Kaspersky ултразвуков скенер за Linux. процент от уеб сървърите работят на Linux. Откриване на приятел или враг. Да започнем инсталацията
Антивируси за Linux системи & kaspersky, clamav... и много други
Добър ден колеги, днес ще говорим за антивирусни системи в Linux специално за ubuntu и debian
Защо имам нужда от антивирусна?
Може би се чудите: защо говорим за антивирусна защита за Linux? В края на краищата Интернет е пълен с безброй твърдения за сигурността на Linux и ако напишете „Linux antivirus“ в Google, първият елемент в списъка ще бъде статия от Linux.com, озаглавена „Забележка за новодошлите в Linux: Не е необходима антивирусна програма. ” "]. Освен това Linux има много малък пазарен дял за настолни компютри, което често е основната мотивация за хакерите. Всичко това поражда напълно резонен въпрос: как проникването в Linux може да бъде полезно за нападателя?
Противно на митовете, имунитетът на Linux срещу вируси е страхотен, но не и неизмерим. Експлойти за междуплатформени технологии като Java и Flash са толкова приложими за Linux, колкото и за други операционни системи. И тъй като Linux навлезе на индустриалния пазар и уеб сървърите, проникванията стават много по-доходоносни от преди. Данните могат да бъдат откраднати и продадени на „крадци на самоличност“ или използвани за създаване на ботнет мрежи и други незаконни дейности.
Ако в мрежата има компютри с Windows (или с двойно зареждане), Linux може да се превърне в безопасно убежище за злонамерен софтуер на Windows, който може да се разпространи в локални устройства с Windows или да се размножи в цялата мрежа. Въпреки че търговските защитни стени за настолни компютри съдържат част от тази заплаха, клиентските компютри, които получават злонамерени пакети от надеждно LAN устройство, ще бъдат изложени на риск. Твърдението е противоречиво, защо да не изключим компютрите с Linux от списъка с „доверени“, ако има подозрение, че може да съдържат вируси?
Но преди да отпишете всичките си предишни мнения относно сигурността на Linux среда, нека да разгледаме някои числа.
Различни източници изчисляват, че броят на експлойтите за Windows е няколко хиляди пъти по-висок от този на любимата ни безплатна операционна система и благодарение на отворения характер на Linux повечето уязвимости се коригират веднага щом бъдат открити. И ако трябва да бъдем по-точни и да оперираме с приблизителни цифри, тогава броят на заплахите (потенциални и реални вируси) в Linux отива в десетки, докато броят на реалните вируси за Windows се оценява на стотици хиляди. Така едно просто изчисление дава цифра за съотношението на вирусите да бъде повече от 10 000 пъти.
Обществена безопасност
Причината обаче, поради която Windows има най-много уязвимости, се дължи главно на доминирането му на пазара. Това е една от причините и въпреки това, предвид броя на комерсиалните сървъри, работещи с Linux, където Windows вече не е толкова доминиращ, не може да се каже, че това е основната причина. Но за разлика от Windows, можете да сте спокойни, знаейки, че ако компютърът ви бъде заразен, помощни програми като SELinux (за които говорихме миналия месец), както и разрешенията за файлове за потребители, групи и други, ще ограничат щетите, които могат да нанесат злонамерен софтуер на системата.
Въпреки това, за критични за мисията системи и бизнес решения, които трябва да задоволят федерални закониКогато става въпрос за защита на данните, има хиляди безплатни инструменти за сигурност, от детектори за проникване (IDS), антивирусни програми и защитни стени до силно криптиране на данни.
Всичко това осигурява повече от достатъчна защита за Linux система и като редовен потребител получавате много повече ползи от споделянето на тези помощни програми с общността, отколкото всеки потребител на Windows би могъл да мечтае. Освен това в повечето случаи не е нужно да плащате за годишен абонамент или да се занимавате с тромаво приложение, което пречи на ежедневните ви дейности.
ClamAV: Инсталирайте антивирусна програма
Продължавайки темата за сигурността, Боб Мос ще ви каже как да защитите системата си от вируси и зловреден софтуер.
Миналия месец научихме как да инсталираме и конфигурираме Linux по начин, който намалява щетите, които злонамереният софтуер може да причини на нашата любима Linux система. Този път ще направим крачка напред и ще научим как да намираме и изолираме вируси в компютърна мрежа, преди да се обърнем към Linux или AppArmor с надеждата, че те ще спасят положението. Ще засегнем и един важен въпрос: дали Linux е толкова сигурен, колкото подсказва репутацията му?
