AntiVir
Aus Ubuntu-Forum Wiki
Inhaltsverzeichnis |
1 Allgemeines
In der Linuxgemeinschaft viel diskutiert ist die Thematik des Einsatzes einer Antivirensoftware. Verneint aufgrund der restriktiven Rechteverwaltung, der geringen Zahl bekannter Schadsoftware, zur Ressourcenschonung und der Tatsache das Sicherheitslücken schnell geschlossen werden, wird jedoch der Einsatz in Netzwerken mit Nicht-Linux-Systemen empfohlen. Hierfür bietet die Avira GmbH verschiedene kostenpflichtige Lösungen für Server und Arbeitsstationen, sowie für den privaten Gebrauch eine kostenlose jedoch nicht linzensfreie Version. Nachfolgende Darstellungen beruhen auf der Betrachtung von Avira AntiVir FreeAV für den Einsatz auf Linuxarbeitsstationen.
| Fremdsoftware /-pakete können die Integrität des Systems gefährden. |
2 Vorraussetzungen
Grundsätzlich besteht die Möglichkeit das Programm bei Bedarf über die Kommandozeile zu bedienen. Möchte man zudem eine grafische Oberfläche nutzen und wünscht die permanente Überwachung durch den Guard im Hintergrund, so sind weitere Voraussetzungen zu schaffen.
2.1 Java
Um die grafische Oberfläche unter AntiVir nutzen zu können, ist Sun Java 1.4 oder höher zu installieren und für den systemweiten Einsatz zu konfigurieren, sofern unterschiedliche Versionen von Java auf dem System vorhanden sind.
2.2 Dazuko
Zur Nutzung des permanenten Schutz durch den Guard von AntiVir, ist das Kernelmodul dazuko.ko zu kompilieren und installieren. Für die Ausführung der Befehle im Terminal sind Administratorrechte temporär oder permanent erforderlich. Nachfolgende Darstellungen der Quelltexte für basieren auf permanente Rechte als Administrator, welche man erlangt durch Ausführung des Befehls su, Eingabe des Passwortes und beendet durch exit.
Benötigt wird das Paket dazuko-2.3.5.tar.gz, welches von der Projektseite heruntergeladen mittels dem Befehl cp, für die wiederholte Nutzung, nach /usr/src kopiert wird.
cp /Pfad/zu/dazuko-2.3.5.tar.gz /usr/src
Anschließend wechselt man mit cd in das Verzeichnis /usr/src und entpackt mittels dem Befehl tar das Quellpaket:
tar -xzvf dazuko-2.3.5.tar.gz
Nach dem Wechsel in das entpackte Verzeichnis dazuko-2.3.5, ist die aktuell genutzte Kernelversion zu ermitteln.
uname -r
Anschließend ist das zu bauende Kernelmodul zu konfigurieren:
./configure --disable-local-dpath --disable-chroot-support --enable-syscalls --mapfile=/boot/System.map-'uname -r' --kernelsrcdir=/usr/src/linux-headers-'uname -r'
Modulbau und Installation erfolgt durch das nacheinander Ausführen der Befehle make, make test und make install.
Im Anschluss ist das installierte Modul in den Kernel zu laden und entsprechende Rechte zu setzen durch die Ausführung der Befehle:
insmod /lib/modules/'uname -r'/extra/dazuko.ko mknod -m 600 /dev/dazuko c 254 0 chown root:root /dev/dazuko
Ob das Modul ordnungsgemäß in den Kernel geladen wurde, ist prüfbar mit:
lsmod | grep dazuko
Abschließend kann das entpackte Verzeichnis dazuko-2.3.5 gelöscht werden, nachdem man in das nächsthöhere Verzeichnis gewechselt hat.
rm -r dazuko-2.3.5
Um das Modul Dazuko bei Systemstart automatisch in den Kernel laden zu lassen, muss die Datei modules im Verzeichnis /etc mit einem Editor seiner Wahl um den Eintrag dazuko in einer neuen Zeile ergänzt werden.
| Nach jedem Update des Kernel und der Header muss das Modul erneut kompiliert und installiert werden. |
Abweichend zu o.a. beschriebenen Vorgang des Eigenbau, sollte Dazuko in der Version 2.3.4 vorliegen oder älter in und älter. Zudem sollte das Kernelmodul capability.ko bereits vorhanden sein und die Konfiguration erfolgt durch den einfachen Aufruf:
./configure
Eine Installationsanweisung für über das aus den Quellen installierbare Paket module-assistant ist zu finden unter Links.
2.3 AppArmor
Eine Deinstallation unter von AppArmor aufgrund eines Konfliktes zu Dazuko ist im Gegensatz zu und älter nicht mehr notwendig.
