AntiVir
Aus Ubuntu-Forum Wiki
(→Nutzung und Konfiguration) |
Wowi (Diskussion | Beiträge) K (→Allgemeines: Rechtschreibung korrigiert) |
||
Zeile 2: | Zeile 2: | ||
__TOC__ | __TOC__ | ||
=Allgemeines= | =Allgemeines= | ||
- | In der Linuxgemeinschaft viel diskutiert ist die Thematik des Einsatzes einer Antivirensoftware. Verneint aufgrund der restriktiven Rechteverwaltung, der geringen Zahl bekannter Schadsoftware, zur Ressourcenschonung und der Tatsache | + | In der Linuxgemeinschaft viel diskutiert ist die Thematik des Einsatzes einer Antivirensoftware. Verneint aufgrund der restriktiven Rechteverwaltung, der geringen Zahl bekannter Schadsoftware, zur Ressourcenschonung und der Tatsache, dass Sicherheitslücken schnell geschlossen werden, wird jedoch der Einsatz bei [[Vor_der_Installation#Multi-Boot|Multibootkonfiguration]] und in Netzwerken mit Nicht-Linux-Systemen empfohlen. Hierfür bietet Avira GmbH verschiedene kostenpflichtige Lösungen für Server und Arbeitsstationen, sowie für den privaten Gebrauch eine kostenlose jedoch nicht linzenzfreie Version. Nachfolgende Darstellungen beruhen auf der Betrachtung von Avira AntiVir Personal 3.x für den Einsatz auf Desktop- und Laptopsystemen. |
{| {{Warnung}} | {| {{Warnung}} |
Version vom 14. April 2009, 19:00 Uhr
Inhaltsverzeichnis |
1 Allgemeines
In der Linuxgemeinschaft viel diskutiert ist die Thematik des Einsatzes einer Antivirensoftware. Verneint aufgrund der restriktiven Rechteverwaltung, der geringen Zahl bekannter Schadsoftware, zur Ressourcenschonung und der Tatsache, dass Sicherheitslücken schnell geschlossen werden, wird jedoch der Einsatz bei Multibootkonfiguration und in Netzwerken mit Nicht-Linux-Systemen empfohlen. Hierfür bietet Avira GmbH verschiedene kostenpflichtige Lösungen für Server und Arbeitsstationen, sowie für den privaten Gebrauch eine kostenlose jedoch nicht linzenzfreie Version. Nachfolgende Darstellungen beruhen auf der Betrachtung von Avira AntiVir Personal 3.x für den Einsatz auf Desktop- und Laptopsystemen.
Fremdsoftware /-pakete können die Integrität des Systems gefährden. |
2 Allgemein zu AntiVir Personal 3.x für UNIX/Linux
Avira bietet mit dem auf Savapi basierenden AvGuard einen OnAccess~ und OnDemand-Scanner für UNIX-basierte Systeme. Dies ermöglicht Dateien mit einer Größe von mehreren GB zu scannen. Über einen gemeinsam verwendeten Daemon werden der AvGuard, als auch der Guard-basierende Kommandozeilenscanner mittels avscan gesteuert. Dies ermöglicht den einmaligen Scan bei gleichzeitig durch den AvGuard überwachtem Verzeichnis. Durch die Unterstützung von DazukoFS 3.x (Voreinstellung) und Dazuko 2.3.x wird das öffnen (ausführen) einer Datei (Motto unter Linux: Alles ist eine Datei.) abgefangen und untersucht. Einschränkend bietet AntiVir Personal 3.x keine grafische Nutzeroberfläche, wodurch Konfiguration und Bedienung des Programms nur möglich ist per Skript und Kommandozeile. Zudem ist es nicht möglich gepackte Archive (bzip, gzip, rar, ...) und den Inhalt einer MailBox (mbox) durch den AvGuard zu kontrollieren, da diese Funktionen den Serverversionen vorbehalten ist. Highlight ist der Installer. Dieser ermöglicht bei vorhandener Build-Umgebung die automatisierte Installation von DazukoFS, ... Dazu ist, nachdem das Paket antivir_workstation-pers.tar.gz heruntergeladen und entpackt wurde, ein Terminal zu öffnen und in das entpackte Verzeichnis zu wechseln. Anschließend kann die Installation gestartet werden:
sudo ./install
Zudem ist nach Abschluss der Installation die Datei modules im Verzeichnis /etc um den Eintrag dazukofs in einer neuen Zeile zu ergänzen.
sudo echo 'dazukofs' >> /etc/modules
Dadurch wird sichergestellt, dass das Modul während des Bootvorgang in den Kernel geladen wird vor dem mounten des Dateisystem.