Потребителите на Gnome вероятно ще намерят ClamAV под псевдонима „Virus Scanner“: проектът ClamTK предлага удобен за потребителя интерфейс за програмата, базиран на библиотеката gtk2-perl. Когато инсталирате пакета ClamTk от хранилището на вашата дистрибуция, може да забележите, че тази обвивка не е най-новата версия, но за щастие пакетите за всяка базирана на Red Hat или Debian система могат да бъдат изтеглени от сайта, а потребителите на други дистрибуции могат да я изградят от изходния код .по обичайния начин. Потребителите на KDE може също да искат да проверят KlamAV или неговия заместител clamav-kde, наличен в хранилищата на повечето дистрибуции.
Въпреки това, въпреки че тези интерфейси са добре обмислени и интуитивни, тяхната функционалност е достатъчна само за изпълнение на най-често срещаните задачи; и ако изберете този път, черупките ще трябва да се стартират ръчно. Вътре се крие много повече мощност и гъвкавост.
ClamAV се предлага в повечето мениджъри на пакети, но версията на вашата дистрибуция вероятно не е най-новата и може да не получите най-новите функции или по-високи нива на сигурност. Потребителите на Ubuntu могат просто да отидат на System > Administration > Software Sources и да изберат раздела „Third Party Repository“, за да добавят PPA там. Нашите редовни читатели ще си спомнят, че разгледахме PPA на Ubuntu в LXF124, но потребителите на Ubuntu Karmic могат да използват следния удобен пряк път:
ppa:ubuntu-clamav/ppa
На по-стари версии на Ubuntu въведете това:
Отваряне на черупката
Сега, когато хранилищата или изходните пакети са готови, е време да инсталирате ClamAV. Можете да изберете как да работи - като отделно приложение или като фонов демон (тогава ще трябва да добавите пакета clamav-daemon). И в двата случая ще бъде инсталиран clamav-freshclam, който ще поддържа сигнатурите на вируси (и дори самия ClamAV) актуални.
Приложението ClamAV се стартира от командния ред, ръчно или от скрипт, а демонът постоянно работи във фонов режим. И двете могат да бъдат внедрени по-късно, но сега просто трябва да решите как искате да поддържате антивирусна защита на вашата Linux система.
След като инсталирате избрания пакет, актуализирайте вирусните сигнатури, преди да сканирате компютъра си за първи път. Това може да стане чрез GUI или просто с командата от терминала:
Редовните читатели ще си спомнят, че накратко споменахме как да филтрираме входящи пакети от прокси с помощта на ClamAV в урока за родителски контрол LXF128. Настройването на ClamAV да работи с даден прокси сървър не може да бъде по-лесно. Просто отворете файла /etc/clamav/freshconf.conf и добавете следните редове в края:
IP-адрес на HTTPProxyServer сървър
HTTPProxyPort порт_номер
Заменете server_ip_address и port_number със съответните стойности. Ако предпочитате да стартирате ClamAV като демон, рестартирайте го, за да влязат в сила промените.
Демонизми
Ако използвате ClamAV като демон, добра идея е да се уверите, че той наистина работи. Това се проверява от командата
ps брадва | grep clamd
2075? Ssl 0:00 /usr/sbin/clamd
14569 точки/0 S+ 0:00 grep clamd
На повечето системи ще видите три реда изход. Ако демонът не работи, изпълнете тази команда в терминал:
Версията на демона може да се провери с помощта на командата:
Автоматично сканиране
Нека конфигурираме ClamAV да актуализира вирусни сигнатури и да сканира системата.
И така, ClamAV е инсталиран. Чрез удобен графичен интерфейс можете да преглеждате файлове под карантина, да изпълнявате актуализации на сигнатури за вируси и да сканирате малки директории. Но колко дълго ще можете да правите това редовно? Всички сме хора и лесно се разсейваме от ежедневието си, оставяйки системата уязвима. Ще бъде по-безопасно да влезете под капака на ClamAV и да го конфигурирате да сканира и актуализира автоматично сигнатури за вируси - тогава самата система ще се защити своевременно от всякакви проблеми, на които може да имате нещастието да се натъкнете, докато сърфирате в Интернет.
Бърза помощ
Ако получавате грешки „Oversized Zip“, променете настройката Archive-MaxCompression-Ratio в /etc/clamd.conf, след като опитате няколко стойности с clamscan --max-ratio=400 example.zip
Нека опитаме най-простите команди в терминала. Ако ClamAV работи като демон, просто заменете всички появявания на clamscan с clamdscan и ще получите почти същата функционалност. Нашата първа команда ще проверява рекурсивно файловете в дадена директория за наличие на вируси от базата данни със сигнатури на вируси:
Clamscan -r /path/to/directory
Командата може да бъде подобрена - нека показва изхода си на екрана и в края на теста издава сигнал (звънец):
Clamscan -r --bell -i /path/to/directory
Можете също така да пренасочите изхода към други команди или към текстов файл за по-късен преглед:
Clamscan -r -i /path/to/directory > results.txt
clamscan -r -i /път/към/директория | поща Този адрес имейлзащитени от спам ботове. Трябва да имате активиран JavaScript, за да го видите.
