AntiVir
Aus Ubuntu-Forum Wiki
Inhaltsverzeichnis |
1 Allgemeines
In der Linuxgemeinschaft viel diskutiert ist die Thematik des Einsatzes einer Antivirensoftware. Verneint aufgrund der restriktiven Rechteverwaltung, der geringen Zahl bekannter Schadsoftware, zur Ressourcenschonung und der Tatsache das Sicherheitslücken schnell geschlossen werden, wird jedoch der Einsatz bei Multibootkonfiguration und in Netzwerken mit Nicht-Linux-Systemen empfohlen. Hierfür bietet Avira GmbH verschiedene kostenpflichtige Lösungen für Server und Arbeitsstationen, sowie für den privaten Gebrauch eine kostenlose jedoch nicht linzenzfreie Version. Nachfolgende Darstellungen beruhen auf der Betrachtung von Avira AntiVir Personal für den Einsatz auf Desktop- und Laptopsystemen.
| Fremdsoftware /-pakete können die Integrität des Systems gefährden. |
2 Allgemein zu AntiVir Personal für UNIX/Linux
Avira bietet mit dem auf Savapi basierenden AvGuard einen OnAccess~ und OnDemand-Scanner für UNIX-basierte Systeme. Dies ermöglicht Dateien mit einer Größe von mehreren GB zu scannen. Über einen gemeinsam verwendeten Daemon werden der AvGuard, als auch der Guard-basierende Kommandozeilenscanner mittels avscan gesteuert. Dies ermöglicht den einmaligen Scan bei gleichzeitig durch den AvGuard überwachtem Verzeichnis. Durch die Unterstützung von DazukoFS wird das Öffnen (Ausführen) einer Datei (Motto unter Linux: Alles ist eine Datei.) abgefangen und untersucht. Einschränkend bietet AntiVir Personal keine grafische Nutzeroberfläche, wodurch Konfiguration und Bedienung des Programms nur möglich ist per Skript und Kommandozeile. Zudem ist es nicht möglich Inhalte einer MailBox (mbox) zu kontrollieren und Ausschlüsse für Dateien, Verzeichisse bzw. Dateitypen zu definieren, da diese Funktionen den kostenpflichtigen Versionen vorbehalten sind. Highlight ist der Installer. Dieser ermöglicht bei vorhandener Build-Umgebung die automatisierte Installation von DazukoFS, ... Dazu ist, nachdem das Paket antivir_workstation-pers.tar.gz heruntergeladen und entpackt wurde, ein Terminal zu öffnen und in das entpackte Verzeichnis zu wechseln. Anschließend kann die Installation gestartet werden:
sudo ./install
Zudem ist nach Abschluss der Installation die Datei modules im Verzeichnis /etc um den Eintrag dazukofs in einer neuen Zeile zu ergänzen.
sudo echo 'dazukofs' >> /etc/modules
Dadurch wird sichergestellt, dass das Modul während des Bootvorgangs in den Kernel geladen wird vor dem mounten des Dateisystem.
Nachfolgend soll jedoch ausführlich auf die Installation von Hand eingegangen werden, um so dem Nutzer einen tiefer gehenden Einblick in sein eigenes System zu gewähren.
3 Vorraussetzungen
Grundsätzlich besteht die Möglichkeit das Programm bei Bedarf (On-Demand) über die Kommandozeile zu bedienen. Wünscht man zudem die permanente Überwachung durch den Guard im Hintergrund (On-Access), so sind weitere Voraussetzungen zu schaffen.