Nachfolgend soll jedoch ausführlich auf die Installation von Hand eingegangen werden, um so dem Nutzer einen tiefer gehenden Einblick in sein eigenes System zu gewähren.
Vor Installation von AntiVir Personal 3.x ist sicher zu stellen, dass eine frühere Version, AntiVir Personal 2.x, komplett deinstalliert ist. Ebenfalls sollte, sofern vorhanden, Dazuko 2.3.x deinstalliert werden. Änderungen am System in diesem Zusammenhang sind ebenfalls rückgängig zu machen. |
3 Vorraussetzungen
Grundsätzlich besteht die Möglichkeit das Programm bei Bedarf (On-Demand) über die Kommandozeile zu bedienen. Wünscht man zudem die permanente Überwachung durch den Guard im Hintergrund (On-Access), so sind weitere Voraussetzungen zu schaffen.
3.1 Dazuko (Dateizugriffskontrolle)
Dazuko, ursprünglich von H+BEDV Datentechnik GmbH entwickelt, ist ein Projekt welches unter Linux ermöglicht Dateizugriffe durch Dritt-Anwendungen kontrollieren zu lassen. Abhängig von der verwendeten Kernelversion, ist zur Nutzung des permanenten Schutz durch den AvGuard von AntiVir das Modul dazukofs.ko oder dazuko.ko für den Kernel zu kompilieren und installieren:
- DazukoFS 3.x ab Kernelversion 2.6.27
- Dazuko 2.3.x bis Kernelversion 2.6.26
Für die unter Ubuntu eingesetzten Standartkernel bestehen zur Zeit folgende Variationen:
Nachfolgend, für die Ausführung der Befehle im Terminal sind Administratorrechte temporär oder permanent erforderlich. Die Darstellungen der Quelltexte basieren auf permanente Rechte als Administrator, welche man erlangt durch Ausführung des Befehls sudo -s, Eingabe des Passwortes und beendet durch exit. |
3.1.1 DazukoFS
3.1.1.1 Installation von DazukoFS
Zur Installation von DazukoFS wird ein entsprechendes Paket zur verwendeten Ubuntu-Version benötigt. Folgende Pakete sind im Paket antivir_workstation-pers.tar.gz unter .../contrib/dazuko enthalten:
Mit dem Befehl cp ist das jeweilige Paket für die wiederholte Nutzung nach /usr/src zu kopieren:
cp /Pfad/zu/dazukofs-3.0.0-rc4_"version".tar.gz /usr/src
Anschließend wechselt man mit cd in das Verzeichnis /usr/src und entpackt mittels dem Befehl tar das Quellpaket:
tar -xzvf dazukofs-3.0.0-rc4_"version".tar.gz
Nach dem Wechsel in das entpackte Verzeichnis dazukofs-3.0.0-rc4_"version" erfolgen kompilieren und installieren des Modul unter der aktuell verwendeten Kernelversion durch Ausführung von:
make make dazukofs_install
Anschließend kann das Modul geladen werden und es ist zu prüfen ob dabei Fehler auftraten, das Modul in das System eingebunden wurde:
modprobe dazukofs dmesg | grep dazukofs cat /proc/filesystems | grep dazukofs
Um das Modul bei Systemstart automatisch in den Kernel laden zu lassen, sollte die Datei modules im Verzeichnis /etc mit einem Editor seiner Wahl um den Eintrag dazukofs in einer neuen Zeile ergänzt werden.
Sollte das entpackte Quellverzeichnis dazukofs-3.0.0-rc4_"version" nicht mehr benötigt werden, so kann dieses nach einem Wechsel in das nächsthöhere Verzeichnis mit dem Befehl rm gelöscht werden:
rm -r dazukofs-3.0.0-rc4_"version"
Nach jedem Update des Kernel und der Header muss das Modul erneut kompiliert und installiert werden. Sollte DazukoFS von der Projektseite heruntergeladen werden, so ist es gegebenenfalls nötig den Quellcode anzupassen. Näheres dazu im HowTo der Projektseite bzw. in der README des Download. |
3.1.1.2 Mounten von Verzeichnissen über DazukoFS
Verzeichnisse, welche von einer Dritt-Anwendung über DazukoFS auf Dateizugriffe überprüft werden sollen, können wie folgt per Hand über das Terminal ein- und ausgehangen werden.
mount -t dazukofs /Absoluter/Pfad /Absoluter/Pfad umount /Absoluter/Pfad
Um Verzeichnisse bei Systemstart automatisch mounten zu lassen, sollte die Datei fstab im Verzeichnis /etc um entsprechende Einträge je Verzeichnis am Ende ergänzt werden, wodurch Unterverzeichnisse mit eingeschlossen werden.
