• Tutorial

В последние месяцы меня преследуют проблемы с вирусами на моих файловых серверах. То Nod32 блокирует поддомены, то Касперский вносит сайт в черный список. Меня это никак не может радовать и я принял решение настроить какой нибудь антивирус.

На всех серверах уже установлен и настроен Clam AntiVirus . Его я использовал несколько лет назад, но вирусы класса Trojan-SMS.J2ME он к сожалению не всегда находит.

Изучив результаты Google я толком так ничего и не нашел.

Обращаясь в очередной раз в службу поддержки Касперского с просьбой убрать сайт из списка подозрительных я наткнулся на пунктик kaspersky for linux file server . Его то я и решил протестировать.

Поход в Google за помощью в установке и настройке этого антивируса тоже не дал результата. Все результаты ведут на сайт поддержки Касперского.

Неужели никто не ставил их дистрибутив на своих файловых серверах? Может есть какие то другие решения?

Ответы на эти вопросы для меня останутся тайной. Я остановился на указанном выше продукте и решил его протестировать.

Тестовый файл лицензии запрашиваем на сайте тех поддержки. Ответ приходит через несколько часов.

Приступим к установке

# dpkg -i kav4fs_8.0.1-145_i386.deb dpkg: error processing kav4fs_8.0.1-145_i386.deb (--install): package architecture (i386) does not match system (amd64) Errors were encountered while processing: kav4fs_8.0.1-145_i386.deb

Упс. У нас же amd64. А других дистрибутивов то у Касперского нет. Google тоже не отвечает.

#dpkg -i --force-architecture kav4fs_8.0.1-145_i386.deb (Reading database ... 38907 files and directories currently installed.) Unpacking kav4fs (from kav4fs_8.0.1-145_i386.deb) ... Setting up kav4fs (8.0.1-145) ... Starting Kaspersky Lab Framework Supervisor: kav4fs-supervisor. Kaspersky Anti-Virus for Linux File Server has been installed successfully, but it must be properly configured before using. Please run /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl script manually to configure it.

Прокатило:). Пробуем настроить.

# /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl Kaspersky Anti-Virus for Linux File Server version 8.0.1.145/RELEASE Installing the license The key file (a file with the .key extension) contains information about your license. You need to install it to use the application. To install it now, enter the path to your key file (or enter an empty string to continue without installing the key file): /xxx/xxx.key The license from /xxx/xxx.key has been installed. Configuring the proxy settings to connect to the updates source If you use an HTTP proxy server to access the Internet, you need to specify its address to allow the application to connect to the updates source. Please enter the address of your HTTP proxy server in one of the following formats: proxyIP:port or user:pass@proxyIP:port. If you don"t have or need a proxy server to access the Internet, enter "no" here, or enter "skip" to use current settings without changes. : Downloading the latest application databases The latest databases are an essential part of your server protection. Would you like to download the latest databases now? (If you answer "yes", make sure you are connected to the Internet): : nabling scheduled updates of the application databases Would you like to enable scheduled updates? [N]: Setting up the kernel-level real-time protection Would you like to compile the kernel-level real-time protection module? : no Would you like to disable the real-time protection? : yes Warning: The real-time protection is DISABLED. Error: The kernel-level real-time protection module is not compiled. To manually recompile the kernel-level real-time protection module, start /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --build[=PATH]. Setting up the Samba server real-time protection Error: The installer couldn"t find a Samba server on your computer. Either it is not installed, or is installed to an unknown location. If the Samba server is installed, specify the server installation details and enter "yes". Otherwise, enter "no" (the Samba server configuration step will be interrupted): : You can configure Samba server protection later by running the initial configuration script again by executing /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba The real-time protection of Samba server was not setup. You can run the initial configuration script again by executing /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba Setting up the Web Management Console Warning: Password file not found, Kaspersky Web Management Console will not be started until correct password is set! Would you like to set password for Kaspersky Web Management Console? : Starting Kaspersky Web Management Console: kav4fs-wmconsole: password file not found! failed! You can change password for Kaspersky Web Management Console by executing /opt/kaspersky/kav4fs/bin/kav4fs-wmconsole-passwd Starting the real-time protection task The task has been started, runtime ID: 1341314367.

Real-time protection меня как бы вообще не интересует. Мне нужно только проверять указанный файл и получать результат проверки.

Пробуем тестовый вирус

Создаем тестовый файл virus с содержимым

X5O!P%@AP. Кроме того, доля рынка настольных систем у Linux очень мала, а именно она часто является главным мотивом для взломщиков. Все это порождает вполне резонный вопрос: чем проникновение в Linux может пригодиться злоумышленнику?

Вопреки мифам, иммунитет Linux к вирусам велик, но не безмерен. Эксплойты для кроссплатформенных технологий, типа Java и Flash, приложимы к Linux в той же мере, как и к другим операционным системам. А так как Linux проник на промышленный рынок и web-серверы, вторжения становятся гораздо более доходными, чем были раньше. Данные можно украсть и продать «похитителям личностей» или использовать для создания ботнетов и другой противоправной деятельности.

Если в сети есть компьютеры с Windows (или с двойной загрузкой), Linux может стать «тихой гаванью» для вредоносного ПО Windows, которое может расползтись по локальным дискам Windows или размножиться по всей сети. Хотя коммерческие брандмауэры настольных систем отчасти сдерживают эту угрозу, клиентские компьютеры, получающие вредоносные пакеты с доверенного устройства локальной сети, будут в опасности. Утверждение спорное, почему бы не исключить компьютеры с Linux из числа "доверенных" если есть подозрение, что там могут находиться вирусы

Но прежде чем вы спишете со счетов все свои предыдущие мнения о безопасности Linux-окружения, рассмотрим кое-какие цифры.

По оценкам из различных источников, число эксплойтов для Windows в несколько тысяч раз превышает этот показатель у нашей любимой свободной операционной системы, и благодаря открытой природе Linux большинство уязвимостей ликвидируются сразу после их обнаружения. А если уж быть более точным и оперировать при этом приближенными цифрами, то счет числа угроз (потенциальных и реальных вирусов) в Linux идет на десятки, в то время как число реальных вирусов для Windows оценивается сотнями тысяч. Таким образом несложный подсчет дает цифру отношения вирусов в более чем 10000 раз.
Безопасность сообщества

Однако причина, по которой Windows обладает большинством уязвимостей, главным образом кроется в ее доминировании на рынке. Это одна из причин, и всеже, учитывая количество коммерческих серверов под Linux, где Windows уже не так уж и доминирует, нельзя сказать что эта причина главная. Но в отличие от Windows вы можете спать спокойно, зная, что если ваш компьютер заразится, то утилиты вроде SELinux (о нем мы говорили в В прошлом месяце), а также права доступа к файлам для пользователя, группы и прочих ограничат ущерб, который может нанести системе любое вредоносное ПО.

Однако для критически важных систем и бизнес-решений, обязанных удовлетворять федеральным законам о защите данных, есть тысячи свободных средств защиты: от обнаружителей вторжения (IDS), антивирусов и брандмауэров до надежного шифрования данных.

Все это дает более чем достаточную защиту для Linux-системы, и как обычный пользователь, вы получаете гораздо больше преимуществ от разделения этих утилит с сообществом, чем мог бы мечтать любой пользователь Windows. Кроме того, в большинстве случаев вам не нужно платить за годовую подписку или работать с громоздким приложением, мешающим вашей повседневной деятельности.

ClamAV: Ставим антивирус

В развитие темы безопасности, Боб Мосс расскажет, как защитить систему от вирусов и вредоносного ПО.

В прошлом месяце мы научились устанавливать и на страивать Linux так, чтобы снизить ущерб, который вредоносное ПО способно причинить нашей любимой Linux-системе. В этот раз мы шагнем дальше и узнаем, как найти и изолировать вирусы в компьютерной сети, прежде чем прибегать к Linux или AppArmor в надежде, что они спасут положение. Мы также затронем важный вопрос: так ли безопасен Linux, как следует из его репутации?

Пользователи Gnome, вероятно, найдут ClamAV под псевдонимом ‘Virus Scanner’ [Антивирус]: проект ClamTK предлагает для программы дружелюбный интерфейс на основе библиотеки gtk2‑perl. При установке пакета ClamTk из репозитория своего дистрибутива вы можете обратить внимание, что эта оболочка не самой последней версии, но, к счастью, пакеты для любой системы на основе Red Hat или Debian можно загрузить с сайта , а пользователи других дистрибутивов могут собрать ее из исходников обычным образом. Пользователи KDE также могут обратить внимание на KlamAV или его замену clamav-kde, доступные в репозиториях большинства дистрибутивов.

Однако, хотя эти интерфейсы продуманы и интуитивно понятны, их функционала хватает только на выполнение самых общих задач; и если вы избрали этот путь, оболочки придется запускать вручную. Гораздо больше мощи и гибкости прячется внутри.

ClamAV доступен в большинстве менеджеров пакетов, но версия в вашем дистрибутиве скорее всего не самая последняя, и вам может не достаться новейшего функционала или более высокого уровня безопасности. Пользователи Ubuntu могут просто перейти в System > Administration > Software Sources [Система > Администрирование > Источники ПО] и выбрать вкладку «Third Party Repository» [Сторонние репозитории], чтобы добавить туда PPA . Наши постоянные читатели вспомнят, что мы рассказывали о PPA в Ubuntu еще в LXF124, но пользователи Ubuntu Karmic могут воспользоваться следующим удобным сокращением:

ppa:ubuntu-clamav/ppa

В более старых версиях Ubuntu наберите вот что:

Вскрываем ракушку
Теперь, когда репозитории или пакеты с исходными текстами готовы, пора установить ClamAV. Вы можете выбрать, как он будет запускаться – в виде отдельного приложения или в режиме фонового демона (тогда потребуется добавить пакет clamav-daemon). В обоих случаях будет установлен clamav-freshclam, который будет поддерживать сигнатуры вирусов (и даже сам ClamAV) в актуальном состоянии.

Приложение ClamAV запускается из командной строки, вручную или из скрипта, а демон постоянно работает в фоне. И то, и другое можно реализовать позже, а сейчас нужно только решить, как вы хотите поддерживать антивирусную защиту в своей Linux-системе.

Установив выбранный пакет, перед первой проверкой компьютера обновите вирусные сигнатуры. Это можно сделать через графический интерфейс или просто командой с терминала:

Постоянные читатели вспомнят, что мы кратко упоминали, как фильтровать входящие пакеты с прокси-сервера с помощью ClamAV, в учебнике о родительском контроле в LXF128. Настроить ClamAV для работы с заданным прокси-сервером проще простого. Достаточно открыть файл /etc/clamav/freshconf.conf и добавить в его конец следующие строки:

HTTPProxyServer ip-адрес.сервера
HTTPProxyPort номер_порта

Замените ip-адрес.сервера и номер_порта на соответствующие значения. Если вы предпочли выполнение ClamAV в виде демона, перезапустите его, чтобы изменения вступили в силу.

Демонизмы
Если вы запускаете ClamAV как демон, неплохо убедиться, что он на самом деле работает. Проверяется это командой
ps ax | grep clamd

2075 ? Ssl 0:00 /usr/sbin/clamd
14569 pts/0 S+ 0:00 grep clamd

В большинстве систем вы увидите три строки вывода. Если демон не запущен, выполните в терминале эту команду:

Версию демона можно проверить с помощью команды:

Автоматическое сканирование

Настроим ClamAV на обновление вирусных сигнатур и проверку системы.

