Aus Arktur

Inhaltsverzeichnis 1 Schutz der Dateien auf Arktur 1.1 virscan 1.2 f-prot 1.3 BitDefender 1.3.1 Betrieb 1.4 clamav 1.4.1 Betrieb 1.4.1.1 Server 1.4.1.2 Client 1.5 antivir 1.5.1 Installation 1.5.2 Betrieb 1.6 dazuko 1.6.1 Installation 1.6.2 Modul einbinden 1.6.3 Probelauf 1.7 Rootkits 2 Schutz der Dateien auf den Clients 2.1 f-prot 2.2 BitDefender 3 Schutz vor E-Mail-Viren 4 Updates 4.1 Programme 4.1.1 ClamAV 4.2 Signaturen 5 Online-Scanner 6 Rettungs-CDs und -Sticks 6.1 Knoppicillin 6.2 Antivir 7 Weblinks

[Bearbeiten] Schutz der Dateien auf Arktur

Bei Arktur 3.4/3.6/5.0 werden die Virenscanner clamav und BitDefender mitgeliefert, die Signaturdateien werden regelmässig aktualisiert.

Das Scannen muss von Hand (oder durch einen Cron-Job) gestartet werden; bevor es automatisiert wird, sollte es mehrmals daraufhin geprüft werden, wieviel Zeit und Rechenleistung es beansprucht.

Es kann sein, dass das "/tmp"-Verzeichnis vollläuft, wenn grosse gepackte Dateien untersucht werden müssen. Dann bekommen andere Programme Probleme.

• Das Scannen der Home-Verzeichnisse aller User kann lange dauern.
  • "top" zeigt die Auslastung des Systems (abbrechen: "q")
• "f-prot", "bdc" oder "clamav" sollten vorrangig (nur) dafür benutzt werden, die Samba-Freigaben sowie die Home- und Mailverzeichnisse zu scannen; der Rest ist Linux, der wird besser mit "rkhunter" und "chkrootkit" geprüft
• Wenn viele User-Dateien zu prüfen sind, dann könnte es sinnvoll sein, den zugehörigen Cronjob spät abends oder früh morgens zu starten, wenn er noch während der Unterrichtsszeit läuft, dann reagiert das System insgesamt recht zäh.
• Es kann sinnvoll sein, den Cronjob so zu gestalten, dass pro Tag nur ein Teil der Homeverzeichnisse gescannt wird, sortiert z.B. alphabetisch.

[Bearbeiten] virscan

Seit August 2010 wird bei Arktur 5.2.04 (und neuer) das Skript "virscan" mitgeliefert, als Teil des Pakets http://arktur.shuttle.de/CD/5.2/slack/ods1/odsrsnapshot.tgz. Es scannt nur die Dateien im E-Mail-Verzeichnis und unterhalb des "/home"-Verzeichnisses, die sich in den letzten 3 Tagen geändert haben (und braucht deshalb "rsnapshot".) Es benutzt dabei die auf Arktur installierten Scan-Programme (also auf jeden Fall "clamscan" aus dem ClamAV-Paket).

[Bearbeiten] f-prot

Derzeitige Download-Adresse des "f-prot"-Pakets für Linux:

• f-prot für Linux

Einfachste Installation:

1. nach "/usr/local/f-prot" entpacken
2. evtl. .../etc/f-prot.conf.default" nach "/etc/f-prot.conf" kopieren

Updates: am einfachsten mit dem Skript signaturup

Verlinken: Skript "/usr/local/bin/fpscan"

#! /bin/bash
# Wrapper für fpscan und fpupdate
test -x /usr/local/f-prot/fpscan && exec /usr/local/f-prot/fpscan "$@"

Genauso: Skript "/usr/local/bin/fpupdate"

Dann:

chmod 755 /usr/local/bin/fp*

[Bearbeiten] BitDefender

Derzeitige Download-Adresse der Linux-Version (für Private frei)

• BitDefender für Linux

Dazu muss eine "free license" per E-Mail angefordert werden.

Die etwas ältere Version 7.1 (für Linux) ist (wie auch die Version 7.0) auch für Schulen kostenfrei einsetzbar, solange sie nur Dateien auf dem Server scannt.