3.1 Dazuko (Dateizugriffskontrolle)
Dazuko, ursprünglich von H+BEDV Datentechnik GmbH entwickelt, ist ein Projekt welches unter Linux ermöglicht Dateizugriffe durch Dritt-Anwendungen kontrollieren zu lassen. Abhängig von der verwendeten Kernelversion, ist zur Nutzung des permanenten Schutzes durch den AvGuard von AntiVir das Modul dazukofs.ko oder dazuko.ko für den Kernel zu kompilieren und installieren:
- DazukoFS 3.x ab Kernelversion 2.6.27
- Dazuko 2.3.x bis Kernelversion 2.6.26
| Nachfolgend, für die Ausführung der Befehle im Terminal sind Administratorrechte temporär oder permanent erforderlich. Die Darstellungen der Quelltexte basieren auf permanenten Rechten als Administrator, welche man erlangt durch Ausführung des Befehls sudo -s, Eingabe des Passwortes und beendet durch exit. |
3.1.1 DazukoFS
3.1.1.1 Installation
Zur Installation von DazukoFS wird ein entsprechendes Paket zur verwendeten Ubuntu-Version benötigt. Pakete sind im Paket antivir_workstation-pers.tar.gz unter .../contrib/dazuko enthalten bzw. können von der Projektseite herunter geladen werden:
-
- dazukofs-3.1.3-rc1.tar.gz
-
- dazukofs-3.0.0-rc4_2.6.27_ub_os11.1.tar.gz
-
- dazukofs-3.0.0-rc4_2.6.27_ub_os11.1.tar.gz
-
- dazukofs-3.0.0-rc4_2.6.24_Ubuntu8.04.tar.gz
-
Mit dem Befehl cp ist das jeweilige Paket für die wiederholte Nutzung nach /usr/src zu kopieren:
cp /Pfad/zu/dazukofs-"version".tar.gz /usr/src
Anschließend wechselt man mit cd in das Verzeichnis /usr/src und entpackt mittels dem Befehl tar das Quellpaket:
tar -xzvf dazukofs-"version".tar.gz
Nach dem Wechsel in das entpackte Verzeichnis dazukofs-"version" erfolgen Kompilieren und Installieren des Moduls unter der aktuell verwendeten Kernelversion durch Ausführung von:
make make dazukofs_install
Anschließend kann das Modul geladen werden und es ist zu prüfen ob dabei Fehler auftraten, das Modul in das System eingebunden wurde:
modprobe dazukofs lsmod | grep dazukofs dmesg | grep dazukofs cat /proc/filesystems | grep dazukofs
Um das Modul bei Systemstart automatisch in den Kernel laden zu lassen, sollte die Datei modules im Verzeichnis /etc mit einem Editor seiner Wahl um den Eintrag dazukofs in einer neuen Zeile ergänzt werden.
Sollte das entpackte Quellverzeichnis dazukofs-"version" nicht mehr benötigt werden, so kann dieses nach einem Wechsel in das nächsthöhere Verzeichnis mit dem Befehl rm gelöscht werden:
rm -r dazukofs-"version"
| Nach jedem Update des Kernels und der Header muss das Modul erneut kompiliert und installiert werden. Sollte DazukoFS von der Projektseite heruntergeladen werden, so ist es gegebenenfalls nötig den Quellcode anzupassen. Näheres dazu im HowTo der Projektseite bzw. in der README des Download. |
3.1.1.2 Mounten von Verzeichnissen
Verzeichnisse, welche von einer Dritt-Anwendung über DazukoFS auf Dateizugriffe überprüft werden sollen, können wie folgt per Hand über das Terminal ein- und ausgehangen werden.
mount -t dazukofs /Absoluter/Pfad /Absoluter/Pfad umount /Absoluter/Pfad
Um Verzeichnisse beim Systemstart automatisch mounten zu lassen, sollte die Datei fstab im Verzeichnis /etc um entsprechende Einträge je Verzeichnis am Ende ergänzt werden, wodurch Unterverzeichnisse mit eingeschlossen werden.
/Absoluter/Pfad /Absoluter/Pfad dazukofs defaults 0 0
In beiden Fällen ist darauf zu achten, dass die angegebenen Pfade identisch sind, um so die Gleichheit der Daten zu garantieren. Samba, Netatalk und NFS werden ebenfalls unterstützt, sofern über DazukoFS gemountet bevor der Service gestartet wird.
| Sofern keine Dritt-Anwendung gemountete Verzeichnisse auf Dateizugriffe kontrolliert, können diese ausgehangen werden. Zudem sollte man es vermeiden das Wurzelverzeichnis /, die speziellen Dateisysteme /dev, /proc, /sys und Linux-Fremde Dateisysteme wie NTFS über DazukoFS zu mounten, da dies zu Datenverlust, dem Fehlen von Funktionen bzw. zur Instabilität des kompletten Systems führen kann. Das Mounten von /media per fstab, dem Mountpunkt für entfernbare Datenträger, bleibt ohne Wirkung. |
3.1.1.3 Test
Um zu prüfen ob DazukoFS "fehlerfrei" arbeitet, gibt es die Möglichkeit das im Paket enthaltene Testprogramm zu nutzen. Vorab ist eine Testumgebung einzurichten und das Modul sollte bereits geladen sein.