Итак, ClamAV установлен. Через удобный графический интерфейс можно просмотреть файлы, находящиеся на карантине, запустить обновление сигнатур вирусов и просканировать небольшие каталоги. Но надолго ли вас хватит выполнять это регулярно? Все мы люди, и легко отвлекаемся от ежедневной рутины, оставляя систему уязвимой. Спокойнее будет влезть «под капот» ClamAV и настроить его на сканирование и обновление сигнатур вирусов автоматически – тогда система будет сама и вовремя защищать ся от любых неприятностей, на которые вы можете иметь несчастье нарваться, бродя по Интернету.

Скорая помощь

Если вы получаете сообщения об ошибках «Слишком большой архив» (Oversized Zip), измените параметр Archive-MaxCompression-Ratio в файле /etc/clamd.conf, предварительно попробовав пару-тройку значений командой clamscan --max-ratio=400 example.zip

Испробуем простейшие команды в терминале. Если ClamAV выполняется как демон, просто замените все вхождения clamscan на clamdscan, и получите практически тот же функционал. Наша первая команда рекурсивно проверит файлы заданного каталога на наличие любого вируса из базы вирусных сигнатур:

Clamscan -r /путь/к/каталогу

Команду можно улучшить – пусть отображает свой вывод на экране, а по окончании проверки издает сигнал (bell):

Clamscan -r --bell -i /путь/к/каталогу

Можно также перенаправить вывод в другие команды или в текстовый файл для последующего просмотра:

Clamscan -r -i /путь/к/каталогу > results.txt
clamscan -r -i /путь/к/каталогу | mail Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

В первом случае результаты рекурсивной проверки помещаются в текстовый файл, во втором – передаются почтовой программе для последующей отправки на указанный адрес. Последний вариант особенно удобен, когда ClamAV выполняется в режиме демона: ведь результаты вы будете получать в реальном времени. Наконец, можно добавить перед указанием пути ключ --remove, чтобы зараженные файлы автоматически удалялись из системы, вместо помещения в карантин. Но будьте с этим осторожнее, так как в случае ложных срабатываний можно потерять нужные файлы.

Включить проверку ClamAV в системный планировщик очень просто. Просто введите

At 3.00 tomorrow
at>clamscan -i ~ > ~/test.txt

Отправьте задание, нажав Ctrl+D (at> во второй строке набирать не нужно). Команда запланирует антивирусное сканирование на 3 часа утра завтрашнего дня и сохранит результат в файле test.txt в домашнем каталоге. А если вам требуется ежедневное сканирование?

Его можно выполнять по-разному. Если вы пользователь настольной системы, запускайте сценарий оболочки при каждом сеансе работы или настройте его вызов в планировщике.

В первом случае просто скопируйте вторую строку предыдущего примера и вставьте ее как новое приложение автозапуска через System > Preferences > Startup Applications (Система > Настройки > Автозапуск). Пользователям KDE нужно сохранить эту строку в скрипте оболочки и скопировать его в каталог /home/user/.kde/AutoStart, а затем назначить ему права на выполнение.

Регулярные проверки

Во втором случае можно настроить периодические проверки с помощью Cron. Вам потребуется скопировать строку из предыдущего фрагмента кода в файл и назвать его scanscript.sh. Предварительно удостоверьтесь, что инструкции в файлах cron.allow или cron.deny обеспечивают вам доступ к Cron. Если ни одного из файлов нет, доступ будет только у суперпользователя-root, но если оба существуют, убедитесь, что ваше имя пользователя есть в первом файле, но не в последнем.

Прежде чем добавить запись в crontab, установите свой любимый текстовый редактор в переменной $EDITOR. Иными словами, наберите:
export EDITOR=nano

Тогда вы сможете дописать в конец файла такой код:

0 * * * * sh /путь/к/scanscript.sh

Если в качестве редактора вы выбрали Nano, нажмите Ctrl+X для выхода с сохранением. Теперь Cron будет запускать антивирус из файла скрипта по часам, каждый час ежедневно.

Чтобы понять, как работает этастрока, взгляните на таблицу. День с номером 0 с точки зрения Cron – воскресенье. Звездочка * означает, что скрипт будет срабатывать при каждой отметке данной временной шкалы. Справляясь с таблицей, можно задать любой нужный интервал запуска.

Наконец, если вы не хотите получать от системы письма с результатами выполнения задания, измените предыдущую строку таким образом:

0 * * * * sh /путь/к/scanscript.sh > /dev/null 2>&1

Планирование обновлений сигнатур вирусов мало чем отличается от планирования запуска проверки. Однако над периодичностью обновлений нужно немного подумать. Антивирусные проверки лучше запускать почаще, для обеспечения чистоты, но обновления сигнатур обычно производятся не чаще раза в день. Поэтому выполнять их при каждом входе в систему – лишняя трата системных ресурсов.

Свежие сигнатуры

На современных настольных системах накладные расходы не чрезмерны, но их стоит учесть, когда дело касается постоянно включенных сетевых устройств с невысокой производительностью или файловых серверов. На рабочем столе можно запускать обновление вручную через графический интерфейс ClamTK, но всегда есть опасность об этом позабыть.

Поэтому советуем выполнять обновление сигнатур вирусов как минимум раз в день, чтобы гарантировать защиту от самых свежих угроз без лишних действий. Наилучший вариант решения этой задачи – добавить в crontab следующую строку:

0 3 * * * sh /путь/к/scanscript.sh

Она гарантирует, что обновления вирусов будут происходить каждый день или, во всяком случае, не в то время, когда потребление системных ресурсов резко возрастает.
Числовые диапазоны Crontab

Временная шкала Минуты Часы Дни Месяцы Дни недели
Диапазон 0–59 0–23 1–31 1–12 0–6

Другие антивирусные продукты

Хотя ClamAV прост в установке, настройке и управлении, вы можете предпочесть ему готовое решение для защиты настольной системы от вирусов Linux и Windows. Существует несколько коммерческих альтернатив ClamAV.

Они нацелены в основном на поиск вирусов Windows, нашедших пристанище в Linux, но весьма пригодятся при наличии двойной загрузки или компьютеров с Windows в локальной сети.

Антивирус касперского 5.6 для Linux Mail Server

Антивирус Касперского® 5.6 для Linux Mail Server (далее называемый Антивирус Касперского или приложение) обеспечивает антивирусную защиту почтового трафика и файловых систем серверов, работающих под управлением операционных систем Linux или FreeBSD и использующих почтовые системы Sendmail, Postfix, qmail или Exim.

Приложение позволяет:
Проверять файловые системы сервера, входящие и исходящие почтовые сообщения на наличие угроз.
Обнаруживать зараженные, подозрительные, защищенные паролем и недоступные для проверки объекты.
Обезвреживать обнаруженные в файлах и почтовых сообщенияхугрозы. Лечить зараженные объекты.
Сохранять резервные копии сообщений перед их антивирусной обработкой и фильтрацией; восстанавливать сообщения из резервных копий.
Обрабатывать почтовые сообщения согласно правилам, заданным для групп отправителей и получателей.
Выполнять фильтрацию почтовых сообщений по имени, типу и размеру вложений.
Уведомлять отправителя, получателей и администратора об обнаружении сообщений, содержащих зараженные, подозрительные,
защищенные паролем и недоступные для проверки объекты.
Формировать статистику и отчеты о результатах работы.
Обновлять базы антивируса с серверов обновлений «Лаборатории Касперского» по расписанию и по требованию. Базы используются в процессе поиска и лечения зараженных файлов. На основе записей, содержащихся в них, каждый файл во время проверки анализируется на присутствие угроз: код файла сравнивается с кодом, характерным для той или иной угрозы.
Настраивать параметры и управлять работой приложения как локально (стандартными средствами операционной системы с помощью параметров командной строки, сигналов и модификацией
конфигурационного файла приложения), так и удаленно через вебинтерфейс программы Webmin.
Получать конфигурационную информацию и статистику работы приложения по протоколу SNMP, а также настроить приложение на отправку SNMP-ловушек при наступлении определенных событий

Аппаратные и программные требования к системе

Системные требования Антивируса Касперского следующие:
Аппаратные требования для почтового сервера, поддерживающего около 200 МБ трафика в день:
процессор Intel Pentium IV, 3 ГГц или выше;
1 ГБ оперативной памяти;
200 МБ свободного места на жестком диске (в это количество не входит пространство, необходимое для хранения резервных копий сообщений).
Программные требования:
для 32-битной платформы одна из следующих операционных систем:

o Fedora 9;

o openSUSE 11.0;
o Debian GNU/Linux 4.0 r4;
o Mandriva Corporate Server 4.0;
o Ubuntu 8.04.1 Server Edition;
o FreeBSD 6.3, 7.0.
для 64-битной платформы одна из следующих операционных систем:
o Red Hat Enterprise Linux Server 5.2;
o Fedora 9;
o SUSE Linux Enterprise Server 10 SP2;
o openSUSE Linux 11.0.
Одна из перечисленных почтовых систем: Sendmail 8.12.x или выше, qmail 1.03, Postfix 2.x, Exim 4.х.
Программа Webmin (http://www.webmin.com), если планируется удаленное управление Антивирусом Касперского.
Perl версии 5.0 или выше (http://www.perl.org).

Установка приложения на сервер под управлением Linux

скачается deb пакет... после этого выполним

dpkg -i kav4lms_5.6-48_i386.deb

Постинсталляционная настройка

При установке Антивируса Касперского после завершения копирования файлов дистрибутива на сервер выполняется настройка системы. В зависимости от менеджера пакета этап конфигурации будет запущен автоматически либо (в случае, если менеджер пакета не допускает использование интерактивных cкриптов, как, например, rpm) его потребуется запустить вручную.

Для запуска процесса настройки приложения вручную в командной строке
введите:

# /opt/kaspersky/kav4lms/lib/bin/setup/postinstall.pl

В результате вам будет предложено выполнить следующие действия:
Если приложение обнаружит на компьютере конфигурационные файлы Антивируса Касперского 5.5 для Linux Mail Server или Антивируса Касперского 5.6 для Sendmail с Milter API, на этом шаге будет предложено выбрать, какой из файлов преобразовать и сохранить в формате текущей версии приложения, и, в случае выбора одного из файлов будет предложено заменить входящий в состав дистрибутива конфигурационный файл приложения восстановленным и преобразованным файлом.
Для того чтобы заменить входящий в состав дистрибутива конфигурационный файл приложения восстановленным файлом, введите в качестве ответа yes. Чтобы отказаться от замены, введите no.
По умолчанию преобразованные конфигурационные файлы сохраняются в следующих директориях:
kav4mailservers -

/etc/opt/kaspersky/kav4lms/profiles/kav4mailservers5.5-converted

/etc/opt/kaspersky/kav4lms/profiles/kavmilter5.6-converted

Указать путь к файлу ключа.
Обратите внимание, что если ключ не установлен, обновление баз антивируса и формирование списка защищаемых доменов в рамках процесса установки не выполняется. В этом случае необходимо выполнить эти действия самостоятельно после установки ключа.

Выполнить обновление баз антивируса. Для этого введите в качестве ответа yes. Если вы хотите отказаться от копирования обновлений сейчас, введите no. Вы сможете выполнить обновление позже с помощью компонента kav4lms-keepup2date (подробнее см. п. 7.2 на стр. 83).

Настроить автоматическое обновление баз антивируса. Для этого введите в качестве ответа yes. Чтобы отказаться от настройки автоматического обновления сейчас, введите no. Вы сможете выполнить эту настройку позже с помощью компонента kav4lmskeepup2date (подробнее см. п. 7.1 на стр. 82) или с помощью скрипта настройки приложения (подробнее см. п. 10.2 на стр. 103).

6. Установить webmin-модуль для управления Антивирусом Касперского через веб-интерфейс программы Webmin. Модуль удаленного управления будет установлен только при условии, что программа Webmin расположена в стандартном каталоге. После установки модуля будут даны соответствующие рекомендации по настройке его совместной работы с приложением. Введите в качестве ответа yes для установки webmin-модуля или no, чтобы отказаться от установки.