В първия случай резултатите от рекурсивната проверка се поставят в текстов файл, във втория се прехвърлят към пощенската програма за последващо изпращане до посочения адрес. Последната опция е особено удобна, когато ClamAV работи в режим на демон: ще получите резултати в реално време. И накрая, можете да добавите превключвателя --remove, преди да посочите пътя, така че заразените файлове да се премахват автоматично от системата, вместо да бъдат поставени под карантина. Но бъдете внимателни с това, тъй като в случай на фалшиви положителни резултати можете да загубите необходимите файлове.
Включването на проверка на ClamAV в системния планировчик е много просто. Просто влезте
Утре в 3.00 ч
at>clamscan -i ~ > ~/test.txt
Изпратете заданието, като натиснете Ctrl+D (няма нужда да пишете at> във втория ред). Командата ще насрочи антивирусно сканиране за 3 сутринта утре и ще запази резултата във файла test.txt в началната директория. Ами ако имате нужда от ежедневно сканиране?
Може да се направи по различни начини. Ако сте потребител на настолен компютър, стартирайте shell скрипт всеки път, когато влезете, или конфигурирайте своя планировчик да го извиква.
В първия случай просто копирайте втория ред от предишния пример и го поставете като ново стартиращо приложение през System> Preferences> Startup Applications (System> Settings> Startup Applications). Потребителите на KDE трябва да запишат този ред в шел скрипт и да го копират в директорията /home/user/.kde/AutoStart и след това да му присвоят права за изпълнение.
Редовни проверки
Във втория случай можете да конфигурирате периодични проверкиизползвайки Cron. Ще трябва да копирате реда от предишния кодов фрагмент във файл и да го наименувате scanscript.sh. Първо се уверете, че инструкциите във файловете cron.allow или cron.deny ви дават достъп до Cron. Ако нито един файл не съществува, само root ще има достъп, но ако и двата съществуват, уверете се, че вашето потребителско име е в първия файл, но не и в последния.
Преди да добавите запис към crontab, задайте своя любим текстов редакторв променливата $EDITOR. С други думи, въведете:
експортиране EDITOR=nano
След това можете да добавите следния код в края на файла:
0 * * * * sh /path/to/scanscript.sh
Ако сте избрали Nano като редактор, натиснете Ctrl+X, за да излезете и да запазите. Сега Cron ще стартира антивирусната програма от скриптовия файл всеки час, всеки час всеки ден.
За да разберете как работи тази линия, погледнете таблицата. Ден номер 0 от гледна точка на Крон е неделя. Звездичка * означава, че скриптът ще се изпълнява при всяка маркировка на тази времева линия. Като се консултирате с таблицата, можете да зададете желания интервал на стартиране.
И накрая, ако не искате да получавате имейли от системата с резултатите от задачата, променете предишния ред по този начин:
0 * * * * sh /path/to/scanscript.sh > /dev/null 2>&1
Планирането на актуализации на вирусни подписи не се различава много от планирането на сканиране. Честотата на актуализациите обаче изисква известно мислене. По-добре е да стартирате антивирусни сканирания по-често, за да осигурите чистота, но актуализациите на сигнатурата обикновено се правят не повече от веднъж на ден. Следователно изпълнението им всеки път, когато влезете, е загуба на системни ресурси.
Свежи подписи
При съвременните настолни системи режийните разходи не са прекомерни, но си струва да се вземат предвид, когато се работи с постоянно включени мрежови устройства с ниска производителност или файлови сървъри. На работния плот можете да стартирате актуализацията ръчно чрез GUI на ClamTK, но винаги има опасност да забравите за нея.
Ето защо ви препоръчваме да актуализирате своите сигнатури на вируси поне веднъж на ден, за да осигурите защита срещу най-новите заплахи без ненужни стъпки. Най-добър вариантРешението на този проблем е да добавите следния ред към crontab:
0 3 * * * sh /path/to/scanscript.sh
Той гарантира, че вирусните актуализации се извършват всеки ден или поне не в моменти, когато потреблението на системни ресурси се увеличи драстично.