mkdir /tmp/dazukofs_test mount -t dazukofs /tmp/dazukofs_test /tmp/dazukofs_test cp /bin/* /tmp/dazukofs_test
Nach dem Wechsel in das Unterverzeichnis test kann das Testprogramm im ersten Terminal kompiliert und gestartet werden.
make env LD_LIBRARY_PATH=lib ./showfiles
In einem zweiten Terminal erfolgt der Dateizugriff, woraufhin im ersten Terminal dies dokumentiert werden sollte.
find /tmp/dazukofs_test -type f | xargs file
Abschließend kann die Testumgebung wieder entfernt werden, nachdem das Testprogramm via Strg + C beendet wurde.
umount /tmp/dazukofs_test rm -r /tmp/dazukofs_test
3.1.1.4 Deinstallation
Um DazukoFS zu deinstallieren, ist das bei der Installation angelegte Verzeichnis mit enthaltenem Modul zu löschen.
rm -r /lib/modules/`uname -r`/kernel/fs/dazukofs
Abschließend ist dem System mitzuteilen, dass es dieses Modul nicht mehr gibt.
depmod -a
Zudem sind am System vorgenommene Änderungen, wie z.B. ein Eintrag von dazukofs in der Datei /etc/modules, rückgängig zu machen.
3.1.2 Dazuko
3.1.2.1 Installation
Zur Installation unter wird das Paket dazuko-2.3.5.tar.gz benötigt, welches von der Projektseite heruntergeladen mittels des Befehls cp, für die wiederholte Nutzung, nach /usr/src kopiert wird.
cp /Pfad/zu/dazuko-2.3.5.tar.gz /usr/src
Anschließend wechselt man mit cd in das Verzeichnis /usr/src und entpackt mittels des Befehls tar das Quellpaket:
tar -xzvf dazuko-2.3.5.tar.gz
Nach dem Wechsel in das entpackte Verzeichnis dazuko-2.3.5, ist die aktuell genutzte Kernelversion zu ermitteln.
uname -r
Anschließend ist das zu bauende Kernelmodul zu konfigurieren:
./configure --disable-local-dpath --disable-chroot-support --enable-syscalls --sct-readonly --mapfile=/boot/System.map-`uname -r` --kernelsrcdir=/usr/src/linux-headers-`uname -r`
Modulbau und Installation erfolgt durch das nacheinander Ausführen der Befehle make, make test und make install.
Im Anschluss ist das installierte Modul in den Kernel zu laden:
insmod /lib/modules/`uname -r`/extra/dazuko.ko
Ob das Modul ordnungsgemäß in den Kernel geladen wurde ist prüfbar mit:
lsmod | grep dazuko dmesg | grep dazuko
Nun ist zu prüfen welche Listennummer durch Dazuko im System verwendet wird:
cat /proc/devices | grep dazuko
Die Ausgabe sollte regulär Folgendes wiedergeben:
254 dazuko
Durch nachfolgende Befehle ist letztlich noch die Gerätedatei anzulegen und entsprechende Rechte zu setzen. Sollte abweichend eine anderweitige Numerierung durch das System gegeben sein, so ist entsprechend eine Anpassung notwendig.
rmmod dazuko mknod -m 600 /dev/dazuko c 254 0 chown root:root /dev/dazuko
Abschließend kann das entpackte Verzeichnis dazuko-2.3.5 gelöscht werden, nachdem man in das nächsthöhere Verzeichnis gewechselt hat.
rm -r dazuko-2.3.5
Um das Modul bei Systemstart automatisch in den Kernel laden zu lassen, muss die Datei modules im Verzeichnis /etc mit einem Editor seiner Wahl um den Eintrag dazuko in einer neuen Zeile ergänzt werden.
| Nach jedem Update des Kernels und der Header muss das Modul erneut kompiliert und installiert werden. Anzumerken ist, dass seitens Avira Dazuko offiziell nicht länger unterstützt wird. |
3.1.2.2 Deinstallation
Um Dazuko zu deinstallieren, ist das bei der Installation angelegte Verzeichnis, sofern nicht weitere Module enthalten sind, oder das Modul selbst zu löschen.
rm -r /lib/modules/`uname -r`/extra rm /lib/modules/`uname -r`/extra/dazuko.ko
Abschließend ist dem System mitzuteilen, dass es dieses Modul nicht mehr gibt.
depmod -a
Zudem sind am System vorgenommene Änderungen, wie z.B. ein Eintrag von dazuko in der Datei /etc/modules, rückgängig zu machen.