• http://www.linuxmuster.net/version2:virenschutz:bitdefender

[Bearbeiten] Betrieb

Alle Verzeichnisse unterhalb von "/home" scannen:

 bdc /home

Auch Mail im Home-Verzeichnis scannen:

 bdc --mail /home

Nur Mail im Mail-Verzeichnis scannen:

 bdc --append --mail /var/spool/mail

[Bearbeiten] clamav

Das "clamav"-Paket ist vor-installiert, das Updaten der Signaturdateien mit Hilfe des Skripts "signaturup" ist ebenfalls vor-eingestellt.

[Bearbeiten] Betrieb

[Bearbeiten] Server

Alle Verzeichnisse unterhalb von "/home" scannen:

clamscan -r --move=/tmp --log=/var/log/clamscan.log /home

Infizierte Dateien werden nach "/tmp" verschoben (mag sein, dass das Verzeichnis überläuft).

[Bearbeiten] Client

• Paket "odspxe.tgz" muss bereits installiert sein (wird seit Arktur 5.2.04 automatisch mitinstalliert)
• Paket "odsrip.tgz" ggfs. nachinstallieren
• Client per PXE-Boot starten, "LiveCD"/"RIP (CLI)"
• als "root" einloggen
• einmal

  dhcpup dhcpcd
  echo "http_proxy = http://192.168.0.1:8080/" >> /etc/wgetrc
  cd /var/lib/clamav
  ./update

• pro Partition

  fdisk -l
  vscan /dev/<partition>

[Bearbeiten] antivir

Avira stellt für Private eine kostenlose 1-Rechner-Version von "antivir" unter Linux bereit. Die Nutzung in Gemeinden, Vereinen, Kirchen usw. ist nicht gestattet.

• http://dl1.avgate.net/down/unix/packages/antivir-workstation-pers.tar.gz

[Bearbeiten] Installation

• http://www.kottecc.de/linux/kostenloser-antivir-virenscanner-unter-linux
• http://lists.opensuse.org/opensuse-de/2006-04/msg00041.html
• http://atlien.org/howtos/antivir.html

[Bearbeiten] Betrieb

Test mit

antivir /tmp

[Bearbeiten] dazuko

DaZuKo ist ein Hilfsprogramm, das einem geeigneten Virenscanner mitteilt, dass eine Datei in einem zu überwachenden Verzeichnis neu angelegt oder geändert wurde; dann prüft der Virenscanner diese Datei "online". So ähnlich arbeiten bei E-Mail auch "AMaVis" und "MimeDefang".

[Bearbeiten] Installation

Der aktuelle Kernel muss auf dem Rechner kompiliert werden sein, die Dateien müssen in "/usr/src/linux-<Kernelversion>" liegen. Der Kernel muss mit dem "dpath"-Patch ergänzt worden sein.

Kompilier-Skript:

#! /bin/sh
# konfiguriert 
# Helmut Hullen, 15.10.2005
# Anregungen von Walter Mautner, de,comp.os.unix.linux.misc 7.-12. Maerz 2009
# Der Kernel muss mit dem "dpath"-Patch neu kompiliert worden sein.
Prog=dazuko-2.3.5-pre1
Kernel=$(uname -r)
make clean
#
./configure --enable-syscalls \
   --disable-local-dpath \
   --disable-compat1 \
   --mapfile=/boot/$Kernel/System.map || { 
   echo Fehler beim Konfigurieren
   exit 1
   }
#
make || {
   echo Fehler beim Kompilieren
   exit 1
   }
Datei=/lib/modules/$Kernel/extra/dazuko.ko
test -f $Datei && mv --backup=t $Datei $Datei.old
#
make install || {
   echo Fehler beim Installieren
   exit 1
   }

[Bearbeiten] Modul einbinden

modprobe dazukofs

"antivir" ("avguard") funktioniert problemlos mit "dazuko"; "ClamAV" ("clamd") weigert sich (noch).

[Bearbeiten] Probelauf

• "antivir" einrichten
• "/etc/avguard.conf" einrichten

avguard start

• Datei "eicar.com" (z.B. bei ftp://hullen.hopto.org) in ein überwachtes Verzeichnis schieben - das sollte zu einer Meldung in "/var/log/messages" führen, dass diese Datei einen (hier harmlosen) Virenalarm ausgelöst hat.

[Bearbeiten] Rootkits

Bei Arktur 3.6/5.x werden die Programme "rkdet", "chkrootkit" und "rkhunter" mitgeliefert, sie sollten mit Hilfe des Skripts "/root/bin/suchkit" als Cronjob laufen.

Die Meldungen landen in "/var/log/suchkit.log".