7. Определить список доменов, почтовый трафик которых будет защищаться от вирусов. Значение, предусмотренное по умолчанию – localhost, localhost.localdomain. Чтобы использовать его, нажмите на клавишу Enter.
Чтобы задать список доменов вручную, перечислите их в командной строке. Вы можете указать несколько значений, разделенных запятой, допускается использование масок и регулярных выражений. Точки в именах доменов должны быть «экранированы» с помощью символа «\».
Например:

re:.*\.example\.com

8. Интегрировать Антивирус Касперского в почтовую систему. Вы можете принять предлагаемый по умолчанию вариант интеграции с обнаруженной на компьютере почтовой системой или отказаться от интеграции и выполнить ее позже. Подробное описание интеграции с почтовой системой содержит Глава 4 на стр. 30.
По умолчанию для почтовых систем Exim и Postfix используется post-queue интеграция (см. п. 4.1.1 на стр. 31 и п. 4.2.1 на стр. 37).

Установка webmin-модуля для управления Антивирусом Касперского

Работой Антивируса Касперского можно также управлять удаленно через веб-браузер, используя программу Webmin.
Webmin – это программа, упрощающая процесс управления Linux/Unix-системой. Программа использует модульную структуру с возможностью подключения новых и разработки собственных модулей. Получить дополнительную информацию о программе и ее установке, а также скачать документацию и дистрибутив Webmin можно на официальном сайте программы:
http://www.webmin.com .
В дистрибутив Антивируса Касперского включен webmin-модуль, который можно либо установить в процессе постинсталляционной настройки приложения (см. п. 3.4 на стр. 21), если в системе уже установлена программа Webmin, либо в любой другой момент времени после установки программы Webmin.

Далее подробно рассматривается процесс подключения webmin-модуля для управления Антивирусом Касперского. Если при установке Webmin были использованы настройки по умолчанию, то по завершении установки доступ к программе можно получить с помощью браузера, подключившись через протокол HTTP/HTTPS на порт 10000.
Для того чтобы установить webmin-модуль управления Антивирусом Касперского необходимо:
Получить доступ через веб-браузер к программе Webmin с правами администратора данной программы.
1. В меню Webmin выбрать закладку Webmin Configuration и затем раздел Webmin Modules.
2. В разделе Install Module выбрать пункт From Local File и нажать на кнопку (см. рис. 1).

3. Указать путь к webmin-модулю приложения и нажать на кнопку ОК.

Примечание
Webmin-модуль представляет собой файл mailgw.wbm и устанавливается по умолчанию в каталог /opt/kaspersky/kav4lms/share/webmin/ (для дистрибутивов Linux)

В случае успешной установки webmin-модуля на экран будет выведено соответствующее сообщение.

Доступ к настройкам Антивируса Касперского можно получить, перейдя на закладку Others и затем щелкнув по значку Антивируса Касперского (cм. рис. 2).

Удаление приложения производится вот так:

Dpkg -P <имя_пакета>

Залее запустим нашь фильтр:

/etc/init.d/kas3 start && /etc/init.d/kas3-control-center start && /etc/init.d/kas3-milter start

Обновление антивирусных баз

Выполним одну команду:

/opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -s

Можно так же настроить Автоматическое обновление

задать автоматическое обновление баз антивируса каждый час.
В системном журнале фиксировать только ошибки при работе приложения. Вести общий журнал по всем запускам задачи, на консоль никакой информации не выводить.

Для реализации поставленной задачи выполните следующие действия:
1. В конфигурационном файле приложения задайте соответствующие значения для параметров, например:

KeepSilent=yes

Append=yes
ReportLevel=1

2. Отредактируйте файл, задающий правила работы процесса cron (crontab -e), введя следующую строку:

0 0-23/1 * * * /opt/kaspersky/kav4lms/bin/kav4lmskeepup2date -e

В любой момент времени вы можете запустить обновление баз антивируса из командной строки с помощью команды:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date

Пример: запустить обновление баз антивируса, сохранив результаты работы в файле /tmp/updatesreport.log.
Для реализации поставленной задачи в командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \
/tmp/updatesreport.log

ПРОВЕРКА КОРРЕКТНОСТИ РАБОТЫ ПРИЛОЖЕНИЯ

Примечание
Перед загрузкой необходимо отключить антивирусную защиту, поскольку файл anti_virus_test_file.htm будет идентифицирован и обработан установленным на компьютере антивирусом как зараженный объект, перемещаемый по HTTP-протоколу.
Не забудьте включить антивирусную защиту сразу после загрузки тестового “вируса”.

Еще небольшой ряд антивирусов для Debian

Эта скрытая жемчужина предназначена для запуска на серверах Linux с целью поиска уязвимостей DOS/Windows, но не хуже работает и в системах с двойной загрузкой, и гарантирует, что вредоносные программы для Windows не копируют себя на разделы Windows из Linux. Совершенно непонятно о чем автор тут написал, вирусы для Windows в Linux работать не смогут никогда, даже если они написаны на скриптовых языках. Можно только предположить ситуацию, когда вирус будет содержать специальный код Linux чтобы иметь возможность заражать параллельно установленную Windows. Продукт менее продвинутый, чем другие упомянутые здесь, но свою задачу это легкое приложение выполняет отлично.
Avast Linux Home Edition
Cайт: http://www.avast.com/linux-home-edition

У Avast те же функции, что и у AVG; его ключевое отличие – возможность управлять сканированием из командной строки, как у ClamAV, и его можно вызывать из скриптов оболочки. Интерфейс основан на родных библиотеках GTK, и среди портированных программ эта более всех чувствует себя в Linux, как дома.

Нужен ли в Linux антивирус? Этот вопрос тревожит многих новых пользователей и становится причиной дискуссий между опытными. Недавно я писал статью - , из которой мы узнали, что для Linux не страшны вирусы такими, какими их знают пользователи Windows. Здесь нежелательные последствия могут вызвать в основном невнимательность и неправильные действия пользователя. Например, фишинг сайты, запуск опасных команд с правами рута, а также внешние хакерские атаки.

В Linux совсем другие средства защиты. Это фаерволы, настройка правильных прав доступа, аннонимизация, своевременное обновление системы и в крайнем случае контейнерная виртуализация процессов. Но обычные антивирусы для линукс могут понадобиться когда вы часто имеете дело с Windows-машинами. Все антивирусы для Linux рассчитаны в основном обнаруживать вирусы Windows, таким образом, вы можете сканировать флешки из windows, а также файловую систему Windows если на компьютере установлены две операционные системы.

Ставить антивирус или не ставить, зависит от ваших потребностей. В этой статье мы рассмотрим лучшие антивирусы для Linux, для тех, кто все же решился поставить.

По данным тестирования немецкой лаборатории AV-Test, наконец 2015 года, это лучший антивирус для Linux. Он обнаружил 99,8% Windows угроз и 99,7 % Linux вирусов. Сразу скажу, что программа платная. Но если уж я решил делать не просто топ антивирусов для Linux, а обзор лучших продуктов, то нельзя исключать коммерческие решения.

Это полноценный антивирус с функционалом очень похожим до Windows версии. Поддерживаются такие возможности:

• Защита в реальном времени
• Сканирование файловой системы
• Проверка почты на вирусы
• Сканирование подключаемых USB и CD устройств
• Сканирование программ перед установкой
• Автоматическое обнаружение потенциально нежелательного ПО
• Низкое потребление ресурсов процессора и высокая производительность
• Большое количество настроек
• Расписание сканирования
• Санирование файлов при открытии

Довольно неплохой вариант, защищающий не только от Windows, но и от немногочисленных Linux вирусов. Скачать демоверсию можно на официальном сайте.

Kaspersky Anti-Virus for Linux Server 8

На втором месте по версии того же тестирования находится антивирус Касперского для Linux. Windows версия этой программы зарекомендовала себя очень хорошо среди пользователей. Из результатов теста видно что было обнаружено 99,8 % Windows угроз и столько же Linux. Антивирус для Linux тоже платный и рассчитан в основном на сервера Linux. Можно отметить такие возможности:

• Новый антивирусный движок от лаборатории Касперского
• Проверка файлов
• Карантин для вредоносных программ
• Поддерживает централизованное управление с помощью Kaspersky Web Management Console
• Система уведомлений
• Гибкие настройки сканирования

AVG Server Edition 2013

Антивирус AVG показал такие результаты 99,3% обнаружения Windows вирусов и 99% Linux. В отличие от двух предыдущих вариантов у AVG кроме платной версии, есть бесплатная с немного меньшим функционалом. У программы нет графического интерфейса. Это простой сканер файловой системы, с возможностью проверки открываемых файлов. Также поддерживаются автоматические обновления баз данных.

Avast!

Этот популярный антивирус, который так часто советуют как Windows, так и Linux пользователям, у нас на четвертом месте. Показатели AV Test такие 99.7 для Windows угроз и 98,3 для Linux вирусов. Здесь уже есть графический интерфейс и он бесплатный. Правда, после установки нужно ввести свои данные и дождаться ключа по электронной почте.

Возможности:

• Сканирование подключаемых носителей
• Сканирование файловой системы
• Легкая установка
• Обновление баз данных
• Сканирование открываемых файлов

Скачать установочный пакет для вашей системы можно на официальном сайте.

Symantec Endpoint

Он обнаружил в тесте 100% Windows вирусов и 97.2. Важно заметить, что для установки этого антивируса вам необходимо будет пересобрать ядро со специальным модулем - AutoProtect, он нужен для правильной работы программы. Антивирус для линукс выполняет сканирование файловой системы на предмет вирусов, программ-шпионов.

Возможности:

• Графический интерфейс, основанный на Java
• Монитор файловой системы
• Сканер по требованию
• Обновление баз выполняется в графическом интерфейсе
• Сканирование нужно выполнять из командной строки

Sophos Antivirus for Linux

Sophos поддерживает как WEB, так и консольный интерфейс, кроме ручного сканирования есть автоматический режим, кроме того, он бесплатный. Автоматическое сканирование позволяет проверять файлы при доступе, а также планировать проверку в определенное время. По тестам AV Test Sophos показывает следующие показатели: 99,8 % для Windows угроз и 95% для Linux вирусов.

Преимущества:

• Бесплатный
• Поиск нежелательного ПО
• Консольный интерфейс
• Легкая установка
• Поддерживает много дистрибутивов

Из минусов, как вы заметили немного низкий процент обнаружения вирусов для Linux, отсутствие в официальных репозиториях, а также отсутствие нормального графического интерфейса. Ссылка на скачивание.

F-Secure Linux Security

По результатам тестов этот антивирус обнаружил еще меньше процентов вирусов Linux - 85%, и 99,9% Windows угроз. Ориентирован антивирус тоже в первую очередь на сервера, сканирует файловую систему на наличие вирусов, есть функция мониторинга ФС, а также проверка электронной почты.

BitDefender Antivirus

Это антивирус с красивым интерфейсом от Румынской компании Softwin. Первая версия вышла в 2001 году. Антивирус включает такие модули, как антишпион, поиск нежелательного ПО, брандмауэр, сканер уязвимостей, контроль приватности и инструмент для выполнения резервного копирования. Вы можете просканировать любой файл или каталог, или обновить базы данных одним нажатием кнопки. Но в тестах AV Test BitDefender показывает не очень хорошие результаты - 85,7% для Linux и 99,8 % для Windows вирусов.

Скачать пробную версию можно на.

Microworld eScan Antivirus

Это тоже платный антивирус для linux. Предназначен для защиты как домашних компьютеров, так и серверов от вирусов и шпионского ПО. Данные тестов у eScan Antivirus точно такие же, как и у BitDefender.