/Absoluter/Pfad /Absoluter/Pfad dazukofs defaults 0 0
In beiden Fällen ist darauf zu achten, dass die angegebenen Pfade identisch sind, um so die Gleichheit der Daten zu garantieren. Samba, Netatalk und NFS werden ebenfalls unterstützt, sofern über DazukoFS gemountet bevor der Service gestartet wird.
Sofern keine Dritt-Anwendung gemountete Verzeichnisse auf Dateizugriffe kontrolliert, können diese ausgehangen werden. Zudem sollte man es vermeiden das Wurzelverzeichnis /, die speziellen Dateisysteme /dev, /proc, /sys und Linux-Fremde Dateisysteme wie NTFS über DazukoFS zu mounten, da dies zu Datenverlust, dem fehlen von Funtionen bzw. zur Instabilität des kompletten System führen kann. Das mounten von /media per fstab, dem Mountpunkt für entfernbare Datenträger, bleibt ohne Wirkung. |
3.1.1.3 Testen von DazukoFS
Um zu prüfen ob DazukoFS "fehlerfrei" arbeitet, gibt es die Möglichkeit das im Paket enthaltene Testprogramm zu nutzen. Vorab ist eine Testumgebung einzurichten und das Modul sollte bereits geladen sein.
mkdir /tmp/dazukofs_test mount -t dazukofs /tmp/dazukofs_test /tmp/dazukofs_test cp /bin/* /tmp/dazukofs_test
Nach dem Wechsel in das Unterverzeichnis test kann das Testprogramm im ersten Terminal kompiliert und gestartet werden.
make env LD_LIBRARY_PATH=lib ./showfiles
In einem zweiten Terminal erfolgt der Dateizugriff, woraufhin im ersten Terminal dies dokumentiert werden sollte.
find /tmp/dazukofs_test -type f | xargs file
Abschließend kann die Testumgebung wieder entfernt werden, nachdem das Testprogramm via Strg + C beendet wurde.
umount /tmp/dazukofs_test rm -r /tmp/dazukofs_test
3.1.1.4 Deinstallation von DazukoFS
Um DazukoFS zu deinstallieren, ist das bei der Installation angelegte Verzeichnis mit enthaltenem Modul zu löschen.
rm -r /lib/modules/`uname -r`/kernel/fs/dazukofs
Abschließend ist dem System mitzuteilen, dass es dieses Modul nicht mehr gibt.
depmod -a
Zudem sind am System vorgenommene Änderungen, wie z.B. ein Eintrag von dazukofs in der Datei /etc/modules, rückgängig zu machen.
3.1.2 Dazuko 2.3.x
3.1.2.1 Installation von Dazuko 2.3.x
Zur Installation unter wird das Paket dazuko-2.3.5.tar.gz benötigt, welches von der Projektseite heruntergeladen mittels dem Befehl cp, für die wiederholte Nutzung, nach /usr/src kopiert wird.
cp /Pfad/zu/dazuko-2.3.5.tar.gz /usr/src
Anschließend wechselt man mit cd in das Verzeichnis /usr/src und entpackt mittels dem Befehl tar das Quellpaket:
tar -xzvf dazuko-2.3.5.tar.gz
Nach dem Wechsel in das entpackte Verzeichnis dazuko-2.3.5, ist die aktuell genutzte Kernelversion zu ermitteln.
uname -r
Anschließend ist das zu bauende Kernelmodul zu konfigurieren:
./configure --disable-local-dpath --disable-chroot-support --enable-syscalls --sct-readonly --mapfile=/boot/System.map-`uname -r` --kernelsrcdir=/usr/src/linux-headers-`uname -r`
Modulbau und Installation erfolgt durch das nacheinander Ausführen der Befehle make, make test und make install.