3.2 AppArmor
Bei Installation von DazukoFS und Dazuko 2.3.5 unter ist eine Deinstallation von AppArmor aufgrund eines Konfliktes nicht mehr notwendig.
3.3 Laufzeitumgebung auf 64-bit Systemen
Ubuntu bietet die Möglichkeit sich für ein 32-bit oder 64-bit System zu entscheiden. Um AntiVir auf einem 64-bit System fehlerfrei installieren und nutzen zu können, bedarf es der 32-bit Laufzeitumgebung. Die benötigten Bibliotheken können wie folgt über das Terminal installiert werden, administrative Rechte vorausgesetzt:
apt-get install ia32_libs
4 AntiVir Personal für UNIX/Linux
4.1 Installation
Nachfolgender Ablauf berücksichtigt die Installation von Kommandozeilenscanner, Updater und Guard, sowie entsprechende Verlinkungen für den Mehrbenutzerbetrieb. Der Installer von AntiVir erkennt das dazukofs in den Kernel geladen und das Verzeichnis /home mittels /etc/fstab über DazukoFS gemounted ist. Nachdem das Paket antivir_workstation-pers.tar.gz bereits entpackt wurde, ist das Terminal zu öffnen und in das entpackte Verzeichnis zu wechseln. Anschließend kann die Installation gestartet werden, wobei auch hier Administratorrechte notwendig sind.
./install
Während des englischsprachigen Installationprozesses werden Abfragen gestellt, welche entsprechend vom Nutzer mit "y" für ja und "n" für nein zu beantworten sind.
Press <ENTER> to view the license.
Nach Bestätigung, können die Lizenzbedingungen durchgelesen und mittels Taste q verlassen werden.
Do you agree to the license terms? [n] y
Diese Frage sollte mit "y" wie dargestellt beantwortet werden, da sonst an dieser Stelle die Installation abgebrochen wird. Das Hauptverzeichnis von AntiVir wird angelegt unter /usr/lib, und die Komponennten - Engine, Savapi und Updater - werden im ersten Schritt installiert. Anschließend erfolgt die Konfiguration der Einstellungen für Updates.
Would you like to create a link in /usr/sbin for avupdate-guard ? [y] y Would you like to setup Scanner update as cron task ? [y] y available option: HH:MM What time should updates be done [00:15]? 11:11 Would you like to check for Guard updates once a week ? [n] y
Wie dargestellt sollten diese Fragen mit "y" beantwortet werden und eine Uhrzeit für die täglichen Updates festgelegt werden zu der der Rechner regulär Online ist. Die tägliche und wöchentliche Prüfung auf Updates werden automatisiert vom System vorgenommen. Zudem besteht die Möglichkeit von Hand zu aktualisieren. Im dritten Schritt werden nun Hauptprogramm und AvGuard installiert und eingerichtet.
Preinstalled dazukofs module found on your system. Would you like to reinstall dazukofs now ? [y] n Dazukofs module is loaded The following directories will be protected by Guard: /home
Soll Dazuko statt DazukoFS verwendet werden, so ist die Frage ob DazukoFS installiert werden soll zu verneinen und Dazuko zur Nutzung mit dem AvGuard einzurichten. Jedoch wird Dazuko offiziell nicht länger unterstützt.
No Dazukofs module found on your system. Would you like to install dazukofs now ? [y] n Do you still want to use Guard with dazuko2 module ? [y] y probing Dazuko2 module ...success
Per Voreinstellung ist es möglich eine Quarantänezone einzurichten. Diese sollte sich jedoch nicht in einem über DazukoFS gemounteten Verzeichnis befinden.