3 Installation
Nachdem das Paket antivir-workstation-pers.tar.gz heruntergeladen und entpackt wurde, ist das Terminal zu öffnen und in das entpackte Verzeichnis wechseln. Anschließend kann die Installation gestartet werden, wobei auch hier Administratorrechte notwendig sind.
./install
Während des englischsprachigen Installationprozesses werden Abfragen gestellt, welche entsprechend vom Nutzer mit „y“ für ja und „n“ für nein zu beantworten sind. Nachfolgender Ablauf berücksichtigt die Installation von Kommandozeilenscanner, Updater-Dämon, Guard und grafische Nutzeroberfläche, sowie entsprechende Verlinkungen für den Mehrbenutzerbetrieb.
Press <ENTER> to view the license.
Nach Bestätigung, können die Lizensbedingungen mit den Pfeiltasten durchgelesen und mittels Taste „q“ verlassen werden.
Do you agree to the license terms? [n] y
Diese Frage sollte mit „y“ wie dargestellt beantwortet werden, da sonst an dieser Stelle die Installation abgebrochen wird. Das Hauptverzeichnis von AntiVir wird angelegt.
Enter the path to your key file: [hbedv.key] /Pfad/zu/antivir-workstation-pers-version/hbedv.key
Hier ist der komplette Pfad zur Lizensdatei, welche sich im entpackten Verzeichnis befindet anzugeben. Mit der Erstellung des ausführbaren Link antivir in /usr/lib, wird die Installation des Kommandozeilenscanner abgeschlossen und die Installation des Updater-Dämon beginnt.
Would you like to install the internet update daemon? [n] y Would you like to create a link in /usr/sbin for avupdater ? [y] y Would you like the internet update daemon to start automatically? [y] y
Sofern nicht beabsichtigt wird AntiVir zukünftig von Hand oder durch Systemjobs zu aktualisieren, sind diese Fragen mit „y“ zu beantworten, wobei Konfigurationsdatei, ein Startskript für Systemboot und Link angelegt werden. Anschließend startet die Installation des Guard.
How should AvGuard be installed? [k] k
Die wählbaren Optionen hier sind „m“ für Modul, „k“ für Kernel und „n“ für keine Installation.
Sollte entsprechend den o.a. beschriebenen Voraussetzungen das Modul Dazuko bei Systemstart mit geladen werden, ist „k“ zu wählen.
Die Option „m“ ermöglicht unter Angabe des kompletten Pfad zur Datei dazuko.ko, dass das Modul Dazuko durch das Skript avguard, unter /etc/init.d zu finden, geladen wird. Im Anschluss der Installation von AntiVir ist dieses zudem entsprechend der genutzten Kernelversion unter wie folgt anzupassen:
#!/bin/sh # # Start/Stop AvGuard # # Copyright (c) 2008 Avira GmbH # sudo insmod /lib/modules/'uname -r'/extra/dazuko.ko PATH="/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin"
| Unter und älter kann der Pfad zur Datei dazuko.ko abweichen.
|
Would you like to create a link in /usr/sbin for avguard ? [y] y Would you like AvGuard to start automatically? [y] y
Bei Installation des Guard sollten diese Fragen ebenfalls mit „y“ beantwortet werden um Mehrbenutzerbetrieb und automatisierten Start bei Systemboot zu gewährleisten.
Would you like to install the GUI (+ SMC support)? [y] y
Installiert bei Bestätigung mit „y“ die grafische Nutzeroberfläche, welche mit dem Befehl antivir-gui aus dem Terminal gestartet wird. Entsprechend o.a. Voraussetzung ist erfüllt, ermöglicht diese Verwaltung, Konfiguration und Ausführung von AntiVir.
Would you like to configure the AntiVir updater now? [y] y
Ermöglicht die sofortige Konfiguration des Updater in vier Schritten und sollte mit „y“ beantwortet werden. Eine Konfiguration zum späteren Zeitpunkt ist ebenfalls möglich.
Would you like email notification about updates? [n] n
Die Benachrichtigung per Mail ist eine Funktion, welche ausschließlich den kostenpflichtigen Versionen vorbehalten ist. Somit kann die Frage mit „n“ beantwortet werden.
Would you like the updater to log to a custom file? [y] y What will be the log file name with absolute path (it must begin with '/') [/var/log/avupdater.log]
Sofern der Updater-Dämon installiert wurde, ist die Beantwortung der Frage mit „y“ praktikabel, da so die Aktualität von AntiVir geprüft werden kann. Die zweite Frage brauch lediglich bestätigt zu werden, da der Pfad standardmäßig vorgegeben wird.