Числови диапазони на Crontab
Хронология Минути Часове Дни Месеци Дни от седмицата
Диапазон 0–59 0–23 1–31 1–12 0–6
Други антивирусни продукти
Въпреки че ClamAV е лесен за инсталиране, конфигуриране и управление, може да предпочетете готово решение за защита на вашата десктоп система срещу Linux и Windows вируси. Има няколко търговски алтернативи на ClamAV.
Те са насочени главно към намиране на вируси на Windows, които са намерили убежище в Linux, но са много полезни, ако имате компютри с двойно зареждане или Windows в локална мрежа.
Kaspersky Anti-Virus 5.6 за Linux Mail Server
Kaspersky Anti-Virus® 5.6 за Linux Mail Server (наричан по-долу Kaspersky Anti-Virus или приложението) осигурява антивирусна защита за пощенския трафик и файловите системи на работещите сървъри операционни системи Linux или FreeBSD и използване на пощенски системи Sendmail, Postfix, qmail или Exim.
Приложението ви позволява да:
Сканирайте файловите системи на сървъра, входящите и изходящите имейл съобщения за заплахи.
Откриване на заразени, подозрителни, защитени с парола и неподлежащи на сканиране обекти.
Неутрализирайте заплахи, открити във файлове и имейл съобщения. Лекувайте заразени обекти.
Запазване на резервни копия на съобщения преди антивирусна обработка и филтриране; възстановяване на съобщения от резервни копия.
Обработвайте имейл съобщенията според правилата, определени за групи податели и получатели.
Филтрирайте имейл съобщенията по име, тип и размер на прикачения файл.
Уведомете подателя, получателите и администратора за откриване на съобщения, съдържащи заразени, подозрителни,
защитени с парола и недостъпни обекти за проверка.
Генериране на статистики и отчети за резултатите от работата.
Актуализирайте антивирусните бази данни от сървърите за актуализиране на Kaspersky Lab по график и при поискване. Базите данни се използват в процеса на търсене и лечение на заразени файлове. Въз основа на записите, съдържащи се в тях, всеки файл се анализира по време на сканиране за наличие на заплахи: кодът на файла се сравнява с кода, характерен за конкретна заплаха.
Конфигурирайте параметри и управлявайте работата на приложението като локално (стандартни инструменти на операционната система, използващи параметри на командния ред, сигнали и модификация
конфигурационен файл на приложението) и дистанционно чрез уеб интерфейса на програмата Webmin.
Получавайте информация за конфигурацията и статистика за работата на приложението чрез SNMP протокола и също така конфигурирайте приложението да изпраща SNMP капани, когато възникнат определени събития
Хардуерни и софтуерни системни изисквания
Системните изисквания на Kaspersky Anti-Virus са както следва:
Хардуерни изисквания за пощенски сървър, поддържащ около 200 MB трафик на ден:
Процесор Intel Pentium IV, 3 GHz или по-висок;
1 GB RAM;
200 MB свободно пространство на твърдия диск (това не включва пространството, необходимо за съхраняване на резервни копия на съобщения).
Софтуерни изисквания:
за 32-битова платформа една от следните операционни системи:
o Fedora 9;
o openSUSE 11.0;
o Debian GNU/Linux 4.0 r4;
o Mandriva Corporate Server 4.0;
o Ubuntu 8.04.1 Server Edition;
o FreeBSD 6.3, 7.0.
за 64-битова платформа една от следните операционни системи:
o Red Hat Enterprise Linux Server 5.2;
o Fedora 9;
o SUSE Linux Enterprise Server 10 SP2;
o openSUSE Linux 11.0.
Една от следните пощенски системи: Sendmail 8.12.x или по-висока, qmail 1.03, Postfix 2.x, Exim 4.x.
Програма Webmin (http://www.webmin.com), ако планирате да управлявате дистанционно Kaspersky Anti-Virus.
Perl версия 5.0 или по-нова (http://www.perl.org).
Инсталиране на приложението на сървър, работещ под Linux
Пакетът deb ще се изтегли... след това ще изпълним
dpkg -i kav4lms_5.6-48_i386.deb
Настройка след инсталация
При инсталиране на Kaspersky Anti-Virus, след копиране на файловете за разпространение на сървъра, системата се конфигурира. В зависимост от мениджъра на пакети, стъпката за конфигуриране ще се стартира автоматично или (ако мениджърът на пакети не позволява използването на интерактивни скриптове, като rpm) ще трябва да се стартира ръчно.