Im Anschluss ist das installierte Modul in den Kernel zu laden:
insmod /lib/modules/`uname -r`/extra/dazuko.ko
Ob das Modul ordnungsgemäß in den Kernel geladen wurde ist prüfbar mit:
dmesg | grep dazuko
Nun ist zu prüfen welche Listennummer durch Dazuko im System verwendet wird:
cat /proc/devices | grep dazuko
Die Ausgabe sollte regulär folgendes wiedergeben:
254 dazuko
Durch nachfolgende Befehle ist letztlich noch die Gerätedatei anzulegen und entsprechende Rechte zu setzen. Sollte abweichend eine anderweitige Nummerierung durch das System gegeben sein, so ist entsprechend eine Anpassung notwendig.
rmmod dazuko mknod -m 600 /dev/dazuko c 254 0 chown root:root /dev/dazuko
Abschließend kann das entpackte Verzeichnis dazuko-2.3.5 gelöscht werden, nachdem man in das nächsthöhere Verzeichnis gewechselt hat.
rm -r dazuko-2.3.5
Um das Modul bei Systemstart automatisch in den Kernel laden zu lassen, muss die Datei modules im Verzeichnis /etc mit einem Editor seiner Wahl um den Eintrag dazuko in einer neuen Zeile ergänzt werden.
Abweichend zu o.a. beschriebenen Vorgang des Eigenbau, sollte unter und das Kernelmodul capability.ko bereits vorhanden sein und die Konfiguration erfolgt durch den einfachen Aufruf:
./configure
Zudem ist sicherzustellen, dass das Modul dazuko vor dem Modul capability bei Systemstart geladen wird.
Nach jedem Update des Kernel und der Header muss das Modul erneut kompiliert und installiert werden. |
3.1.2.2 Deinstallation von Dazuko 2.3.x
Um Dazuko 2.3.x zu deinstallieren, ist das bei der Installation angelegte Verzeichnis, sofern nicht weitere Module enthalten sind, oder das Modul selbst zu löschen.
rm -r /lib/modules/`uname -r`/extra rm /lib/modules/`uname -r`/extra/dazuko.ko
Abschließend ist dem System mitzuteilen, dass es dieses Modul nicht mehr gibt.
depmod -a
Zudem sind am System vorgenommene Änderungen, wie z.B. ein Eintrag von dazuko in der Datei /etc/modules, rückgängig zu machen.
3.2 AppArmor
Bei Installation von DazukoFS und Dazuko 2.3.x unter ist eine Deinstallation von AppArmor aufgrund eines Konfliktes nicht mehr notwendig.
3.3 Laufzeitumgebung auf 64-bit Systemen
Ubuntu bietet die Möglichkeit sich für ein 32-bit oder 64-bit System zu entscheiden. Um AntiVir auf einem 64-bit System fehlerfrei installieren und nutzen zu können, bedarf es der 32-bit Laufzeitumgebung. Die benötigten Bibliotheken können wie folgt über das Terminal installiert werden, administrative Rechte vorausgesetzt:
apt-get install ia32_libs
4 AntiVir Personal 3.x für UNIX/Linux
4.1 Installation
Nachfolgender Ablauf berücksichtigt die Installation von Kommandozeilenscanner, Updater und Guard, sowie entsprechende Verlinkungen für den Mehrbenutzerbetrieb. Der Installer von AntiVir erkennt das dazukofs in den Kernel geladen und das Verzeichnis /home mittels /etc/fstab über DazukoFS gemounted ist. Nachdem das Paket antivir_workstation-pers.tar.gz bereits entpackt wurde, ist das Terminal zu öffnen und in das entpackte Verzeichnis zu wechseln. Anschließend kann die Installation gestartet werden, wobei auch hier Administratorrechte notwendig sind.
./install
Während des englischsprachigen Installationprozesses werden Abfragen gestellt, welche entsprechend vom Nutzer mit "y" für ja und "n" für nein zu beantworten sind.
Press <ENTER> to view the license.
Nach Bestätigung, können die Lizensbedingungen mit der Leertaste durchgelesen und mittels Taste q verlassen werden.
Do you agree to the license terms? [n] y
Diese Frage sollte mit "y" wie dargestellt beantwortet werden, da sonst an dieser Stelle die Installation abgebrochen wird. Das Hauptverzeichnis von AntiVir wird angelegt unter /usr/lib, und die Komponennten - Engine, Savapi und Updater - werden im ersten Schritt installiert. Anschließend erfolgt die Konfiguration der Einstellungen für Updates.