How often should AntiVir check for updates? [2] d
Mögliche Optionen wie oft der Updater-Dämon auf Updates prüft sind „2“ für alle 2 Stunden, „d“ für einmal täglich und „n“ für garnicht.
Does this machine use an HTTP proxy server? [n] n
Sollte die Verbindung nur über einen Proxyserver mit dem Internet möglich sein, können ab dieser Stelle entsprechende Einstellungen vorgenommen werden. Dazu sollten Adresse und Port bekannt sein.
Abschließend erfolgt eine Zusammenfassung der Konfiguration, Installation, sowie Fragen zur Bestätigung, zum Start des Updater und Guard, welche mit „y“ bestätigt werden können. Nach erfolgreicher Installation sollte ein Update von Hand auszuführen.
antivir --update
Zudem, nach einem Wechsel in das nächsthöhere Verzeichnis, kann das entpackte Verzeichnis sofern nicht mehr benötigt gelöscht werden.
rm -r antivir-workstation-pers-'version'
Während des Installationsprozesses, wurde die Gruppe antivir auf dem System erstellt. Um Nutzern die Ausführung und Konfiguration zu ermöglichen, sind diese als Mitglieder der Gruppe hinzuzufügen. Änderungen diesbezüglich werden erst nach Neustart des System wirksam.
| Soll ein Upgrade, Update einer installierten Version durchgeführt werden, ist eine vorherige Deinstallation nicht notwendig. Die Installation brauch lediglich erneut ausgeführt werden. |
4 Nutzung und Konfiguration
Während der Installation, wird im Hauptverzeichnis von AntiVir unter /usr/lib eine PDF-Datei hinterlegt, welche eine umfangreiche Dokumentation zur Bedienung über die grafische Nutzeroberfläche und Kommandozeile bietet. Zudem lässt sich über das Terminal die Hilfe aufrufen.
antivir --help
4.1 Guard
Der Guard ist in der Lage Dateien bei Lese- und Schreibzugriffen, Ausnahme gepackte Archive, sowie bei Ausführung zu untersuchen. Empfehlenswert ist die Überwachung der Verzeichnisse /home, /media, /tmp und /var/tmp.
Die Konfiguration des Guard, für alle Nutzer gleich, kann erfolgen über die sich selbsterklärende grafische Nutzeroberfläche. Das editieren der avguard.conf unter /etc sollte versierten Nutzern vorbehalten bleiben.
Eine optische bzw. akustische Benachrichtung des Nutzers bei Fund durch den Guard ist in der Standartinstallation zur Zeit nicht gegeben, kann jedoch unter Einbindung externer Programme realisiert werden.
1. Zenity aus den Paketquellen, bietet unabhängig von der genutzten Desktopumgebung eine optische Benachrichtigung:
zenity --warning --text=Warnung,-Virus-%h/%f-gefunden\!
2. KDialog ebenfalls aus den Paketquellen, bietet unter KDE eine optische Benachrichtigung:
kdialog --msgbox "Warnung, Virus gefunden!"
3. Das Systemfremde Programm Metamonitor für KDE, kann die SysLogDatei messages unter /var/log überwachen und bietet die Möglichkeit der Konfiguration optischer und akustischer Warnungen.
4. Avira GmbH selbst bietet für Gnome die Möglichkeit ein Applet zu kompilieren und installieren. Eine entsprechende englischsprachige Anleitung, sowie Sourcen befinden sich im Download des Paketes unter /contrib/applet. Das Applet selbst bietet eine optische Ausgabe der Warnung und eine Anzeige des Guardstatus im Panel. Zudem lässt sich eine akustische Warnung einbinden, indem z.B. bei Alsa-Soundkarten das Skript popup-message.sh um folgenden Eintrag erweitert wird:
aplay /Pfad/zur/gewünschten/*.wav
| Vor dem editieren von Programm- und Systemdateien sollte eine Sicherheitskopie angelegt werden. |
4.2 Scanner
Die grafische Nutzeroberfläche ermöglicht nach abgeschlossener Konfiguration den Scan des kompletten System mit den entsprechenden Einstellungen. Die Konfigurationsdateien sind zu finden unter /home/'user'/.AntiVir. Eine Kontrolle einzelner Verzeichnisse sind den kostenpflichtigen Versionen vorbehalten.
Zeitlich effizienter, zudem mit der Möglichkeit einzelne Dateien und Verzeichnisse zu prüfen, bietet ein Suchlauf über die Kommandozeile. Wählbare Optionen können der Dokumentation S. 53 ff entnommen werden.
antivir [Optionen] /home /media /tmp /var/tmp
In Anlehnung an die Kommandozeilenreferenz von AntiVir besteht die Möglichkeit Starter für Menü und Desktop, sowie ausführbare Shell-Skripte die zur Nutzung in Dateibrowser eingebunden werden können zu erstellen.