Возможности программы:

• Сканирование файловой системы
• Эвристический анализ
• Сканирование архивов
• Проверка по расписанию
• Автоматическое обновление баз данных
• Лечение зараженных файлов
• Карантин

Официально поддерживаются Debain, Fedora, RedHat, OpenSUSE, Slackware и Ubuntu. Скачать пробную версию можно на официальном сайте.

Выводы

В тестировании принимали участие и другие продукты, в том числе свободный антивирус ClamAV. Но рассматривать их в этой статье мы не будем. Все они набрали меньше 80% обнаружения вирусов для Linux (Кроме DrWeb), ClamAV и F-Prot обнаружили только 66 и 23 процента соответственно. Выводы делайте сами.

Это были все лучшие антивирусы для linux и теперь вы знаете как выбрать антивирус. Вообще, ставить или не ставить антивирус - это только ваш выбор. Вирусов для Linux не так уж много, если беспокоитесь о заражении, можно иногда проверять файловую систему на вирусы с помощью какого-нибудь сканера. Ну и также желательно выполнять время от времени

Компьютеры Linux все чаще подключаются к компьютерам Windows, поэтому они тоже должны иметь антивирусную защиту. Немецкая независимая лаборатория AV-Test провела тестирование 16 антивирусов на платформе Ubuntu, где они сопротивлялись угрозам для Windows и Linux. Результаты некоторых продуктов оказались печальными: отдельные решения пропустили 85 процентов вредоносных программ Windows и не обнаружили до 75 процентов Linux-угроз.

Мир Linux в значительной степени считается безопасной крепостью от вредоносных программ, включая различные виды троянов. Тем не менее, многие машины Linux работают в одной сети с компьютерами Windows. Более половины веб-серверов в мире работает именно на Linux, и они обслуживают миллиарды пользователей Интернета. Вот почему веб-серверы являются привлекательной целью для киберпреступников, которые могут использовать платформу как плацдарм для организации вредоносных атак на Windows.

50 процентов веб-серверов работают на Linux

Было протестировано 16 антивирусов для Linux : Распространение Linux-защит очень мало, но для половины веб-серверов в мире защита жизненно необходима

Успешная атака обычно не затрагивает систему или ядро. Вместо этого, она фокусируется на приложениях, запущенных на компьютерах Linux или веб-серверах. Эти платформы легче взломать и использовать в качестве средства репликации. Основные хакерские атаки проводятся на веб-серверах с помощью SQL-инъекций или межсайтового скриптинга. Тем не менее, компьютеры Linux также являются привлекательной мишенью, ведь на них тоже запускаются приложения с уязвимостями, например, браузер Firefox или просмотрщик Adobe Reader.

Успешно проникнув в систему, вредоносное ПО редко причиняет ущерб системе Linux, а лишь поджидает подключение к системе Windows. Для инициализации атаки обычно бывает достаточно провести операцию копирования файлов со среды Linux в WIndows.

В последнее время зафиксировано увеличение количества троянов, нацеленных на Linux окружение. Они как правило не отличаются высоким качеством исполнения, потому что злоумышленники знают о хороших защитных механизмах, которые предлагает Linux. Угрозы скорее рассчитывают на “двойственность” пользователя, который невольно подстрекает вредоносные программы через операционные ошибки. Самым частым случаем является установка программного обеспечения или обновлений с помощью сторонних пакетов. Во время установки у пользователя обычно запрашивается временный доступ к полным правам. Если пользователь разрешает доступ, важные системные компоненты заменяются модифицированными версиями. Все это позволяет киберпреступнику создать бэкдор в системе и использовать его для атак ботнетами.

Выявлены явные недостатки уровня обнаружения

Уровень обнаружения антивирусов для Linux : в решениях для компьютеров и веб-серверов были выявлены серьезные недостатки уровня обнаружения

В лаборатории AV-TEST проверялись 16 антивирусных решений для Linux. Большинство продуктов были предназначены для защиты компьютеров, остальные предлагали защиту для веб-серверов. В качестве тестовой среды использовался дистрибутив Ubuntu, как наиболее распространенный пакет Linux. В тестах использовалась 64-битная версия 12.04 LTS. В программе тестирования были представлены Linux-защиты от Avast, AVG, Bitdefender, ClamAV, Comodo, Dr. Web, eScan, ESET, F-Prot, F-Secure, G Data, Kaspersky Lab (две версии), McAfee, Sophos и Symantec. Испытание разделялось на три части: обнаружение угроз для Windows, обнаружение угроз для Linux и тестирование на ложные срабатывания.

ESET NOD32 Antivirus для компьютеров Linux : ПК-версия продемонстрировала наилучшие показатели обнаружения вредоносных программ для Windows и Linux

Kaspersky Antivirus для файловых серверов Linux : данное серверное решение надежно защищает данные Windows и Linux

Sophos для Linux : данное решение для компьютеров показало высокую эффективность при обнаружении угроз и в базовой версии может быть использовано бесплатно

Обнаружение вредоносного ПО для Windows

Всего 8 из 16 протестированных продуктов смогли обнаружить от 99,7 до 99,9 процентов угроз из 12 000 тестовых образцов. Среди них: Avast, F-Secure, Bitdefender, ESET, eScan, G Data, Kaspersky Lab (серверная версия) и Sophos. Только антивирусное решение Symantec смогло продемонстрировать 100-процентный уровень обнаружения.

Заметно слабее оказались уровни обнаружения McAfee и Comodo - 85,1 и 83 процента соответственно. Вызывают тревогу результаты Dr. Web - 67,8%, F-Prot - 22.1% и ClamAV - только 15.3%!

Обнаружение вредоносных программ для Linux

Все большее число коварных зловредов разрабатываются для Linux или уже ввдены в обращение. Лаборатория развернула в тестовой системе 900 известных вредоносных угроз для Linux. Результаты испытания существенно отличаются от уровней обнаружения на Windows. Только Kaspersky Endpoint смог достичь 100-процентного уровня обнаружения для Linux. Совсем рядом позади оказались ESET и AVG - 99,7 и 99 процентов соответственно. Серверные версии Kaspersky Lab и Avast на самом деле смогли распознать более 98 процентов зловредов. Symantec, показавший наилучший результат при обнаружении Windows-угроз заблокировал только 97,2 процента вредоносных программ для Linux. А затем начинается серьезное падение.

В самом низу итого списка расположились ClamAV, McAfee, Comodo и F-Prot. Их уровни обнаружения варьируются в широких пределах - от 66,1 до 23 процентов. Это означает, что в худшем случае 77 из 100 зловредов смогут остаться не обнаруженными в системе Linux, несмотря на активную защиту.

Дружественное или вражеское обнаружение?

В качестве дополнительного тестового сегмента, лаборатория проверила реакцию антивирусов на 210 000 надежных безопасных файлов Linux. Таким образом, все тестируемые продукты проверялись на ложные срабатывания. Результат был звездный: только Comodo выдал одно ложное срабатывание на один файл, все остальные решения избежали ошибок.

Linux в целом безопасен, не так ли?

Большинство пользователей Linux убеждены, что они используют одну из наиболее безопасных операционных систем. Данное утверждение действительно справедливо, если Вы пользуетесь только системными возможностями и игнорируете все остальное. Небезопасные стронние приложения или пользовательские ошибки могут превратить компьютеры Linux в рассадник угроз. Это также подтверждается последним исследованием Лаборатории Касперского. в первом квартале 2015 года: более 12 700 атак были запущены с помощью ботнетов, которые использовали за основу системы Linux. Для сравнения, на базе Windows было развернуто 10 300 ботнет-атак. Более того, жизненный цикл ботнетов на базе Linux дольше, чем на Windows-платформе. Это связано с трудностями обнаружения и нейтрализации вредоносных сетей, т.к. сервера Linux редко снабжаются специальными решениями для защиты, в отличие от устройств и серверов на Windows.

На многих форумах Linux бесплатные продукты от Comodo, ClamAV и F-Prot рекомендуются для частных пользователей. Как мы видим, это не очень хорошие советы. Тест показывает, что частные пользователи будут лучше защищены при выборе бесплатных версий Sophos для Linux или Bitdefender Antivirus Scanner для *nix. Для серверных систем есть эффективное бесплатное решение в лице AVG Server Edition для Linux.

В этом тестировании AV-Test лучшие уровни обнаружения угроз для Linux и Windows показали ESET, а также Symantec и Kaspersky Endpoint для рабочих станций. Для защиты серверов рекомендуются Kaspersky Anti-Virus для файловых серверов Linux, AVG Server Edition для Linux и Avast File Server Security.

Антивирусы для linux систем & kaspersky, clamav... и многое другое

Всем доброго дня коллеги, сегодня поговорим об антивирусных системах в linux именно для ubuntu и debian

Зачем мне антивирус?

Вы, быть может, удивляетесь: а почему мы говорим об антивирусной защите для Linux? Ведь Сеть пестрит бесчисленным количеством утверждений о безопасности Linux, а если ввести «Linux antivirus» в Google, первой в списке будет статья с Linux.com под заголовком «Note for Linux Newcomers: No antivirus needed» [«Новичкам в Linux: антивирус не нужен»]. Кроме того, доля рынка настольных систем у Linux очень мала, а именно она часто является главным мотивом для взломщиков. Все это порождает вполне резонный вопрос: чем проникновение в Linux может пригодиться злоумышленнику?

Вопреки мифам, иммунитет Linux к вирусам велик, но не безмерен. Эксплойты для кроссплатформенных технологий, типа Java и Flash, приложимы к Linux в той же мере, как и к другим операционным системам. А так как Linux проник на промышленный рынок и web-серверы, вторжения становятся гораздо более доходными, чем были раньше. Данные можно украсть и продать «похитителям личностей» или использовать для создания ботнетов и другой противоправной деятельности.

Если в сети есть компьютеры с Windows (или с двойной загрузкой), Linux может стать «тихой гаванью» для вредоносного ПО Windows, которое может расползтись по локальным дискам Windows или размножиться по всей сети. Хотя коммерческие брандмауэры настольных систем отчасти сдерживают эту угрозу, клиентские компьютеры, получающие вредоносные пакеты с доверенного устройства локальной сети, будут в опасности. Утверждение спорное, почему бы не исключить компьютеры с Linux из числа "доверенных" если есть подозрение, что там могут находиться вирусы

Но прежде чем вы спишете со счетов все свои предыдущие мнения о безопасности Linux-окружения, рассмотрим кое-какие цифры.

По оценкам из различных источников, число эксплойтов для Windows в несколько тысяч раз превышает этот показатель у нашей любимой свободной операционной системы, и благодаря открытой природе Linux большинство уязвимостей ликвидируются сразу после их обнаружения. А если уж быть более точным и оперировать при этом приближенными цифрами, то счет числа угроз (потенциальных и реальных вирусов) в Linux идет на десятки, в то время как число реальных вирусов для Windows оценивается сотнями тысяч. Таким образом несложный подсчет дает цифру отношения вирусов в более чем 10000 раз.
Безопасность сообщества

Однако причина, по которой Windows обладает большинством уязвимостей, главным образом кроется в ее доминировании на рынке. Это одна из причин, и всеже, учитывая количество коммерческих серверов под Linux, где Windows уже не так уж и доминирует, нельзя сказать что эта причина главная. Но в отличие от Windows вы можете спать спокойно, зная, что если ваш компьютер заразится, то утилиты вроде SELinux (о нем мы говорили в В прошлом месяце), а также права доступа к файлам для пользователя, группы и прочих ограничат ущерб, который может нанести системе любое вредоносное ПО.

Однако для критически важных систем и бизнес-решений, обязанных удовлетворять федеральным законам о защите данных, есть тысячи свободных средств защиты: от обнаружителей вторжения (IDS), антивирусов и брандмауэров до надежного шифрования данных.