/home/quarantine, the AVIRA Guard default quarantine directory, does not exist. Would you like to create /home/quarantine ? [y] n
Nutzer einer kostenpflichtigen Version von AntiVir und der Desktopumgebung Gnome haben anschließend die Möglichkeit sich ein vorkompiliertes Applet für die Anzeige des Guard-Status und optischer Warnungen installieren zu lassen. Dieses brauch lediglich nach Abschluss der Installation dem Panel hinzugefügt zu werden.
Would you like to install the AVIRA Guard GNOME plugin ? [n] n
Im letzten Abschnitt der Installation sind nun noch die Verlinkungen für den automatisierten Start während des Bootvorgangs und Steuerung des AvGuard einzurichten.
Would you like to create a link in /usr/sbin for avguard ? [y] y Please specify if boot scripts should be set up. Set up boot scripts ? [y] y
Abschließend kann der AvGuard gestartet werden, gefolgt von einer zusammenfassenden Ausgabe der wesentlichen Konfigurationsdateien und dem Hinweis des manuell auszuführenden Updates.
Would you like to start AVIRA Guard now? [y] y
Zudem, nach einem Wechsel in das nächsthöhere Verzeichnis, kann das entpackte Verzeichnis sofern nicht mehr benötigt gelöscht werden.
rm -r antivir-workstation-pers-"version"
Während des Installationsprozesses wurde die Gruppe antivir auf dem System erstellt. Um Nutzern die Konfiguration von AvGuard, AvScanner, AvUpdater und die Verwaltung der Quarantäne zu ermöglichen, sind diese als Mitglieder der Gruppe hinzuzufügen. Änderungen diesbezüglich werden erst nach Neustart des System wirksam.
| Soll ein Upgrade, Update oder Erweiterung einer installierten Version durchgeführt werden, ist eine vorherige Deinstallation nicht notwendig. Die Installation braucht lediglich erneut ausgeführt zu werden. |
4.2 Nutzung und Konfiguration
Während der Installation, werden im Hauptverzeichnis von AntiVir unter /usr/lib/AntiVir/guard PDF-Dateien hinterlegt, welche eine umfangreiche Dokumentation zur Bedienung bieten. Informationen zur verwendeten Version von AntiVir lassen sich über Terminal wie folgt aufrufen:
avlinfo
| Die Möglichkeit Dateien zu reparieren, umzubenennen, zu verschieben oder gar löschen zu lassen ist abhängig von der Rechteverwaltung (Root darf alles!) und sollte mit entsprechender Vorsicht genutzt werden. Die Wahrscheinlichkeit irreparabler Schäden des Linux-System bzw. eines Nicht-Linux-System, welches eine Neuinstallation zur Folge hätte, sollten bei der Konfiguration von AvGuard und AvScanner berücksichtigt werden. |
4.2.1 AvGuard
Der AvGuard, laufend unter der Nutzerkennung root, ist in der Lage Datein bei Lesezugriff / Ausführung zu untersuchen. Empfehlenswert ist die Überwachung der Verzeichnisse /home, /tmp und /var/tmp, sowie weitere Verzeichnisse auf denen ein regulärer Nutzer schreibend Zugriff hat. Die Konfiguration des Guard, für alle Nutzer gleich, erfolgt über die Datei avguard.conf unter /etc/avira. Bei Verwendung von Dazuko sind hier zu überwachende Verzeichnisse und zu kontrollierende Dateizugriffe explizit anzugeben. Verzeichnisse über DazukoFS gemountet werden bei Start des Guard automatisch erkannt. Änderungen in der Konfiguration werden erst nach einem Neustart des AvGuard oder des System wirksam.
Die Steuerung des AvGuard per Kommandozeile, administrative Rechte vorrausgesetzt, erfolgt über /usr/sbin/avguard, einem Link auf /usr/lib/AntiVir/guard/avguard. Die Verlinkung nach /etc/init.d/avguard ermöglicht zudem den Start des Guard beim Bootvorgang des System. Hilfe zur Steuerung lässt sich aufrufen durch Eingabe im Terminal von:
avguard --help
Eine optische Benachrichtung des Nutzers bei Fund durch den Guard ist Nutzern einer kostenpflichtigen Version von AntiVir vorbehalten und kann unter Einbindung externer Programme realisiert werden.