Would you like to create a link in /usr/sbin for avupdate ? [y] y Would you like to setup Engine and Signature updates as cron task ? [y] y available options: d [2] 2 Would you like to check for Guard updates once a week ? [n] y
Wie dargestellt sollten diese Fragen mit "y" beantwortet werden. Die wöchentliche Prüfung auf Updates des kompletten Produktes umfasst Scanner, Engine und Signaturen, automatisiert vom System vorgenommen. Zudem besteht die Möglichkeit von Hand zu aktualisieren. Im dritten Schritt werden nun Hauptprogramm und AvGuard installiert und eingerichtet.
Dazukofs module is loaded Guard will automatically protect all directories which are mounted upon dazukofs filesystem. The following directories will be protected by Guard: /home
Soll Dazuko 2.3.x statt DazukoFS 3.x verwendet werden, so ist die Frage ob DazukoFS installiert werden soll zu verneinen und Dazuko 2.3.x zur Nutzung mit dem AvGuard einzurichten.
/home/quarantine, the AVIRA Guard default quarantine directory, does not exist. Would you like to create /home/quarantine ? [y] n
Per Voreinstellung ist es möglich die Quarantänezone entsprechend einzurichten. Diese sollte sich jedoch nicht in einem über DazukoFS gemounteten Verzeichnis befinden.
Would you like to install the AVIRA Guard GNOME plugin ? [n] y
Nutzer der Desktopumgebung Gnome haben hier optional die Möglichkeit sich ein vorkompiliertes Applet für die Anzeige des Guard-Status und optischer Warnungen installieren zu lassen. Dieses brauch lediglich nach Abschluss der Installation dem Panel hinzugefügt zu werden.
Would you like to create a link in /usr/sbin for avguard ? [y] y Please specify if boot scripts should be set up. Set up boot scripts [y]: y
Die entsprechende Beantwortung der Fragen ermöglichen den automatisierten Start während des Bootvorgang und die Steuerung des AvGuard. Im nun letzten Abschnitt der Installation erfolgt die Abfrage ob das Plugin für die Steuerung über die "Security Management Console" installiert werden soll. Dieses wird nur benötigt zur Remote-Steuerung, weshalb Elemente für eine grafische Nutzeroberfläche enthalten sind.
Would you like to activate SMC support? [y] n
Abschließend kann nun der AvGuard gestartet werden, gefolgt von einer zusammenfassenden Ausgabe der wesentlichen Konfigurationsdateien und dem Hinweis des manuell auszuführenden Updates.
Would you like to start AVIRA Guard now? [y] y
Zudem, nach einem Wechsel in das nächsthöhere Verzeichnis, kann das entpackte Verzeichnis sofern nicht mehr benötigt gelöscht werden.
rm -r antivir-workstation-pers-"version"
Während des Installationsprozesses wurde die Gruppe antivir auf dem System erstellt. Um Nutzern die Konfiguration von AvGuard, AvScanner, AvUpdater und die Verwaltung der Quarantäne zu ermöglichen, sind diese als Mitglieder der Gruppe hinzuzufügen. Änderungen diesbezüglich werden erst nach Neustart des System wirksam.
Soll ein Upgrade, Update einer installierten Version durchgeführt werden, ist eine vorherige Deinstallation nicht notwendig. Die Installation brauch lediglich erneut ausgeführt werden. |
4.2 Nutzung und Konfiguration
Während der Installation, wird im Hauptverzeichnis von AntiVir unter /usr/lib eine PDF-Datei hinterlegt, welche eine umfangreiche Dokumentation zur Bedienung bietet. Informationen zur verwendeten Version von AntiVir lassen sich über Terminal wie folgt aufrufen:
avlinfo
Die Möglichkeit Dateien zu reparieren, umzubenennen, zu verschieben oder gar löschen zu lassen ist abhängig von der Rechteverwaltung (Root darf alles!) und sollte mit entsprechender Vorsicht genutzt werden. Die Wahrscheinlichkeit irreparabler Schäden des Linux-System bzw. eines Nicht-Linux-System, welches eine Neuinstallation zur Folge hätte, sollten bei der Konfiguration von AvGuard und AvScanner berücksichtigt werden. |
4.2.1 AvGuard
Der AvGuard, laufend unter der Nutzerkennung root, ist in der Lage Datein bei Lesezugriff / Ausführung zu untersuchen. Ausgenommen davon sind gepackte Archive. Empfehlenswert ist die Überwachung der Verzeichnisse /home, /tmp und /var/tmp, sowie weitere Verzeichnisse auf denen ein regulärer Nutzer schreibend Zugriff hat. Die Konfiguration des Guard, für alle Nutzer gleich, erfolgt über die Datei avguard.conf unter /etc/avira. Bei Verwendung von Dazuko 2.3.x sind hier zu überwachende Verzeichnisse und zu kontrollierende Dateizugriffe explizit anzugeben. Verzeichnisse über DazukoFS gemountet werden bei Start des Guard automatisch erkannt. Änderungen in der Konfiguration werden erst nach einem Neustart des AvGuard oder des System wirksam.