• http://vancouver-webpages.com/rkdet/
• http://www.chkrootkit.org/
• http://www.rootkit.nl/projects/rootkit_hunter.html

[Bearbeiten] Schutz der Dateien auf den Clients

Wenn auch auf dem Client gescannt werden soll, dann sollte ein Programm benutzt werden, das nicht darauf angewiesen ist, unter Windows gestartet zu werden.

[Bearbeiten] f-prot

Privatleute sollten f-prot (Home-Version) benutzen - das kann unter DOS gestartet werden.

Schulen müssen "f-prot" leider kaufen.

[Bearbeiten] BitDefender

Derzeitige Download-Adresse:

• BitDefender für Private

[Bearbeiten] Schutz vor E-Mail-Viren

Bei Arktur 3.4/3.6/5.0 ist Mimedefang als Viren-Filter mitgeliefert; es wird im "sysadm"-Menu

System verwalten | Dienste

aktiviert oder deaktiviert. Es sollte nur dann aktiviert werden, wenn Arktur als Mailserver die Post vieler User beim Provider abholt und abliefert.

"mimedefang" kann viele Virenscanner benutzen, das Programm ist so vor-eingestellt, dass nur "BitDefender" benutzt wird - "clamav" kann sehr einfach zusätzlich oder stattdessen eingebunden werden.

Die Konfigurationszeilen sind in dem Perl-Skript "/usr/bin/mimedefang.pl" etwa ab Zeile 130 zu finden. Wenn dieses Skript geändert wird, dann muss zum Aktivieren der Änderung "sendmail" per

/etc/init.d/sendmail stop

/etc/init.d/mimedefang stop

/etc/init.d/mimedefang start

/etc/init.d/sendmail start

neu gestartet werden.

[Bearbeiten] Updates

[Bearbeiten] Programme

[Bearbeiten] ClamAV

• http://arktur.shuttle.de/CD/5.0/slack/odsupdate

"wie ein Arktur-Update zu installieren"

[Bearbeiten] Signaturen

Die Signatur-Updates sollten mit dem Skript "/root/bin/signaturup" geholt und eingebunden werden. Dazu sollte dieses Skript mehrmals täglich per Root-Cronjob aufgerufen werden.

"ClamAV" installiert einen Cronjob in "/etc/cron.daily"; der erzeugt jedoch bei den meisten Installationen eine Fehlermeldung, weil er zu einer Zeit aufgerufen wird, in der Arktur (aus gutem Grund) nicht online ist; dieser Cronjob sollte gelöscht werden.

Auch "antivir" bietet einen eigenen Update-Dienst an; auch hier sollte stattdessen per "/root/bin/signaturup" upgedatet werden.

[Bearbeiten] Online-Scanner

Einige Hersteller erlauben auch, den zu untersuchenden Rechner (oder einzelne Dateien) online zu prüfen.

• http://www.virustotal.com/de/
• http://scanner.virus.org/
• http://www.kaspersky.com/de/virusscanner

[Bearbeiten] Rettungs-CDs und -Sticks

Rettungs-CDs starten den zu prüfenden Rechner mit Hilfe einer CD, damit lassen sich auch Viren aufspüren, die das Betriebssystem des Rechners verbogen haben.

Inzwischen geht das auch mit bootfähigen USB-Sticks; damit kann die Signatur-Datei besser aktuell gehalten werden.

[Bearbeiten] Knoppicillin

• http://www.heise.de/software/download/knoppicillin_download_edition/37894

Download-Version der in c't 21/2006 veröffentlichten Live-CD Knoppicillin-5, allerdings ohne Virenscanner; eignet sich nur für fortgeschrittene Linux-Anwender, die eine bootfähige Notfall-CD benötigen oder sich eigene Virenscanner nachrüsten wollen (vgl. c't 22/2006, S. 234, c't Projektseite, Forum); der DVD in c't 26/07 liegt ein neueres Knoppicillin bei

[Bearbeiten] Antivir

Bei http://www.avira.de/de/support/support_downloads.html wird ein täglich aktualisiertes CD-Image des "Avira AntiVir Rescue System" zum Download angeboten, das (ähnlich wie Knoppicillin) den Rechner "offline" prüft.

[Bearbeiten] Weblinks

• Mailscanner
• Mimedefang-Howto
• http://manual.sidux.com/de/vir-rkits-de.htm
• http://www.heise.de/security/dienste/antivirus/links.shtml