonym für --with-alltypes (obsolet)
• --info      Zeigt eine Liste der Erkennung
• -del        Löscht betroffene Dateien
• -s          Unterverzeichnisse durchsuchen
• -z          Synonym für --scan-in-archive (Scan in Archiven)

Im folgenden eine praktikabler Beispielaufruf, der das '/home'-Verzeichnis durchsucht:

debian:~# antivir --allfiles -s -z -del /home
AntiVir / Linux Version 2.1.12-141
Copyright (c) 2008 by Avira GmbH.
All rights reserved.

VDF-Version: 7.1.2.210 erzeugt 24 Mär 2009

Ausschließlich für privaten, nicht-kommerziellen Gebrauch bestimmt.
AntiVir-Lizenz: 149996 für Avira AntiVir PersonalEdition Classic

Schließe /sys/ vom Scan aus (ist ein spezielles FS)
Schließe /proc vom Scan aus (ist ein spezielles FS)
Prüfe Laufwerk/Pfad (list): /home
/home/localuser/eicar.com
Datum: 23.03.2009 Zeit: 08:46:56 Größe: 68
ALERT: [Eicar-Test-Signature] /home/localuser/eicar.com <<< Enthält Code des Eicar-Test-Signature-Virus
Die Datei wurde gelöscht.



--------- Suchergebnisse ---------
Verzeichnisse: 75
Gescannte Dateien: 113
Alarme: 1
Verdächtig: 0
Repariert: 0
Gelöscht: 1
Umbenannt: 0
Verschoben: 0
Benötigte Zeit: 00:00:01
----------------------------------
Vielen Dank für den Einsatz von AntiVir.
debian:~#

Die grün markierten stellen zeigen einen Fund an.

Möchte man 'Avira AntiVir' erneut installieren bzw. konfigurieren so kann das Installations-Script './install' erneut durchlaufen werden. Mit '/usr/lib/AntiVir/configantivir' kann der Update-Mechanismus verändert werden.

Anmerkungen

Auch sollte die Funktionsfähigkeit von Viren-Scannern geprüft werden, hierfür sollten natürlich keine echten Viren benutzt werden, sondern speziell zum Testen vorgesehener Test-Viren. Unter Debian kann z.B. hierzu das zu 'ClamAV' gehörende Paket 'clamav-testfiles' installiert werden. Nach der Installation befinden sich die Test-Viren im Verzeichnis '/usr/share/clamav-testfiles'. Weitere Test-Viren können von der der amerikanischen EICAR-Organisation heruntergeladen werden, siehe Link unten.

Auch sollten die 'On-Demand'-Scanner, regelmäßig angestoßen werden. Hierzu bieten sich 'cron'-Jobs an, wie z.B. 'clamav-cron' siehe Link unten, ein einfaches Shell-Skript für den Einsatz von 'ClamAV'. Weiterhin sind selbstverständlich die Log-Dateien zu prüfen, ob Viren-Pattern-Updates stattgefunden haben oder ob Schädlinge gefunden wurden.

Natürlich können die beiden vorgestellten 'On-Demand'-Scanner, durch den Einsatz von zusätzlichen Komponenten, als Unterbau (Scann-Engine), für spezielle Aufgaben genutzt werden, wie z.B. spezielle File-, Mail- oder Proxy-Scanner, welche dann permanent das System überprüfen. Schlagworte für solche 'Third Party Addons' bezogen auf einen Fils-Server sind: 'samba-vscan' oder 'Dazuko'. Im Bezug auf  E-Mail-Server sind 'milter' oder 'amavisd' zu nennen.

Unter Debian gibt es das sogenannte 'debian-volatile'-Projekt, welches ein Repository mit aktuellen Paketen verschiedener Programme zur Verfügung stellt, so dass Virenscanner und andere schnell veraltende Software auf einfache und vor allem konsistent auf den neuesten Stand gehalten werden können. Für 'ClaimAV' kann diese Paket genutzt werden; mehr da siehe Link unten.

Weitere Infos

[ Home ] [ Viren-Scanner ] [ Rootkits ]

letzte Änderung: 31. März 2009

Copyright © 2004 Norbert Eusterholz