Все это дает более чем достаточную защиту для Linux-системы, и как обычный пользователь, вы получаете гораздо больше преимуществ от разделения этих утилит с сообществом, чем мог бы мечтать любой пользователь Windows. Кроме того, в большинстве случаев вам не нужно платить за годовую подписку или работать с громоздким приложением, мешающим вашей повседневной деятельности.

ClamAV: Ставим антивирус

В развитие темы безопасности, Боб Мосс расскажет, как защитить систему от вирусов и вредоносного ПО.

В прошлом месяце мы научились устанавливать и на страивать Linux так, чтобы снизить ущерб, который вредоносное ПО способно причинить нашей любимой Linux-системе. В этот раз мы шагнем дальше и узнаем, как найти и изолировать вирусы в компьютерной сети, прежде чем прибегать к Linux или AppArmor в надежде, что они спасут положение. Мы также затронем важный вопрос: так ли безопасен Linux, как следует из его репутации?

Пользователи Gnome, вероятно, найдут ClamAV под псевдонимом ‘Virus Scanner’ [Антивирус]: проект ClamTK предлагает для программы дружелюбный интерфейс на основе библиотеки gtk2‑perl. При установке пакета ClamTk из репозитория своего дистрибутива вы можете обратить внимание, что эта оболочка не самой последней версии, но, к счастью, пакеты для любой системы на основе Red Hat или Debian можно загрузить с сайта, а пользователи других дистрибутивов могут собрать ее из исходников обычным образом. Пользователи KDE также могут обратить внимание на KlamAV или его замену clamav-kde, доступные в репозиториях большинства дистрибутивов.

Однако, хотя эти интерфейсы продуманы и интуитивно понятны, их функционала хватает только на выполнение самых общих задач; и если вы избрали этот путь, оболочки придется запускать вручную. Гораздо больше мощи и гибкости прячется внутри.

ClamAV доступен в большинстве менеджеров пакетов, но версия в вашем дистрибутиве скорее всего не самая последняя, и вам может не достаться новейшего функционала или более высокого уровня безопасности. Пользователи Ubuntu могут просто перейти в System > Administration > Software Sources [Система > Администрирование > Источники ПО] и выбрать вкладку «Third Party Repository» [Сторонние репозитории], чтобы добавить туда PPA . Наши постоянные читатели вспомнят, что мы рассказывали о PPA в Ubuntu еще в LXF124, но пользователи Ubuntu Karmic могут воспользоваться следующим удобным сокращением:

ppa:ubuntu-clamav/ppa

В более старых версиях Ubuntu наберите вот что:

Вскрываем ракушку
Теперь, когда репозитории или пакеты с исходными текстами готовы, пора установить ClamAV. Вы можете выбрать, как он будет запускаться – в виде отдельного приложения или в режиме фонового демона (тогда потребуется добавить пакет clamav-daemon). В обоих случаях будет установлен clamav-freshclam, который будет поддерживать сигнатуры вирусов (и даже сам ClamAV) в актуальном состоянии.

Приложение ClamAV запускается из командной строки, вручную или из скрипта, а демон постоянно работает в фоне. И то, и другое можно реализовать позже, а сейчас нужно только решить, как вы хотите поддерживать антивирусную защиту в своей Linux-системе.

Установив выбранный пакет, перед первой проверкой компьютера обновите вирусные сигнатуры. Это можно сделать через графический интерфейс или просто командой с терминала:

Постоянные читатели вспомнят, что мы кратко упоминали, как фильтровать входящие пакеты с прокси-сервера с помощью ClamAV, в учебнике о родительском контроле в LXF128. Настроить ClamAV для работы с заданным прокси-сервером проще простого. Достаточно открыть файл /etc/clamav/freshconf.conf и добавить в его конец следующие строки:

HTTPProxyServer ip-адрес.сервера
HTTPProxyPort номер_порта

Замените ip-адрес.сервера и номер_порта на соответствующие значения. Если вы предпочли выполнение ClamAV в виде демона, перезапустите его, чтобы изменения вступили в силу.

Демонизмы
Если вы запускаете ClamAV как демон, неплохо убедиться, что он на самом деле работает. Проверяется это командой
ps ax | grep clamd

2075 ? Ssl 0:00 /usr/sbin/clamd
14569 pts/0 S+ 0:00 grep clamd

В большинстве систем вы увидите три строки вывода. Если демон не запущен, выполните в терминале эту команду:

Версию демона можно проверить с помощью команды:

Автоматическое сканирование

Настроим ClamAV на обновление вирусных сигнатур и проверку системы.

Итак, ClamAV установлен. Через удобный графический интерфейс можно просмотреть файлы, находящиеся на карантине, запустить обновление сигнатур вирусов и просканировать небольшие каталоги. Но надолго ли вас хватит выполнять это регулярно? Все мы люди, и легко отвлекаемся от ежедневной рутины, оставляя систему уязвимой. Спокойнее будет влезть «под капот» ClamAV и настроить его на сканирование и обновление сигнатур вирусов автоматически – тогда система будет сама и вовремя защищать ся от любых неприятностей, на которые вы можете иметь несчастье нарваться, бродя по Интернету.

Скорая помощь

Если вы получаете сообщения об ошибках «Слишком большой архив» (Oversized Zip), измените параметр Archive-MaxCompression-Ratio в файле /etc/clamd.conf, предварительно попробовав пару-тройку значений командой clamscan --max-ratio=400 example.zip

Испробуем простейшие команды в терминале. Если ClamAV выполняется как демон, просто замените все вхождения clamscan на clamdscan, и получите практически тот же функционал. Наша первая команда рекурсивно проверит файлы заданного каталога на наличие любого вируса из базы вирусных сигнатур:

Clamscan -r /путь/к/каталогу

Команду можно улучшить – пусть отображает свой вывод на экране, а по окончании проверки издает сигнал (bell):

Clamscan -r --bell -i /путь/к/каталогу

Можно также перенаправить вывод в другие команды или в текстовый файл для последующего просмотра:

Clamscan -r -i /путь/к/каталогу > results.txt
clamscan -r -i /путь/к/каталогу | mail Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

В первом случае результаты рекурсивной проверки помещаются в текстовый файл, во втором – передаются почтовой программе для последующей отправки на указанный адрес. Последний вариант особенно удобен, когда ClamAV выполняется в режиме демона: ведь результаты вы будете получать в реальном времени. Наконец, можно добавить перед указанием пути ключ --remove, чтобы зараженные файлы автоматически удалялись из системы, вместо помещения в карантин. Но будьте с этим осторожнее, так как в случае ложных срабатываний можно потерять нужные файлы.

Включить проверку ClamAV в системный планировщик очень просто. Просто введите

At 3.00 tomorrow
at>clamscan -i ~ > ~/test.txt

Отправьте задание, нажав Ctrl+D (at> во второй строке набирать не нужно). Команда запланирует антивирусное сканирование на 3 часа утра завтрашнего дня и сохранит результат в файле test.txt в домашнем каталоге. А если вам требуется ежедневное сканирование?

Его можно выполнять по-разному. Если вы пользователь настольной системы, запускайте сценарий оболочки при каждом сеансе работы или настройте его вызов в планировщике.

В первом случае просто скопируйте вторую строку предыдущего примера и вставьте ее как новое приложение автозапуска через System > Preferences > Startup Applications (Система > Настройки > Автозапуск). Пользователям KDE нужно сохранить эту строку в скрипте оболочки и скопировать его в каталог /home/user/.kde/AutoStart, а затем назначить ему права на выполнение.

Регулярные проверки

Во втором случае можно настроить периодические проверки с помощью Cron. Вам потребуется скопировать строку из предыдущего фрагмента кода в файл и назвать его scanscript.sh. Предварительно удостоверьтесь, что инструкции в файлах cron.allow или cron.deny обеспечивают вам доступ к Cron. Если ни одного из файлов нет, доступ будет только у суперпользователя-root, но если оба существуют, убедитесь, что ваше имя пользователя есть в первом файле, но не в последнем.

Прежде чем добавить запись в crontab, установите свой любимый текстовый редактор в переменной $EDITOR. Иными словами, наберите:
export EDITOR=nano

Тогда вы сможете дописать в конец файла такой код:

0 * * * * sh /путь/к/scanscript.sh

Если в качестве редактора вы выбрали Nano, нажмите Ctrl+X для выхода с сохранением. Теперь Cron будет запускать антивирус из файла скрипта по часам, каждый час ежедневно.

Чтобы понять, как работает этастрока, взгляните на таблицу. День с номером 0 с точки зрения Cron – воскресенье. Звездочка * означает, что скрипт будет срабатывать при каждой отметке данной временной шкалы. Справляясь с таблицей, можно задать любой нужный интервал запуска.

Наконец, если вы не хотите получать от системы письма с результатами выполнения задания, измените предыдущую строку таким образом:

0 * * * * sh /путь/к/scanscript.sh > /dev/null 2>&1

Планирование обновлений сигнатур вирусов мало чем отличается от планирования запуска проверки. Однако над периодичностью обновлений нужно немного подумать. Антивирусные проверки лучше запускать почаще, для обеспечения чистоты, но обновления сигнатур обычно производятся не чаще раза в день. Поэтому выполнять их при каждом входе в систему – лишняя трата системных ресурсов.

Свежие сигнатуры

На современных настольных системах накладные расходы не чрезмерны, но их стоит учесть, когда дело касается постоянно включенных сетевых устройств с невысокой производительностью или файловых серверов. На рабочем столе можно запускать обновление вручную через графический интерфейс ClamTK, но всегда есть опасность об этом позабыть.

Поэтому советуем выполнять обновление сигнатур вирусов как минимум раз в день, чтобы гарантировать защиту от самых свежих угроз без лишних действий. Наилучший вариант решения этой задачи – добавить в crontab следующую строку:

0 3 * * * sh /путь/к/scanscript.sh

Она гарантирует, что обновления вирусов будут происходить каждый день или, во всяком случае, не в то время, когда потребление системных ресурсов резко возрастает.
Числовые диапазоны Crontab

Временная шкала Минуты Часы Дни Месяцы Дни недели
Диапазон 0–59 0–23 1–31 1–12 0–6

Другие антивирусные продукты

Хотя ClamAV прост в установке, настройке и управлении, вы можете предпочесть ему готовое решение для защиты настольной системы от вирусов Linux и Windows. Существует несколько коммерческих альтернатив ClamAV.

Они нацелены в основном на поиск вирусов Windows, нашедших пристанище в Linux, но весьма пригодятся при наличии двойной загрузки или компьютеров с Windows в локальной сети.

Антивирус касперского 5.6 для Linux Mail Server

Антивирус Касперского® 5.6 для Linux Mail Server (далее называемый Антивирус Касперского или приложение) обеспечивает антивирусную защиту почтового трафика и файловых систем серверов, работающих под управлением операционных систем Linux или FreeBSD и использующих почтовые системы Sendmail, Postfix, qmail или Exim.