4.3 Zone für Quarantäne einrichten
AntiVir bietet die Möglichkeit Funde zu loggen, umzubenennen oder in Quarantäne zu verschieben. Um die Quarantäne einzurichten, ist ein separates Verzeichnis mit eindeutigem Namen als Administrator über die Kommandozeile anzulegen und der Gruppe antivir Lese-, Schreib-, und Ausführungsrechte durch Modifikation der Standart-ACL einzuräumen.
1. Anlegen des Verzeichnis mit mkdir an einem Ort vom Nutzer frei wählbar:
sudo mkdir AntiVir_Quarantaene
2. Auslesen der Zugriffsrechte mit setfacl:
sudo setfacl AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: root user::rwx group::r-x other::r-x
3. Ändern der Gruppenzugehörigkeit mit chgrp:
sudo chgrp antivir /root AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: antivir user::rwx group::r-x other::r-x
4. Ändern der Zugriffsrechte der Nutzergruppe antivir und für andere mit setfacl:
sudo setfacl -m group::rwx,other::--- AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: antivir user::rwx group::rwx other::---
| Die Befehle getfacl und setfacl sind erst seit verfügbar. Bei älteren Versionen ist auf den Befehl chmod zurückzugreifen um die Standart-ACL zu modifizieren.
|
| Die Möglichkeit Dateien umzubenennen und verschieben zu lassen ist abhängig von der Rechteverwaltung und sollte mit entsprechender Vorsicht genutzt werden, da das System irreparabel geschädigt werden könnte. |
4.4 Hintergrundjobs
Unter Verwendung von Cron oder Anacron, besteht die Möglichkeit Update- und Scanaufträge als Hintergrundjobs einzurichten. Weitere Informationen hierzu enthalten die Manpages bzw. Hilfen:
man cron cron --help man anacron anacron --help
5 Einsatz im Netzwerk mit Samba
Eine Prüfung der Zugriffe auf Netzwerkressourcen durch AntiVir, kann bei Verwendung von Samba durch nachträgliches kompilieren und installieren des Modul samba-vscan realisiert werden. Informationen dazu enthält die Dokumentation auf S. 14, S. 43 ff, sowie die offizielle Projektseite von Openantivirus.
6 Einsatz im eMail Verkehr
Eine Kontrolle des eMail Verkehr durch AntiVir knüpft an die Funktionsweise des Kommandozeilenscanner an.
6.1 MailServer
Durch Konfiguration und Installation von AMaVis mit Einsatz von AntiVir, besteht die Möglichkeit für Fremdrechner eMails kontrollieren zu lassen. Dies setzt jedoch eine Serverlizens zur Nutzung vorraus. Weitere Informationen sind in der Dokumentation auf S. 31 und der Projektseite zu finden.
6.2 Desktop Mailprogramme
Weit verbreitet unter Linux ist die Nutzung der Programme KMail, Evolution, Mozilla Thunderbird und Claws-Mail. Die Verwendung mit AntiVir stellt hierbei verschiedene Herausforderungen. KMail, in einer aktuellen Version, bietet eine integrierte Funktion zur Erkennung und Integration von Antivirensoftware. Bei Verwendung von Evolution und Claws-Mail besteht die Möglichkeit verschiedene Skripte anzulegen und mit einer entsprechenden Konfiguration Mails prüfen zu lassen. Thunderbird bietet lediglich die Möglichkeit eine Prüfung durch Antivirensoftware einzuräumen. Weitere detaillierte Informationen zu diesem Thema sind zu finden unter Links.
| Die Nutzung von Antivirensoftware zur Kontrolle von eMails kann bei falscher Konfiguration zu Datenverlust führen. |
7 Deinstallation
Eine Deinstallation von AntiVir muss von Hand über Kommandozeile durchgeführt werden und erfordert administrative Rechte. Informationen zum Umgang mit dem Befehl rm können wie folgt abgerufen werden:
rm --help
Hier eine Übersicht der im Rahmen der Installation und Nutzung möglicherweise angelegten Verzeichnisse, Dateien und Links:
- /etc/init.d/avguard
- /etc/init.d/avupdater
- /etc/avguard.conf
- /etc/avupdater.conf
- /etc/avupdater.conf.backup
- /home/'user'/.AntiVir
- /usr/bin/antivir
- /usr/bin/antivir-gui
- /usr/lib/AntiVir
- /usr/sbin/avguard
- /usr/sbin/avupdater
Zudem ist die Nutzergruppe antivir zu löschen.
