Administratorhandbuch:Antivirus

Aus Delixs
Version vom 20. Februar 2006, 18:56 Uhr von Schoffer (Diskussion | Beiträge) (ich, man .. entfernt)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen
Uberarbeiten Diese Seite sollte nochmals überarbeitet werden. Eine Begründung befindet sich in der Regel unter Diskussion (oben).


Der Virenscanner ClamAV

Clamav ist ein freies Projekt für einen (Linux-)Virenscanner. Die Homepage finden Sie unter http://www.clamav.net .


Erste Einstellungen nach der Installation des Servers

Bei der Installation von Arktur haben Sie bereits eine zum Zeitpunkt der Zusammenstellung der Arktur-CD aktuelle Clamav-Version mitinstalliert. Sie könnten also sofort mit der Virensuche anfangen, wären da nicht die veralteten Virensignaturen.

Um die Virensignaturen von Hand auf den neuesten Stand zu bringen, müssen Sie als root auf der Arkturkonsole den Befehl

freshclam

eingeben (und nicht vergessen haben, vorher das Internet einzuschalten). Nun holt sich Clamav die neuesten Virensignaturen.

Einige Zeit nach der Fertigstellung der Arktur-CD ist sicherlich eine neue fehlerbereinigte Clamav-Version herausgekommen. Sie merken dies daran, dass freshclam meldet "Your ClamAV installation is OUTDATED". In diesem Fall starten Sie als root das Clamav-Update-Skript durch Eingabe von

/root/bin/clamavupdate

Damit wird die neueste Clamav-Version automatisch heruntergeladen, kompiliert und installiert.

Sollte das Skript clamavupdate nicht mehr funktionieren, weil die mitgelieferte Clamavversion in die Jahre gekommen ist, müssen Sie sich die neuste Version herunterladen und selbst komplilieren. Dies geht problemlos und ist unten im Abschnitt Clamav selbst kompilieren und installieren beschrieben.

Clamav im Dauerbetrieb

Haben Sie wie im letzten Abschnitt beschrieben, Clamav auf den neuesten Stand gebracht, so übernimmt der tägliche Cronjob das Aktualisieren der Virensignaturen (Achtung: Das geht nur dann gut, wenn sie Nachts zwischen Mitternacht und ein Uhr morgens das Internet offen haben - Standby geht natürlich auch). Den Befehl freshclam brauchen Sie also nicht mehr von Hand einzugeben. Sie können es natürlich trotzdem tun.

Damit Sie den Virenscan nicht von Hand mit dem Befehl clamscan .... starten müssen, liegt in "/root/bin" das Skript clamavscan. Voreingestellt ist, dass in "/home" und "/var/spool/mail" nach Viren gescannt wird. Passen Sie dieses Skript an Ihre Bedürfnisse an. Anschließend sollten Sie für das Scannen einen cronjob erstellen. Geben Sie dazu ein

crontab -u root -e

Dann erstellen Sie eine neue Zeile mit dem gewünschten Inhalt, z.B. fürs tägliche Scannen

0 1 * * * /root/bin/clamavscan

Jetzt sollten Sie nur noch einen Cronjob fürs automatische Update erstellen, z.B.

30 0 * * 6 /root/bin/clamavupdate

Damit sollte Ihre einzige weitere Arbeit mit Clamav im Lesen der Meldungen des Virenscanners bestehen.

Praktische Erfahrungen und weitere Virenscanner

Clamav scannt normalerweise zuverlässig. Er identifiziert allerdings auch manchmal einwandfreie Dateien als mit Viren verseucht. Im Zweifelsfall ist ein zweiter Virenscanner sinnvoll. Zudem ist es auch schon vorgekommen, dass verseuchte Dateien erst nach einigen Tagen als solche erkannt wurden.

Der größte Nachteil von Clamav ist das etwas langsame Scannen. Bei einem Xeon mit 3 GHz und SATA-Laufwerken (ohne Raid) ist es etwa eine Stunde für 10 GByte Daten. Andererseits ist mir Clamav beim Scannen noch nie abgestürzt.

Weitere Virenscanner für Arktur können sein :

Antivir
Bitdefender (Freeware)
F-Prot

Diese Liste ist sicher unvollständig. Sie enthält nur Virenscanner, die auf Arktur sicher funktionieren (siehe auch die Anleitungen unter Tools:Virenschutz).


Clamav selbst kompilieren und installieren (nur bei Neuinstallation nötig)

Sie laden sich clamav-xx.tar.gz (wobei xx die Versionsnummer ist) von http://www.clamav.net herunter und kopieren die Datei nach T:. Dann nehmen Sie als root den MC und gehen nach "/home/tmp" und öffnen dort die Datei und kopieren das Verzeichnis clamav-xx in die Wurzel "/" (oder in "/tmp/").