Приложение позволяет:
Проверять файловые системы сервера, входящие и исходящие почтовые сообщения на наличие угроз.
Обнаруживать зараженные, подозрительные, защищенные паролем и недоступные для проверки объекты.
Обезвреживать обнаруженные в файлах и почтовых сообщенияхугрозы. Лечить зараженные объекты.
Сохранять резервные копии сообщений перед их антивирусной обработкой и фильтрацией; восстанавливать сообщения из резервных копий.
Обрабатывать почтовые сообщения согласно правилам, заданным для групп отправителей и получателей.
Выполнять фильтрацию почтовых сообщений по имени, типу и размеру вложений.
Уведомлять отправителя, получателей и администратора об обнаружении сообщений, содержащих зараженные, подозрительные,
защищенные паролем и недоступные для проверки объекты.
Формировать статистику и отчеты о результатах работы.
Обновлять базы антивируса с серверов обновлений «Лаборатории Касперского» по расписанию и по требованию. Базы используются в процессе поиска и лечения зараженных файлов. На основе записей, содержащихся в них, каждый файл во время проверки анализируется на присутствие угроз: код файла сравнивается с кодом, характерным для той или иной угрозы.
Настраивать параметры и управлять работой приложения как локально (стандартными средствами операционной системы с помощью параметров командной строки, сигналов и модификацией
конфигурационного файла приложения), так и удаленно через вебинтерфейс программы Webmin.
Получать конфигурационную информацию и статистику работы приложения по протоколу SNMP, а также настроить приложение на отправку SNMP-ловушек при наступлении определенных событий

Аппаратные и программные требования к системе

Системные требования Антивируса Касперского следующие:
Аппаратные требования для почтового сервера, поддерживающего около 200 МБ трафика в день:
процессор Intel Pentium IV, 3 ГГц или выше;
1 ГБ оперативной памяти;
200 МБ свободного места на жестком диске (в это количество не входит пространство, необходимое для хранения резервных копий сообщений).
Программные требования:
для 32-битной платформы одна из следующих операционных систем:

o openSUSE 11.0;
o Debian GNU/Linux 4.0 r4;
o Mandriva Corporate Server 4.0;
o Ubuntu 8.04.1 Server Edition;
o FreeBSD 6.3, 7.0.
для 64-битной платформы одна из следующих операционных систем:
o Red Hat Enterprise Linux Server 5.2;
o Fedora 9;
o SUSE Linux Enterprise Server 10 SP2;
o openSUSE Linux 11.0.
Одна из перечисленных почтовых систем: Sendmail 8.12.x или выше, qmail 1.03, Postfix 2.x, Exim 4.х.
Программа Webmin (http://www.webmin.com), если планируется удаленное управление Антивирусом Касперского.
Perl версии 5.0 или выше (http://www.perl.org).

Установка приложения на сервер под управлением Linux

скачается deb пакет... после этого выполним

dpkg -i kav4lms_5.6-48_i386.deb

Постинсталляционная настройка

При установке Антивируса Касперского после завершения копирования файлов дистрибутива на сервер выполняется настройка системы. В зависимости от менеджера пакета этап конфигурации будет запущен автоматически либо (в случае, если менеджер пакета не допускает использование интерактивных cкриптов, как, например, rpm) его потребуется запустить вручную.

Для запуска процесса настройки приложения вручную в командной строке
введите:

# /opt/kaspersky/kav4lms/lib/bin/setup/postinstall.pl

В результате вам будет предложено выполнить следующие действия:
Если приложение обнаружит на компьютере конфигурационные файлы Антивируса Касперского 5.5 для Linux Mail Server или Антивируса Касперского 5.6 для Sendmail с Milter API, на этом шаге будет предложено выбрать, какой из файлов преобразовать и сохранить в формате текущей версии приложения, и, в случае выбора одного из файлов будет предложено заменить входящий в состав дистрибутива конфигурационный файл приложения восстановленным и преобразованным файлом.
Для того чтобы заменить входящий в состав дистрибутива конфигурационный файл приложения восстановленным файлом, введите в качестве ответа yes. Чтобы отказаться от замены, введите no.
По умолчанию преобразованные конфигурационные файлы сохраняются в следующих директориях:
kav4mailservers -

/etc/opt/kaspersky/kav4lms/profiles/kav4mailservers5.5-converted

/etc/opt/kaspersky/kav4lms/profiles/kavmilter5.6-converted

Указать путь к файлу ключа.
Обратите внимание, что если ключ не установлен, обновление баз антивируса и формирование списка защищаемых доменов в рамках процесса установки не выполняется. В этом случае необходимо выполнить эти действия самостоятельно после установки ключа.

Выполнить обновление баз антивируса. Для этого введите в качестве ответа yes. Если вы хотите отказаться от копирования обновлений сейчас, введите no. Вы сможете выполнить обновление позже с помощью компонента kav4lms-keepup2date (подробнее см. п. 7.2 на стр. 83).

Настроить автоматическое обновление баз антивируса. Для этого введите в качестве ответа yes. Чтобы отказаться от настройки автоматического обновления сейчас, введите no. Вы сможете выполнить эту настройку позже с помощью компонента kav4lmskeepup2date (подробнее см. п. 7.1 на стр. 82) или с помощью скрипта настройки приложения (подробнее см. п. 10.2 на стр. 103).

6. Установить webmin-модуль для управления Антивирусом Касперского через веб-интерфейс программы Webmin. Модуль удаленного управления будет установлен только при условии, что программа Webmin расположена в стандартном каталоге. После установки модуля будут даны соответствующие рекомендации по настройке его совместной работы с приложением. Введите в качестве ответа yes для установки webmin-модуля или no, чтобы отказаться от установки.

7. Определить список доменов, почтовый трафик которых будет защищаться от вирусов. Значение, предусмотренное по умолчанию – localhost, localhost.localdomain. Чтобы использовать его, нажмите на клавишу Enter.
Чтобы задать список доменов вручную, перечислите их в командной строке. Вы можете указать несколько значений, разделенных запятой, допускается использование масок и регулярных выражений. Точки в именах доменов должны быть «экранированы» с помощью символа «\».
Например:

re:.*\.example\.com

8. Интегрировать Антивирус Касперского в почтовую систему. Вы можете принять предлагаемый по умолчанию вариант интеграции с обнаруженной на компьютере почтовой системой или отказаться от интеграции и выполнить ее позже. Подробное описание интеграции с почтовой системой содержит Глава 4 на стр. 30.
По умолчанию для почтовых систем Exim и Postfix используется post-queue интеграция (см. п. 4.1.1 на стр. 31 и п. 4.2.1 на стр. 37).

Установка webmin-модуля для управления Антивирусом Касперского

Работой Антивируса Касперского можно также управлять удаленно через веб-браузер, используя программу Webmin.
Webmin – это программа, упрощающая процесс управления Linux/Unix-системой. Программа использует модульную структуру с возможностью подключения новых и разработки собственных модулей. Получить дополнительную информацию о программе и ее установке, а также скачать документацию и дистрибутив Webmin можно на официальном сайте программы:
http://www.webmin.com .
В дистрибутив Антивируса Касперского включен webmin-модуль, который можно либо установить в процессе постинсталляционной настройки приложения (см. п. 3.4 на стр. 21), если в системе уже установлена программа Webmin, либо в любой другой момент времени после установки программы Webmin.

Далее подробно рассматривается процесс подключения webmin-модуля для управления Антивирусом Касперского. Если при установке Webmin были использованы настройки по умолчанию, то по завершении установки доступ к программе можно получить с помощью браузера, подключившись через протокол HTTP/HTTPS на порт 10000.
Для того чтобы установить webmin-модуль управления Антивирусом Касперского необходимо:
Получить доступ через веб-браузер к программе Webmin с правами администратора данной программы.
1. В меню Webmin выбрать закладку Webmin Configuration и затем раздел Webmin Modules.
2. В разделе Install Module выбрать пункт From Local File и нажать на кнопку (см. рис. 1).

3. Указать путь к webmin-модулю приложения и нажать на кнопку ОК.

Примечание
Webmin-модуль представляет собой файл mailgw.wbm и устанавливается по умолчанию в каталог /opt/kaspersky/kav4lms/share/webmin/ (для дистрибутивов Linux)

В случае успешной установки webmin-модуля на экран будет выведено соответствующее сообщение.

Доступ к настройкам Антивируса Касперского можно получить, перейдя на закладку Others и затем щелкнув по значку Антивируса Касперского (cм. рис. 2).

Удаление приложения производится вот так:

Залее запустим нашь фильтр:

/etc/init.d/kas3 start && /etc/init.d/kas3-control-center start && /etc/init.d/kas3-milter start

Обновление антивирусных баз

Выполним одну команду:

/opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -s

Можно так же настроить Автоматическое обновление

задать автоматическое обновление баз антивируса каждый час.
В системном журнале фиксировать только ошибки при работе приложения. Вести общий журнал по всем запускам задачи, на консоль никакой информации не выводить.

Для реализации поставленной задачи выполните следующие действия:
1. В конфигурационном файле приложения задайте соответствующие значения для параметров, например:

KeepSilent=yes

Append=yes
ReportLevel=1

2. Отредактируйте файл, задающий правила работы процесса cron (crontab -e), введя следующую строку:

0 0-23/1 * * * /opt/kaspersky/kav4lms/bin/kav4lmskeepup2date -e

В любой момент времени вы можете запустить обновление баз антивируса из командной строки с помощью команды:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date

Пример: запустить обновление баз антивируса, сохранив результаты работы в файле /tmp/updatesreport.log.
Для реализации поставленной задачи в командной строке введите:

# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \
/tmp/updatesreport.log

ПРОВЕРКА КОРРЕКТНОСТИ РАБОТЫ ПРИЛОЖЕНИЯ

Примечание
Перед загрузкой необходимо отключить антивирусную защиту, поскольку файл anti_virus_test_file.htm будет идентифицирован и обработан установленным на компьютере антивирусом как зараженный объект, перемещаемый по HTTP-протоколу.
Не забудьте включить антивирусную защиту сразу после загрузки тестового “вируса”.

Еще небольшой ряд антивирусов для Debian

Эта скрытая жемчужина предназначена для запуска на серверах Linux с целью поиска уязвимостей DOS/Windows, но не хуже работает и в системах с двойной загрузкой, и гарантирует, что вредоносные программы для Windows не копируют себя на разделы Windows из Linux. Совершенно непонятно о чем автор тут написал, вирусы для Windows в Linux работать не смогут никогда, даже если они написаны на скриптовых языках. Можно только предположить ситуацию, когда вирус будет содержать специальный код Linux чтобы иметь возможность заражать параллельно установленную Windows. Продукт менее продвинутый, чем другие упомянутые здесь, но свою задачу это легкое приложение выполняет отлично.
Avast Linux Home Edition
Cайт: http://www.avast.com/linux-home-edition

У Avast те же функции, что и у AVG; его ключевое отличие – возможность управлять сканированием из командной строки, как у ClamAV, и его можно вызывать из скриптов оболочки. Интерфейс основан на родных библиотеках GTK, и среди портированных программ эта более всех чувствует себя в Linux, как дома.

Задавался ли ты хоть раз вопросом, нужен ли антивирус для Linux? Немало копий
было сломано в бесконечных спорах, и вот, ответ, вроде бы, очевиден - конечно
же, нужен! Но только если надо искать виндовые вирусы.

Казалось бы, можно считать за аксиому, что если на платформе есть вирусы - то
нужен и антивирус. Но с Linux не все так просто. Да, вирусы под Linux есть, но в
99% случаев - это черви, умеющие эксплуатировать одну-единственную уязвимость в
конкретном сервисе и, как правило, конкретном дистрибутиве (так как версия
сервиса, настройки, да и параметры компиляции меняются от дистрибутива к
дистрибутиву). Хорошим доказательством этого факта может служить, например,
Linux.Ramen (использующий уязвимости в wu-ftpd на Red Hat 6.2 и 7.0), макрочервь
Badbunny для OpenOffice или тот же червь Морриса.

Однако практически у каждого производителя антивирусов есть версия под Linux.
Правда, чаще всего это версия для почтового сервера, шлюза или общего
файлохранилища, для защиты виндовых клиентов. Но последнее время начало расти
количество антивирусов для Linux-десктопа. И производители соответствующих
продуктов пугают "прибывающим в геометрической прогрессии количеством малвари
под Linux". Использовать или нет антивирус на Linux-десктопе – личное дело
каждого. По мне – так пока популярность Linux на десктопах не превысила 1-2%, и
производители популярных дистрибутивов своевременно выпускают security-апдейты –
бояться нечего. Но бывают ситуации, когда надо проверить винт с виндой на вирусы
или флешку перед тем, как отдать кому-нибудь. В таких случаях и может
пригодиться антивирь под Linux.