Nutzern von AntiVir Personal bietet sich trotzdem die Möglichkeit der Konfiguration von optischen und akustischen Warnungen mit systemeigenen Tools wie Zenity unter Gnome oder KDialog unter KDE. Bei Verwendung in einem Skript mit Erweiterung um eine akustische Ausgabe ließe sich so mit eigenen Mitteln die optische und akustische Benachrichtigung realisieren:
#!/bin/bash # # Dies kleine Skript ermöglicht unter KDE die optische und akustische Ausgabe # von Warnungen bei Fund durch Avira AntiVir (UNIX) 3.x - Guard/Scanner - auf # Basis von "KDialog" und "ALSA". Benutzt wird "inotify" um die Logdatei # "/var/log/user.log" zu überwachen. Zudem ist das Paket "inotify-tools" zu # installieren: "sudo apt-get install inotify-tools". # Das Skript kann z.Bsp. unter dem Namen "av_popup" im Pfad "/usr/local/bin" # gespeichert werden. Die Pfade für das gewünschte ICON und APLAY sind anzupassen. # Nachdem es ausführbar gemacht worden ist für alle Nutzer: # "sudo chmod +x /usr/local/bin/av_popup", muss dieses lediglich als # AutoStartProgramm bei Login für jeden Nutzer hinzugefügt werden. # Dies Skript kann ebenfalls unter anderen Desktopumgebungen wie Gnome, XFCE, ... # verwendet werden. Entsprechend der Desktopumgebung ist "KDialog" zu ersetzen # durch z.Bsp. "Zenity". # logfile="/var/log/user.log" while inotifywait -e modify "$logfile"; do getline="$(tail -n1 "$logfile")" findline="$(echo "$getline" | egrep '(ALERT|FUND)')" if [ -n "$findline" ]; then file=`echo "$findline" | cut -d '"' -f 2 ` kdialog --icon "/usr/share/pixmaps/antivirus.png" --msgbox "Avira AntiVir (UNIX): Warnung!\n\nFund in Datei: $file" & aplay /usr/share/sounds/antivirus.wav fi done
Eine weitere Möglichkeit stellen systemfremde Programme wie MetaMonitor dar. Dieses ist in der Lage die SysLogDatei messages unter /var/log zu überwachen.
Zudem können fortlaufend Statusänderungen und Funde des AvGuard in der Datei avguard.log unter /var/log dokumentiert werden.
4.2.2 AvScanner
Die Nutzung des AvScanner ist für jeden Nutzer des System möglich. Seine Konfiguration erfolgt über die Datei avscan.conf unter /etc/avira, kann jedoch bei Bedarf durch setzen von Optionen überschrieben werden. Der Scan einzelner Dateien und Verzeichnisse ist durch Angabe des absoluten Pfades möglich:
avscan [Optionen] /Absoluter/Pfad_1 /Absoluter/Pad_2/Datei
Sollen Verzeichnisse rekursiv durchsucht werden, so muss die Option -s mit angegeben werden. Zudem ermöglicht der Scanner dem Nutzer zu entscheiden wie Funde behandelt werden sollen, wie nachfolgendes Beispiel zeigt:
avscan -s /home/USER/Test Datei: /home/USER/Test/eicar_com.zip zuletzt geändert am Datum: JJJJ-MM-TT Zeit: SS:MM:ss, Größe: n Byte FUND: eicar.com <<< Eicar-Test-Signature ; virus ; Contains code of the Eicar-Test-Signature virus FUND-URL: http://www.avira.com/en/threats?q=Eicar%2DTest%2DSignature welche Aktion wollen Sie ausfuehren (beenden, keine, umbenennen, verschieben, loeschen)? [verschieben] leere Antwort. Werde (voreingestellte oder vorherige) Aktion ausfuehren [verschieben] ausgefuehrte Aktion: Datei in Quarantaene verschoben
Bei einfacher Bestätigung wird entsprechend der Konfiguration mit Funden verfahren. Soll auf die Interaktion mit dem Nutzer verzichtet werden, wie bei Gestaltung von Hintergrundjobs notwendig, so ist die Option --batch zu setzen. Ein Abbruch eines laufenden Scan im Terminal kann über die Tastenkombination Strg+C erzwungen werden.