Nun kann die Installation losgehen:

Sie wechseln nach "/clamav-xx" (oder "/tmp/clamav-xx") und geben dort ./configure ein:

 Arktur:/clamav-xx # ./configure
 checking build system type... i586-pc-linux-gnu
 checking host system type... i586-pc-linux-gnu
 checking target system type... i586-pc-linux-gnu
 creating target.h - canonical system defines
 ...
 checking if gcc supports -fno-rtti -fno-exceptions... no
 ...
 checking sys/int_types.h usability... no
 checking sys/int_types.h presence... no
 checking for sys/int_types.h... no
 checking for dlfcn.h... (cached) yes
 checking for inttypes.h... (cached) yes
 checking sys/inttypes.h usability... no
 checking sys/inttypes.h presence... no
 checking for sys/inttypes.h... no
 checking for memory.h... (cached) yes
 checking ndir.h usability... no
 checking ndir.h presence... no
 checking for ndir.h... no
 ...
 checking sys/filio.h usability... no
 checking sys/filio.h presence... no
 checking for sys/filio.h... no
 ...
 checking for bind in -lsocket... no
 ...
 checking for strlcpy... no
 checking for strlcat... no
 ...
 checking for __gmpz_init in -lgmp... no
 checking for mpz_init in -lgmp... no
 configure: WARNING: ****** GNU MP 2 or newer NOT FOUND - digital 
 signature support will be disabled !
 checking for curl >= 7.10.0... FAILED
 configure: WARNING: curl-config was not found
 ...
 checking for readdir_r... support disabled
 checking for ctime_r... yes, and it takes 2 arguments
 checking for clamav in /etc/passwd... yes, user clamav and group clamav
 ...
 config.status: creating clamav-config.h
 config.status: executing depfiles commands
 Arktur:/clamav-xx #

Die Meldungen mit "... no" stehen nur hier, damit Sie sehen, dass das keine nachteiligen Auswirkungen hat - die Entwickler werden wissen, ob dort noch was wichtiges fehlt.

Je nach ClamAV-Version können die Meldungen auch anders aussehen. Wichtig ist nur, dass nicht mit einer Fehlermeldung abgebrochen wird.

Jetzt starten Sie das Kompilieren und Installieren mit dem Befehl make install:

 Arktur:/clamav-xx # make install
 ... dauert ...
 test -z "/usr/local/bin" || mkdir -p -- "/usr/local/bin"
 /usr/bin/install -c 'clamav-config' '/usr/local/bin/clamav-config'
 test -z "/usr/local/lib/pkgconfig" || mkdir -p -- "/usr/local/lib/pkgconfig"
 /usr/bin/install -c -m 644 'libclamav.pc' '/usr/local/lib/pkgconfig/libclamav.pc'
 make[2]: Leaving directory `/clamav-xx'
 make[1]: Leaving directory `/clamav-xx'
 Arktur:/clamav-xx #

Zum Schluss sollten Sie noch aufräumen. Sie geben dazu make clean ein:

 Arktur:/clamav-xx # make clean
 Making clean in clamav-milter
 make[1]: Entering directory `/clamav-xx/clamav-milter'
 ...
 make[1]: Leaving directory `/clamav-xx/libclamav'
 Making clean in .
 make[1]: Entering directory `/clamav-xx'
 rm -rf .libs _libs
 rm -f *.lo
 make[1]: Leaving directory `/clamav-xx'
 Arktur:/clamav-xx #

Damit sollten Sie fertig sein, da die richtigen Konfigurationsdateien ja bereits existieren. Zum Abschluss löschen Sie nun noch das Verzeichnis clamav-xx.

Auswertung

Die log-Files von clamav sind ziemlich lang, deshalb hat Jörg Fiebig ein kleines Script geschrieben, das auch im Nachhinein eine einfache Ansicht des Scanvorganges bietet. Sie können es in der jeweils aktuellsten Version von den Arktur-Seiten von Jörg Fiebig [1] herunterladen, auf Arktur entpacken und nach "/home/www/cgi-bin" kopieren. Es wird dann mit http://arktur/cgi-bin/clamavlog.pl in einem beliebigen Browser aufgerufen.

Voraussetzung ist jedoch, dass Sie clamav in der folgenden Form aufrufen:

clamscan -r -i --stdout /home > /var/log/clamscan.log

Natürlich sind auch weitere Optionen, wie --remove möglich, nur die Umleitung des Logfiles nach "/var/log/clamscan.log" sowie die Option --stdout sind wichtig!



zurück | Hauptseite