Вообще, тестирование антивирей – дело неблагодарное, поскольку какого-то
объективного теста не существует, и все очень сильно зависит от тестового набора
вирусов (чем с успехом пользуются производители, периодически вынося на суд
общественности тесты, неоспоримо доказывающие, что их антивирус "самый-самый").
Так как во всех линуксовых антивирусах базы и ядро идентичны виндовой версии,
можно смело оценивать эффективность антивирусов под Linux по тестам виндовых
версий.

Платно

За большинство подобных антивирусов производители просят деньги. Если
антивирус делался с прицелом на корпоративных клиентов, он и стоить будет
неплохих денег. Но если антивирь нужен "на пару раз", то можно обойтись и
триальной лицензией (благо, большинство производителей ее предоставляют).

Обзор начну с Dr.Web для Linux , так как в апреле вышла "революционная"
версия под номером 6 с новыми интересными возможностями и графическим
интерфейсом. Имеется поддержка как 32-, так и 64-битных дистрибутивов. Установка
элементарна – с официального сайта скачивается.run-файлик, при запуске которого
появляется графический установщик. После пары нажатий кнопки "Далее" продукт
будет установлен. Если лицензионного ключа пока нет, то во время установки можно
запросить с сервера компании демо-ключ на 30 дней (демо-ключ можно запрашивать
не чаще 1 раза в 4 месяца). После установки в меню Gnome появится пункт "DrWeb"
(с двумя подпунктами: запуск антивируса и его удаление), а в трее появится
симпатичная, но не очень подходящая под дефолтную убунтовскую тему иконка,
символизирующая работу файлового монитора.

CLI-сканер тоже есть, для сканирования текущего каталога запускается так:

$ /opt/drweb/drweb ./

Если ругнется на отсутствие файла с ключом, то запускать с указанием
ini-файла, например:

$ /opt/drweb/drweb -ini=/home/adept/.drweb/drweb32.ini ./

Итого, за 799 рублей в год пользователь получит антивирус с графическим (GTK)
и CLI интерфейсом, интеграцией с DE, антивирусным сканером и монитором,
проверяющим файлы при обращении к ним. Учитывая общее с версией под винду ядро и
базы – довольно выгодное предложение для тех, кому для спокойного сна нужен
платный антивирус для Linux-десктопа.

В отличие от Dr.Web, в Лаборатории Касперского считают, что домашнему
Linux-пользователю антивирус совсем не нужен. А вот в корпоративном секторе
может и пригодиться. Поэтому Антивирус Касперского для Linux Workstation
нельзя купить отдельно, только в составе Kaspersky Total Space Security,
Kaspersky Enterprise Space Security, Kaspersky Business Space Security или
Kaspersky Work Space Security (то есть, от 7700 рублей в год). Обновляется
версия под Linux не очень активно – последний релиз (5.7.26) был аж в октябре
2008. На сайте доступны deb и rpm, заявлена поддержка как 32-, так и 64-бит. При
установке сразу требует выдать ему файл с лицензионным ключом (который можно
запросить на офсайте для тестирования), предлагает настроить прокси и скачать
последние версии баз, а также может установить специальный модуль для webim и
скомпилировать модуль ядра kavmonitor (позволяет перехватывать вызовы ядра на
обращения к файлам и проверять эти файлы на вирусы). К сожалению, kavmonitor не
поддерживает ядра новее 2.6.21 (для 32-битных систем) и 2.6.18 (для 64-битных),
поэтому на всех более-менее новых дистрибутивах придется обойтись без него.
Графического интерфейса у антивируса нет, только CLI. Запускается следующим
образом:

$ sudo /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner /tmp

Обновить базы можно так:

$ sudo /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date

Основные настройки антивируса хранятся в конфиге /etc/opt/kaspersky/kav4ws.conf.

Еще один популярный у нас на родине производитель антивирусов – ESET – тоже
имеет версию для Linux-десктопов (ESET NOD32 Antivirus 4 for Linux Desktop ),
которая, правда, пока носит статус бета-версии. Зато бета-версию можно абсолютно
бесплатно использовать до определенной даты. После выхода релиза, скорее всего,
бесплатно можно будет использовать только триальную версию. Поддерживаются
архитектуры x86 и x86-64, установка происходит с помощью графического
инсталлятора. По умолчанию антивирус ставится в /opt/eset. После установки нас
приветствует лаконичный интерфейс на GTK и иконка в системном трее,
символизирующая работу файлового монитора. Интерфейс можно переключить в "режим
эксперта", в котором добавится пара пунктов: Setup (для настройки сканера и
монитора) и Tools (для просмотра логов и файлов, находящихся на карантине). Есть
также CLI-сканер, сканирование текущего каталога:

$ /opt/eset/esets/sbin/esets_scan ./

Опция ‘-h’ покажет возможные опции сканирования.

Еще один достаточно крупный производитель антивирусных решений, имеющий
Linux-версии своих антивирусов – McAfee. Вообще, если оценивать только их
Linux-продукты, то вендор довольно странный (к слову, единственный, у кого
веб-сайт крутится на IIS – ничего личного, просто статистика:)). Вместо
All-in-one решения в их продуктовой линейке есть несколько отдельных решений для
Linux: LinuxShield (монитор, проверяющий файлы при обращении) и
VirusScan Command Line Scanner for Linux . LinuxShield стоит приблизительно в
2 раза дороже. Зато Command Line Scanner есть не только под Linux (x86 и
x86-64), но и практически под все мыслимые ОС: Windows, FreeBSD, Solaris, HP-UX
и AIX. McAfee позиционирует свои продукты как решения только для крупных
компаний, поэтому у партнеров можно купить не меньше 11 лицензий каждого
наименования продукта, а прежде чем скачать пробную версию, надо заполнить самую
большую регистрационную анкету, в которой подробно рассказать про свою компанию.

Command Line Scanner устанавливается скриптом install-uvscan из скачанного
архива. При установке скрипт задаст пару вопросов (куда установить и сделать ли
симлинки) и предложит сразу проверить всю ФС. Сканер не рассчитан на работу с
новыми дистрибутивами, поэтому без плясок с бубном на Ubuntu 10.04 не завелся,
ругнулся на отсутствие libstdc++.so.5. Пришлось ставить из

Дебиана. Это единственный антивирусный сканер, не имеющий какой-либо утилиты
для обновления. Новые базы предлагается скачивать самостоятельно и складывать в
инсталляционную директорию. Для сканирования текущей директории набираем:

Команда "man uvscan" поведает о большом количестве возможных опций разной
степени полезности.

LinuxShield официально поддерживает только RHEL и SLED, для других
дистрибутивов (и, соответственно, других ядер) необходимо пересобирать ядро с
модулями антивируса. Сомнительное удовольствие – пересобирать ядро при каждом
апдейте из-за одних только антивирусных модулей. К тому же не факт, что модули
соберутся с ядрами новее 2.6.18.

Халява

Некоторые производители для привлечения внимания к своей продукции выдают
бесплатные ключи для домашнего использования (в том числе и Linux-версий).

Так поступает, например, BitDefender. Ее продуктом BitDefender Antivirus
Scanner for Unices можно пользоваться совершенно бесплатно в личных целях.
После заполнения небольшой регистрационной анкеты на офсайте, на почту придет
письмо с ключом на год и напоминанием о том, что ключ "for personal usage only".
Еще один плюс в копилку BitDefender – количество версий: для скачивания доступны
deb- и rpm-пакеты, ipk (универсальный инсталлятор) и tbz для FreeBSD. И все это
как для 32-, так и для 64-битных ОС. Также внушает уважение мануал на 128
страниц. В составе антивируса только сканер, монитора нет. Сканер можно
запустить как через GUI (есть интеграция с DE), так и через CLI. Сканирование
текущего каталога:

Обновление баз:

$ sudo bdscan --update

Как обычно, "man bdscan" покажет много интересных опций.

Еще один бесплатный для персонального использования антивирус – AVG .
Есть версии под Linux (deb, rpm, sh и просто архив с бинарниками. Правда, только
32-битные) и FreeBSD (тоже только для x86). Для винды доступна 9-я версия, а для
никсов – пока только 8.5 (выпущена в январе 2010), но бета-версию грядущей
девятки можно скачать после регистрации. Кроме сканера есть монитор для
сканирования на лету. Только включение данной функции не тривиально: нужны
специальные модули для ядра (RedirFS или Dazuko). Графического интерфейса у
антивируса нет, только CLI. Сканирование текущей директории:

Обновление баз:

$ sudo avgupdate

Очередной претендент – avast . Можно получить бесплатную годовую
лицензию на персональное использование после регистрации. Есть deb, rpm и архив
с бинарниками. Правда, опять только для 32-бит. Также отсутствует интеграция с
DE. Запускается антивирус командой avastgui.

При первом запуске спросит регистрационный ключ или предложит пройти по
ссылке и получить его на сайте (однако не ведись: хитрый антивирус отправляет по
неправильной ссылке; правильный линк:

Www.avast.com/registration-free-antivirus.php).

Кроме GUI, есть также CLI-интерфейс. Сканирование текущего каталога:

Обновление баз:

$ sudo avast-update

Следующий вендор, предлагающий бесплатное домашнее использование своего
продукта – F-PROT. Версия для Linux: F-PROT Antivirus for Linux Workstations .
Есть версии для Linux (i386, x86-64 и PowerPC), FreeBSD, Solaris (для SPARC и
Intel) и даже AIX. Последняя версия для Linux (6.0.3) вышла в декабре 2009 года.
Установка осуществляется с помощью скрипта install-f-prot.pl. Скрипт просто
создает симлинки в /usr/local/bin (или любой другой указанной директории на
скачанные бинарники, поэтому лучше не устанавливать F-Prot, скажем, с рабочего
стола, а предварительно переместить его куда-нибудь, например, в /opt).
Последняя стадия установки – скачивание обновлений и постановка заданий на
ежечасное скачивание обновлений в крон. Запуск:

Параметрами можно задать много вещей: например, глубину рекурсии (по
умолчанию 30), уровни сканирования и уровень работы эвристика и т.д. (подробнее
читай "man fpsan"). Принудительное обновление баз можно запустить командой
fpupdate (лежит в инсталляционной директории).

Свобода

Самый известный (и по совместительству – единственный нормальный) OpenSource
антивирус – clamav . Есть консольный сканер и несколько GUI к нему (clamtk
для GTK и klamav для kde). Может работать также в качестве монитора через
DazukoFS. Правда, в большинстве тестов показывает не самые блестящие результаты.
Зато есть в репозитории любого дистрибутива, для любой архитектуры, и нет
никаких лицензионных ограничений. Самое то для нетребовательных пользователей!

DazukoFS

DazukoFS (от Dateizugriffskontrolle, с немецкого – контроль за доступом к
файлам) – специальная ФС, предоставляющая приложениям механизмы для контроля
доступа к файлам. Так как DazukoFS не входит в ванильное ядро, для того,
чтобы ею воспользоваться, придется пропатчить и пересобрать ядро. DazukoFS
используется многими антивирусами для реализации функции монитора.

Первые две версии Dazuko были разработаны и выпущены под лицензией GPL
компанией Avira GmbH. Третья версия, получившая название DazukoFS, была
полностью переписана уже силами сообщества.

Живой антивирус

LiveCD с антивирусом не раз выручал меня в ситуации, когда нужно было быстро
восстановить хоть какую-нибудь работоспособность винды, которая под грузом своих
вирусов ни в какую не хотела загружаться. К сожалению, выбор среди подобных
инструментов не очень велик – далеко не каждый вендор предлагает свой LiveCD, да
еще и на халяву.