Die Steuerung des AvGuard per Kommandozeile, administrative Rechte vorrausgesetzt, erfolgt über /usr/sbin/avguard, einem Link auf /usr/lib/AntiVir/avguard. Die Verlinkung nach /etc/init.d/avguard ermöglicht zudem den Start des Guard beim Bootvorgang des System. Hilfe zur Steuerung lässt sich aufrufen durch Eingabe im Terminal von:
avguard --help
Eine optische bzw. akustische Benachrichtung des Nutzers bei Fund durch den Guard kann unter Einbindung externer Programme realisiert werden.
Für Nutzer von Gnome bietet Avira GmbH optional ein Applet für das Panel zur Anzeige des Guardstatus und der optischen Ausgabe von Warnungen. Das Skript popup-message.sh unter /usr/lib/AntiVir ließe sich zudem um eine akustische Ausgabe erweitern, indem z.B. bei Verwendung des Alsa-Soundsystem das Skript um folgenden Eintrag erweitert würde:
aplay /Pfad/zur/gewünschten/*.wav
Nutzern von KDE bietet sich die Möglichkeit der Konfiguration von optischer und akustischer Warnung mit dem systemfremden Programm MetaMonitor. Dieses ist in der Lage die SysLogDatei messages unter /var/log zu überwachen.
System eigene Tools, wie Zenity unter Gnome oder KDialog unter KDE, ermöglichen ebenfalls optische Ausgaben. Bei Verwendung in einem Skript mit Erweiterung um eine akustische Ausgabe ließe sich so mit eigenen Mitteln die optische und akustische Benachrichtigung realisieren.
Zudem, so die Voreinstellung, werden fortlaufend Statusänderungen und Funde des AvGuard in der Datei avguard.log unter /var/log dokumentiert.
4.2.2 AvScanner
Die Nutzung des AvScanner ist für jeden Nutzer des System möglich. Seine Konfiguration erfolgt über die Datei avscan.conf unter /etc/avira, kann jedoch bei Bedarf durch setzen von Optionen überschrieben werden. Der Scan einzelner Dateien und Verzeichnisse ist durch Angabe des absoluten Pfades möglich:
avscan [Optionen] /Absoluter/Pfad_1 /Absoluter/Pad_2/Datei
Sollen Verzeichnisse rekursiv durchsucht werden, so muss die Option -s mit angegeben werden. Zudem ermöglicht der Scanner dem Nutzer zu entscheiden wie Funde behandelt werden sollen, wie nachfolgendes Beispiel zeigt:
avscan -s /home/USER/Test Datei: /home/USER/Test/eicar_com.zip zuletzt geändert am Datum: XXXX-XX-XX Zeit: SS:MM:ss, Größe: XXX Byte FUND: eicar.com <<< Eicar-Test-Signature ; virus ; Contains code of the Eicar-Test-Signature virus welche Aktion wollen Sie ausfuehren (beenden, keine, umbenennen, verschieben, loeschen)? [verschieben] leere Antwort. Werde (voreingestellte oder vorherige) Aktion ausfuehren [verschieben] ausgefuehrte Aktion: Datei in Quarantaene verschoben
Bei einfacher Bestätigung wird entsprechend der Konfiguration mit Funden verfahren. Soll auf die Interaktion mit dem Nutzer verzichtet werden, wie bei Gestaltung von Hintergrundjobs notwendig, so ist die Option --batch zu setzen. Ein unsauberer Abbruch eines laufenden Scan im Terminal kann über die Tastenkombination Strg+c erzwungen werden.
Hilfe zum Umgang mit dem AvScanner kann wie folgt aufgerufen werden:
avscan --help
Analog zur Konfiguration des AvGuard, lassen sich für den AvScanner durch Einbindung eines externen Programm optische und akustische Warnungen konfigurieren.
In Anlehnung an die Kommandozeilenreferenz von AntiVir besteht die Möglichkeit Starter für Menü und Desktop, sowie ausführbare Skripte die zur Nutzung in Dateibrowser eingebunden werden können, zu erstellen.