Hilfe zum Umgang mit dem AvScanner kann wie folgt aufgerufen werden:
avscan --help
Analog zur Konfiguration des AvGuard, lassen sich für den AvScanner durch Einbindung eines externen Programm optische und akustische Warnungen konfigurieren.
In Anlehnung an die Kommandozeilenreferenz von AntiVir besteht die Möglichkeit Starter für Menü und Desktop, sowie ausführbare Skripte die zur Nutzung in Dateibrowser eingebunden werden können, zu erstellen.
Nachfolgend ein Beispiel für ein "Desktop-Entry" zur Nutzung unter KDE 4.x mit Dolphin:
[Desktop Entry] Type=Service X-KDE-ServiceTypes=KonqPopupMenu/Plugin,all/all X-KDE-Priority=TopLevel Actions=AntiVirScan; [Desktop Action AntiVirScan] Name=Scan with AntiVir UNIX Name[de]=Scan mit AntiVir UNIX Icon=antivirus.png Exec=konsole --noclose --title "Virus Scan Report (AntiVir UNIX)" --icon antivirus.png -e avscan [Optionen] X-Ubuntu-Gettext-Domain=desktop_kdebase
Per Texteditor erstellt und als antivir.desktop abgespeichert, ermöglicht dieses bei Platzierung unter /usr/share/kde4/services/ServiceMenu allen Nutzern den Scan einzelner Dateien und Verzeichnisse per Rechtsklick. Hierfür wird die Konsole geöffnet und anschließend der Scan mit den definierten Optionen durchgeführt. Nach Abschluss des Scan bleibt die Konsole geöffnet.
| Die Datei avguard-scanner.conf unter /etc/avira ermöglicht eine spezifische Konfiguration von Savapi welche für AvGuard und AvScanner gilt. Eine Änderung der voreingestellten Konfiguration auf Desktop~ und Laptopsystemen sollte unnötig sein und ist zudem nur mit administrativen Rechten möglich. |
4.2.3 AvUpdater
Der Updater von AntiVir erlaubt es Produktkomponenten additiv zu aktualisieren. Entsprechend dem o.a. Installationsablauf, wird per Cron-Task unter der Nutzerkennung root im Hintergrund einmal täglich die Aktualität der Engine, Scanner und Virendefinitionen geprüft. Zudem erfolgt eine wöchentliche Prüfung auf verfügbare Updates für das komplette Produkt, welche Signaturen, Engine, Scanner und Guard umfasst. Definiert werden die beiden Aktualisierungen über das Skript avira_updater unter /etc/cron.d. Hilfe zur Aktualisierung per Hand, welche administrative Rechte voraussetzt, lässt sich über das Terminal wie folgt abfragen.
avupdate-guard --help
Die Konfiguration des Updater erfolgt über die Datei avupdate-guard.conf unter /etc/avira. Hier ist es möglich netzwerkspezifische Einstellungen, z.Bsp. bei Verwendung eines Proxy, und Regelungen für Benachrichtigung per eMail zu definieren. Per Voreinstellung werden die Aktivitäten des AvUpdater in der Datei avupdate.log unter /var/log fortlaufend dokumentiert.
| Auszuführende Aufgaben mit Cron zu festgelegten Zeiten erfordern, dass ein System hochgefahren ist und können nicht nachgeholt werden. Anacron verwendet Zeitstempel, wodurch es möglich ist Aufgaben nachzuholen, auch wenn das System längere Zeit ausgeschaltet war. |
4.2.4 Zone für Quarantäne einrichten
Um eine Quarantänezone einzurichten, ist ein separates Verzeichnis mit eindeutigem Namen als Administrator über die Kommandozeile anzulegen und der Gruppe antivir Lese-, Schreib-, und Ausführungsrechte durch Modifikation der Standart-ACL einzuräumen. Weiterhin sollte darauf geachtet werden, dass das Verzeichnis für die Quarantäne nicht in einem Verzeichnis liegt welches über DazukoFS gemountet wurde. Für den AvGuard, als auch den AvScanner, ließen sich so separate Zonen einrichten.