Пожалуй, самый известный представитель – Dr.Web LiveCD . Текущая версия
(5.02) вышла довольно давно, и пока никаких публичных бета-версий нет (хотя
сборка с обновленными базами выходит каждые сутки). Но есть надежда, что, после
выхода версии 6 под Linux LiveCD, наконец обновят. Несмотря на то, что сборка
основана на не совсем старых компонентах (ядро, например, версии 2.6.30), ветка
про LiveCD на официальном форуме drweb полна сообщениями о том, что ОС в
графическом режиме не грузится на том или ином железе. На такой случай есть
SafeMode с голой консолькой и консольным сканером.

В отличие от Dr.Web, Касперский свой LiveCD особо не афиширует, на
офсайте о нем нет даже упоминания. Но от гугла ничего не скроешь! 🙂 LiveCD
можно свободно скачать

Отсюда. Грузится LiveCD довольно шустро. Только успеешь заметить, что он
построен на базе Gentoo и ядре 2.6.31, как выскочит лицензионное соглашение.
После принятия условий использования запускается GUI (внешне похожий на kav
2010) с возможностью сканирования и обновления баз.

У AVG тоже есть свой LiveCD. При запуске встречает лицензионным
соглашением, которое, конечно же, внимательно прочитав, надо принять (иначе –
ребут). Единственный LiveCD, имеющий псевдографический интерфейс. При загрузке
автоматически монтирует виндовые разделы, при этом разделы с ФС, отличной от FAT
или NTFS, монтировать отказывается. Но из псевдографического интерфейса можно
выйти (а при необходимости командой arl запустить опять), смонтировать руками и
запустить проверку из консоли. Из полезностей можно еще отметить тулзу для
редактирования реестра (Windows Registry Editor).

Бывают случаи, когда результатов проверки одним антивирусом недостаточно.
Видимо, так думали создатели дистрибутива ViAvRe (Virtual Antivirus
Rechecker ), содержащего целый ворох различных антивирусов: Avg, Avast,
Doctor Web (CureIt), McAfee, BitDefender, F-Prot. Проект еще очень молодой, но
уже подает большие надежды. Последняя на момент написания статьи версия (04.10,
вышедшая в апреле этого года) создана на базе OpenSuse 11.2 с помощью SuSeStudio.
Еще одна фишка дистрибутива – команда viavre-update, позволяющая обновить базы
сразу для всех установленных антивирусов. Выпускается LiveCD в двух редакциях:
full версия с KDE (и минимальными требованиями в 768 Мб ОЗУ) и light версия с
LXDE (поставляется без антивируса mcafee, avg, firefox, virtualbox и k3b;
способна работать на 256 Мб ОЗУ).

Заключение

К сожалению, рассмотреть удалось далеко не все антивирусы для Linux, а только
наиболее известные. За бортом остались, например, Panda DesktopSecure for Linux www.avast.com/linux-home-edition – avast! Linux Home Edition
www.clamav.net – ClamAV

Code.google.com/p/viavre/ – ViAvRe

WARNING

Помни, что лечение винды с LiveCD не всегда безопасно. На форумах полно
тем про то, что после такого лечения винда не загружалась.

• Tutorial

В последние месяцы меня преследуют проблемы с вирусами на моих файловых серверах. То Nod32 блокирует поддомены, то Касперский вносит сайт в черный список. Меня это никак не может радовать и я принял решение настроить какой нибудь антивирус.

На всех серверах уже установлен и настроен Clam AntiVirus . Его я использовал несколько лет назад, но вирусы класса Trojan-SMS.J2ME он к сожалению не всегда находит.

Изучив результаты Google я толком так ничего и не нашел.

Обращаясь в очередной раз в службу поддержки Касперского с просьбой убрать сайт из списка подозрительных я наткнулся на пунктик kaspersky for linux file server . Его то я и решил протестировать.

Поход в Google за помощью в установке и настройке этого антивируса тоже не дал результата. Все результаты ведут на сайт поддержки Касперского.

Неужели никто не ставил их дистрибутив на своих файловых серверах? Может есть какие то другие решения?

Ответы на эти вопросы для меня останутся тайной. Я остановился на указанном выше продукте и решил его протестировать.

Тестовый файл лицензии запрашиваем на сайте тех поддержки. Ответ приходит через несколько часов.

Приступим к установке

# dpkg -i kav4fs_8.0.1-145_i386.deb dpkg: error processing kav4fs_8.0.1-145_i386.deb (--install): package architecture (i386) does not match system (amd64) Errors were encountered while processing: kav4fs_8.0.1-145_i386.deb

Упс. У нас же amd64. А других дистрибутивов то у Касперского нет. Google тоже не отвечает.

#dpkg -i --force-architecture kav4fs_8.0.1-145_i386.deb (Reading database ... 38907 files and directories currently installed.) Unpacking kav4fs (from kav4fs_8.0.1-145_i386.deb) ... Setting up kav4fs (8.0.1-145) ... Starting Kaspersky Lab Framework Supervisor: kav4fs-supervisor. Kaspersky Anti-Virus for Linux File Server has been installed successfully, but it must be properly configured before using. Please run /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl script manually to configure it.

Прокатило:). Пробуем настроить.

# /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl Kaspersky Anti-Virus for Linux File Server version 8.0.1.145/RELEASE Installing the license The key file (a file with the .key extension) contains information about your license. You need to install it to use the application. To install it now, enter the path to your key file (or enter an empty string to continue without installing the key file): /xxx/xxx.key The license from /xxx/xxx.key has been installed. Configuring the proxy settings to connect to the updates source If you use an HTTP proxy server to access the Internet, you need to specify its address to allow the application to connect to the updates source. Please enter the address of your HTTP proxy server in one of the following formats: proxyIP:port or user: :port. If you don"t have or need a proxy server to access the Internet, enter "no" here, or enter "skip" to use current settings without changes. : Downloading the latest application databases The latest databases are an essential part of your server protection. Would you like to download the latest databases now? (If you answer "yes", make sure you are connected to the Internet): : nabling scheduled updates of the application databases Would you like to enable scheduled updates? [N]: Setting up the kernel-level real-time protection Would you like to compile the kernel-level real-time protection module? : no Would you like to disable the real-time protection? : yes Warning: The real-time protection is DISABLED. Error: The kernel-level real-time protection module is not compiled. To manually recompile the kernel-level real-time protection module, start /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --build[=PATH]. Setting up the Samba server real-time protection Error: The installer couldn"t find a Samba server on your computer. Either it is not installed, or is installed to an unknown location. If the Samba server is installed, specify the server installation details and enter "yes". Otherwise, enter "no" (the Samba server configuration step will be interrupted): : You can configure Samba server protection later by running the initial configuration script again by executing /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba The real-time protection of Samba server was not setup. You can run the initial configuration script again by executing /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba Setting up the Web Management Console Warning: Password file not found, Kaspersky Web Management Console will not be started until correct password is set! Would you like to set password for Kaspersky Web Management Console? : Starting Kaspersky Web Management Console: kav4fs-wmconsole: password file not found! failed! You can change password for Kaspersky Web Management Console by executing /opt/kaspersky/kav4fs/bin/kav4fs-wmconsole-passwd Starting the real-time protection task The task has been started, runtime ID: 1341314367.

Real-time protection меня как бы вообще не интересует. Мне нужно только проверять указанный файл и получать результат проверки.

21 сентября 2012 в 18:21

Устанавливаем Kaspersky Anti-Virus for Linux File Server

• Антивирусная защита

• Tutorial

В последние месяцы меня преследуют проблемы с вирусами на моих файловых серверах. То Nod32 блокирует поддомены, то Касперский вносит сайт в черный список. Меня это никак не может радовать и я принял решение настроить какой нибудь антивирус.

На всех серверах уже установлен и настроен Clam AntiVirus . Его я использовал несколько лет назад, но вирусы класса Trojan-SMS.J2ME он к сожалению не всегда находит.

Изучив результаты Google я толком так ничего и не нашел.

Обращаясь в очередной раз в службу поддержки Касперского с просьбой убрать сайт из списка подозрительных я наткнулся на пунктик kaspersky for linux file server . Его то я и решил протестировать.

Поход в Google за помощью в установке и настройке этого антивируса тоже не дал результата. Все результаты ведут на сайт поддержки Касперского.

Неужели никто не ставил их дистрибутив на своих файловых серверах? Может есть какие то другие решения?

Ответы на эти вопросы для меня останутся тайной. Я остановился на указанном выше продукте и решил его протестировать.

Тестовый файл лицензии запрашиваем на сайте тех поддержки. Ответ приходит через несколько часов.

Приступим к установке

# dpkg -i kav4fs_8.0.1-145_i386.deb dpkg: error processing kav4fs_8.0.1-145_i386.deb (--install): package architecture (i386) does not match system (amd64) Errors were encountered while processing: kav4fs_8.0.1-145_i386.deb

Упс. У нас же amd64. А других дистрибутивов то у Касперского нет. Google тоже не отвечает.

#dpkg -i --force-architecture kav4fs_8.0.1-145_i386.deb (Reading database ... 38907 files and directories currently installed.) Unpacking kav4fs (from kav4fs_8.0.1-145_i386.deb) ... Setting up kav4fs (8.0.1-145) ... Starting Kaspersky Lab Framework Supervisor: kav4fs-supervisor. Kaspersky Anti-Virus for Linux File Server has been installed successfully, but it must be properly configured before using. Please run /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl script manually to configure it.

Прокатило:). Пробуем настроить.

# /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl Kaspersky Anti-Virus for Linux File Server version 8.0.1.145/RELEASE Installing the license The key file (a file with the .key extension) contains information about your license. You need to install it to use the application. To install it now, enter the path to your key file (or enter an empty string to continue without installing the key file): /xxx/xxx.key The license from /xxx/xxx.key has been installed. Configuring the proxy settings to connect to the updates source If you use an HTTP proxy server to access the Internet, you need to specify its address to allow the application to connect to the updates source. Please enter the address of your HTTP proxy server in one of the following formats: proxyIP:port or user:pass@proxyIP:port. If you don"t have or need a proxy server to access the Internet, enter "no" here, or enter "skip" to use current settings without changes. : Downloading the latest application databases The latest databases are an essential part of your server protection. Would you like to download the latest databases now? (If you answer "yes", make sure you are connected to the Internet): : nabling scheduled updates of the application databases Would you like to enable scheduled updates? [N]: Setting up the kernel-level real-time protection Would you like to compile the kernel-level real-time protection module? : no Would you like to disable the real-time protection? : yes Warning: The real-time protection is DISABLED. Error: The kernel-level real-time protection module is not compiled. To manually recompile the kernel-level real-time protection module, start /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --build[=PATH]. Setting up the Samba server real-time protection Error: The installer couldn"t find a Samba server on your computer. Either it is not installed, or is installed to an unknown location. If the Samba server is installed, specify the server installation details and enter "yes". Otherwise, enter "no" (the Samba server configuration step will be interrupted): : You can configure Samba server protection later by running the initial configuration script again by executing /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba The real-time protection of Samba server was not setup. You can run the initial configuration script again by executing /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba Setting up the Web Management Console Warning: Password file not found, Kaspersky Web Management Console will not be started until correct password is set! Would you like to set password for Kaspersky Web Management Console? : Starting Kaspersky Web Management Console: kav4fs-wmconsole: password file not found! failed! You can change password for Kaspersky Web Management Console by executing /opt/kaspersky/kav4fs/bin/kav4fs-wmconsole-passwd Starting the real-time protection task The task has been started, runtime ID: 1341314367.

Real-time protection меня как бы вообще не интересует. Мне нужно только проверять указанный файл и получать результат проверки.

Пробуем тестовый вирус

Создаем тестовый файл virus с содержимым

X5O!P%@AP}