Nachfolgend ein Beispiel für ein "Desktop-Entry" zur Nutzung unter KDE 4.x mit Dolphin:
[Desktop Entry] Type=Service X-KDE-ServiceTypes=KonqPopupMenu/Plugin,all/all X-KDE-Priority=TopLevel Actions=AntiVirScan; [Desktop Action AntiVirScan] Name=Scan with AntiVir UNIX Name[de]=Scan mit AntiVir UNIX Icon=antivirus.png Exec=konsole --noclose --title "Virus Scan Report (AntiVir UNIX)" --icon antivirus.png -e avscan [Optionen] X-Ubuntu-Gettext-Domain=desktop_kdebase
Per Texteditor erstellt und als antivir.desktop abgespeichert, ermöglicht dieses bei Platzierung unter /usr/share/kde4/services/ServiceMenu allen Nutzern den Scan einzelner Dateien und Verzeichnisse per Rechtsklick. Hierfür wird die Konsole geöffnet und anschließend der Scan mit den definierten Optionen durchgeführt. Nach Abschluss des Scan bleibt die Konsole geöffnet.
Die Datei avguard-scanner.conf unter /etc/avira ermöglicht eine spezifische Konfiguration von Savapi welche für AvGuard und AvScanner gilt. Eine Änderung der voreingestellten Konfiguration auf Desktop~ und Laptopsystemen sollte unnötig sein und ist zudem nur mit administrativen Rechten möglich. |
4.2.3 AvUpdater
Der Updater von AntiVir erlaubt es Produktkomponenten additiv zu aktualisieren. Entsprechend dem o.a. Installationsablauf, wird per Cron-Task unter der Nutzerkennung root im Hintergrund alle zwei Stunden die Aktualität der Engine und Virendefinitionen geprüft. Zudem erfolgt zu einem bestimmten Zeitpunkt eine wöchentliche Prüfung auf verfügbare Updates für das komplette Produkt, welche Signaturen, Engine, Scanner und Guard umfasst. Definiert werden die beiden Aktualisierungen über das Skript avira_updater unter /etc/cron.d. Hilfe zur Aktualisierung per Hand, welche administrative Rechte voraussetzt, lässt sich über das Terminal wie folgt abfragen.
avupdate --help
Die Konfiguration des Updater erfolgt über die Datei avupdate.conf unter /etc/avira. Hier ist es möglich netzwerkspezifische Einstellungen, z.Bsp. bei Verwendung eines Proxy, und Regelungen für Benachrichtigung per eMail zu definieren. Ebenfalls, per Voreinstellung, werden die Aktivitäten des AvUpdater in der Datei avupdate.log unter /var/log fortlaufend dokumentiert.
Auszuführende Aufgaben mit Cron zu festgelegten Zeiten erfordern das ein System hochgefahren ist und können nicht nachgeholt werden. Anacron verwendet Zeitstempel, wodurch es möglich ist Aufgaben nachzuholen auch wenn das System längere Zeit ausgeschaltet war. |
4.2.4 Zone für Quarantäne einrichten
Um eine Quarantänezone einzurichten, ist ein separates Verzeichnis mit eindeutigem Namen als Administrator über die Kommandozeile anzulegen und der Gruppe antivir Lese-, Schreib-, und Ausführungsrechte durch Modifikation der Standart-ACL einzuräumen. Weiterhin sollte darauf geachtet werden, dass das Verzeichnis für die Quarantäne nicht in einem Verzeichnis liegt welches über DazukoFS gemountet wurde. Für den AvGuard, als auch den AvScanner, ließen sich so separate Zonen einrichten.
1. Anlegen des Verzeichnis mit mkdir an einem Ort vom Nutzer frei wählbar:
sudo mkdir AntiVir_Quarantaene
2. Auslesen der Zugriffsrechte mit getfacl:
sudo getfacl AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: root user::rwx group::r-x other::r-x
3. Ändern der Gruppenzugehörigkeit mit chgrp:
sudo chgrp antivir /root AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: antivir user::rwx group::r-x other::r-x
4. Ändern der Zugriffsrechte der Nutzergruppe antivir und für andere mit setfacl:
sudo setfacl -m group::rwx,other::--- AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: antivir user::rwx group::rwx other::---
Soll auch anderen Nutzern, einem regulären Nutzer der avscan ausführen darf, die Nutzung und Verwaltung der Quarantäne ermöglicht werden, so sind entsprechend die Rechte rwx ebenfalls zu setzen.