1. Anlegen des Verzeichnis mit mkdir an einem Ort vom Nutzer frei wählbar:
mkdir AntiVir_Quarantaene
2. Auslesen der Zugriffsrechte mit getfacl:
getfacl AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: root user::rwx group::r-x other::r-x
3. Ändern der Gruppenzugehörigkeit mit chgrp:
chgrp antivir /root AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: antivir user::rwx group::r-x other::r-x
4. Ändern der Zugriffsrechte der Nutzergruppe antivir und für andere mit setfacl:
setfacl -m group::rwx,other::--- AntiVir_Quarantaene
# file: AntiVir_Quarantaene # owner: root # group: antivir user::rwx group::rwx other::---
Soll auch anderen Nutzern, einem regulären Nutzer der avscan ausführen darf, die Nutzung und Verwaltung der Quarantäne ermöglicht werden, so sind entsprechend die Rechte rwx ebenfalls zu setzen.
| Die Befehle getfacl und setfacl stehen regulär nach Installation sofort zur Verfügung. Andernfalls ist das Paket zu ACL nachzuinstallieren oder alternativ auf den Befehl chmod zurückzugreifen. |
4.3 Deinstallation
Die Deinstallation von AntiVir erfolgt über das Terminal. Hierzu ist in das Verzeichnis /usr/lib/AntiVir/guard zu wechseln. Dieses enthält das Skript uninstall, womit gegebenenfalls sich auch einzelne Produktkomponenten entfernen lassen. Informationen über die vom installierten Produkt verwendeten Dateien und Verzeichnisse können den Dateien dir_list und file_list entnommen werden. Hilfe zur Deinstallation erhält man durch:
./uninstall --help
Zur Ausführen einer kompletten Deinstallation sollte nachfolgender Befehl angewendet werden:
./uninstall --force --product=all
Nach Bestätigung der Abfrage,
Would you like to continue? [n] y
werden laufende Prozesse von AntiVir angehalten. Weitere Abfragen folgen:
Looking for existing key-files ... 1 key-file found Would you like to back-up these key-files? [n] n Looking for existing All installed Products conf-files ... n conf-file found Would you like to back-up these conf-files? [n] n Looking for existing All installed Products log-files ... n log-file found Would you like to back-up these log-files? [n] n Looking for existing All installed Products cronjob ... cronjob found Would you like to remove the cronjob? [y] y
Nachdem Cronjobs, Einträge betreffend DazukoFS in der Datei fstab, einzelne Dateien und Verzeichnisse entfernt worden sind, ist die Deinstallation weitestgehend abgeschlossen. Im Anschluß sind noch die Nutzergruppe antivir, Zonen für die Quarantäne und weitere von Hand vorgenommene Änderung am System zu löschen bzw. rückgängig zu machen.
5 Hintergrundjobs
Unter Verwendung von cron, anacron, crontab, anacrontab oder auch at, besteht die Möglichkeit Update- und Scanaufträge als Hintergrundjobs in Anlehnung an die Kommandozeilenreferenz von AntiVir einzurichten. Weitere Informationen hierzu enthalten die Manpages bzw. Hilfen:
man [Begriff] [Begriff] --help
6 Desktop eMail
Weit verbreitet unter Linux ist die Nutzung der Programme KMail, Evolution, Mozilla Thunderbird und Claws-Mail. Die Verwendung mit einer kostenpflichtigen Version von AntiVir stellt hierbei verschiedene Herausforderungen, knüpft jedoch an die Funktionsweise des Kommandozeilenscan an. KMail bietet eine integrierte Funktion zur Erkennung und Integration von Antivirensoftware. Bei Verwendung von Evolution und Claws-Mail besteht zudem ebenfalls die Möglichkeit verschiedene Skripte anzulegen und mit einer entsprechenden Konfiguration Mails prüfen zu lassen. Thunderbird bietet lediglich die Möglichkeit eine Prüfung durch Antivirensoftware einzuräumen. Weitere detaillierte Informationen zu diesem Thema sind zu finden unter Links.
Aufgrund der Änderung der verwendeten Technologie in AntiVir 3.x besteht zudem die Notwendigkeit der Anpassung einzelner Skripte, z.Bsp. für KMail unter KDE:
kmail.antivirusrc kmail_antivir.sh
| Die Nutzung von Antivirensoftware zur Kontrolle von eMails kann bei falscher Konfiguration zu Datenverlust führen. |