Die Befehle getfacl und setfacl sind seit nach Installation sofort verfügbar. Bei älteren Versionen ist auf den Befehl chmod zurückzugreifen oder das Paket zu ACL nachzuinstallieren. |
5 Hintergrundjobs
Unter Verwendung von cron, anacron, crontab, anacrontab oder auch at, besteht die Möglichkeit Update- und Scanaufträge als Hintergrundjobs in Anlehnung an die Kommandozeilenreferenz von AntiVir einzurichten. Weitere Informationen hierzu enthalten die Manpages bzw. Hilfen:
man [Begriff] [Begriff] --help
6 Desktop eMail
Weit verbreitet unter Linux ist die Nutzung der Programme KMail, Evolution, Mozilla Thunderbird und Claws-Mail. Die Verwendung mit AntiVir stellt hierbei verschiedene Herausforderungen, knüpft jedoch an die Funktionsweise des Kommandozeilenscan an. KMail bietet eine integrierte Funktion zur Erkennung und Integration von Antivirensoftware. Bei Verwendung von Evolution und Claws-Mail besteht zudem ebenfalls die Möglichkeit verschiedene Skripte anzulegen und mit einer entsprechenden Konfiguration Mails prüfen zu lassen. Thunderbird bietet lediglich die Möglichkeit eine Prüfung durch Antivirensoftware einzuräumen. Weitere detaillierte Informationen zu diesem Thema sind zu finden unter Links.
Aufgrund der Änderung der verwendeten Technologie in AntiVir 3.x besteht zudem die Notwendigkeit der Anpassung einzelner Skripte, z.Bsp. für KMail unter KDE:
kmail.antivirusrc kmail_antivir.sh
Die Nutzung von Antivirensoftware zur Kontrolle von eMails kann bei falscher Konfiguration zu Datenverlust führen. |
7 Deinstallation von AntiVir
7.1 Deinstallation von AntiVir 3.x
Die Deinstallation von AntiVir 3.x erfolgt über das Terminal. Hierzu ist in das Hauptverzeichnis /usr/lib/AntiVir zu wechseln. Dieses enthält das Skript uninstall, womit gegebenenfalls sich auch einzelne Produktkomponenten entfernen lassen. Informationen über die vom installierten Produkt verwendeten Dateien und Verzeichnisse können den Dateien dir_list und file_list entnommen werden. Hilfe zur Deinstallation erhält man durch:
./uninstall --help
Zur Ausführen einer kompletten Deinstallation sollte nachfolgender Befehl angewendendet werden:
sudo ./uninstall --force --product=all
Nach Bestätigung der Abfrage,
Would you like to continue? [n] y
werden laufende Prozesse von AntiVir angehalten. Weitere Abfragen folgen:
Looking for existing key-files ... 1 key-file found Would you like to back-up these key-files? [n] n Looking for existing All installed Products conf-files ... X conf-file found Would you like to back-up these conf-files? [n] n Looking for existing All installed Products log-files ... X log-file found Would you like to back-up these log-files? [n] n Looking for existing All installed Products cronjob ... cronjob found Would you like to remove the cronjob? [y] y
Nachdem dann die einzelnen Dateien und Verzeichnisse entfernt worden sind, ist die Deinstallation weitestgehend abgeschlossen. Im Anschluß sind noch die Nutzergruppe antivir, Zonen für die Quarantäne und Einträge in der /etc/fstab betreffend DazukoFS zu löschen. Weitere von Hand vorgenommene Änderung am System sind ebenfalls rückgängig zu machen.
7.2 Deinstallation von AntiVir 2.x
Eine Deinstallation von AntiVir 2.x muss von Hand über Kommandozeile durchgeführt werden und erfordert administrative Rechte. Informationen zum Umgang mit dem Befehl rm können wie folgt abgerufen werden:
rm --help
Hier eine Übersicht der im Rahmen der Installation und Nutzung möglicherweise angelegten Verzeichnisse, Dateien und Links:
- /etc/init.d/avguard
- /etc/init.d/avupdater
- /etc/avguard.conf
- /etc/avupdater.conf
- /etc/avupdater.conf.backup
- /home/'user'/.AntiVir
- /usr/bin/antivir
- /usr/bin/antivir-gui
- /usr/lib/AntiVir
- /usr/sbin/avguard
- /usr/sbin/avupdater
- /var/log/avguard.log
- /var/log/avupdater.log
Desweiteren sind die Runlevel-Einträge Kxx bzw. Sxx für avguard und avupdater unter /etc/rc0.d bis /etc/rc6.d, sowie die Nutzergruppe antivir zu löschen.