За да стартирате процеса на настройка на приложението ръчно от командния ред
въведете:
# /opt/kaspersky/kav4lms/lib/bin/setup/postinstall.pl
В резултат на това ще бъдете подканени да направите следното:
Ако приложението открие конфигурационни файлове на Kaspersky Anti-Virus 5.5 за Linux Mail Server или Kaspersky Anti-Virus 5.6 за Sendmail с Milter API на компютъра, на тази стъпка ще бъдете помолени да изберете кой от файловете да конвертирате и запишете в формат на текущата версия на приложението и, ако изберете един от файловете, ще бъдете подканени да замените конфигурационния файл на приложението, включен в разпространението, с възстановения и конвертиран файл.
За да замените конфигурационния файл на приложението, включен в разпространението, с възстановения файл, въведете да като отговор. За да откажете замяната, въведете бр.
По подразбиране преобразуваните конфигурационни файлове се записват в следните директории:
kav4mailservers -
/etc/opt/kaspersky/kav4lms/profiles/kav4mailservers5.5-converted
/etc/opt/kaspersky/kav4lms/profiles/kavmilter5.6-converted
Посочете пътя до ключовия файл.
Моля, обърнете внимание, че ако ключът не е инсталиран, антивирусните бази данни не се актуализират и списъкът със защитени домейни не се генерира като част от инсталационния процес. В този случай трябва сами да извършите тези стъпки след инсталиране на ключа.
Актуализирайте антивирусната база данни. За да направите това, въведете да като отговор. Ако искате да спрете копирането на актуализации сега, въведете не. Можете да актуализирате по-късно с помощта на компонента kav4lms-keepup2date (за повече подробности вижте раздел 7.2 на страница 83).
Настройте автоматична актуализацияантивирусни бази данни. За да направите това, въведете да като отговор. За да се откажете от настройването на автоматични актуализации сега, въведете не. Можете да извършите тази настройка по-късно, като използвате компонента kav4lmskeepup2date (за повече подробности вижте раздел 7.1 на страница 82) или като използвате скрипта за конфигуриране на приложението (за подробности вижте раздел 10.2 на страница 103).
6. Инсталирайте модула webmin за управление на Kaspersky Anti-Virus чрез уеб интерфейса на програмата Webmin. Модулът за дистанционно управление ще бъде инсталиран само ако програмата Webmin се намира в стандартната директория. След инсталирането на модула ще бъдат дадени подходящи препоръки как да го конфигурирате за съвместна работа с приложението. Въведете да като отговор, за да инсталирате модула webmin или не, за да откажете инсталирането.
7. Определете списъка с домейни, чийто пощенски трафик ще бъде защитен от вируси. Стойността по подразбиране е localhost, localhost.localdomain. За да го използвате, натиснете клавиша Enter.
За да изброите ръчно домейни, избройте ги в командния ред. Можете да посочите множество стойности, разделени със запетаи; разрешени са маски и регулярни изрази. Точките в имената на домейни трябва да бъдат "екранирани" с помощта на знака "\".
Например:
re:.*\.example\.com
8. Интегрирайте Kaspersky Anti-Virus в пощенската система. Можете да приемете опцията по подразбиране за интеграция с пощенската система, открита на вашия компютър, или да откажете интеграцията и да я извършите по-късно. Подробно описание на интеграцията с пощенската система се съдържа в глава 4 на страница 30.
По подразбиране се използва интеграция след опашка за пощенските системи Exim и Postfix (вижте раздел 4.1.1 на страница 31 и раздел 4.2.1 на страница 37).
Инсталиране на модула webmin за управление на Kaspersky Anti-Virus
Работата на Kaspersky Anti-Virus може да се контролира и дистанционно чрез уеб браузър с помощта на програмата Webmin.
Webmin е програма, която опростява процеса на управление на Linux/Unix система. Програмата използва модулна структура с възможност за свързване на нови и разработване на собствени модули. Можете да получите допълнителна информация за програмата и нейната инсталация, както и да изтеглите документация и комплекта за разпространение на Webmin на официалния уебсайт на програмата:
http://www.webmin.com.
Комплектът за разпространение на Kaspersky Anti-Virus включва модул webmin, който може да бъде инсталиран по време на слединсталационната настройка на приложението (вижте раздел 3.4 на страница 21), ако програмата Webmin вече е инсталирана в системата, или във всяка друга време след инсталиране на програмата Webmin.
Следното описва подробно процеса на свързване на модула webmin за управление на Kaspersky Anti-Virus. Ако при инсталирането на Webmin са били използвани настройките по подразбиране, след като инсталацията приключи, можете да получите достъп до програмата с помощта на браузър, като се свържете чрез HTTP/HTTPS към порт 10000.
За да инсталирате модула webmin за управление на Kaspersky Anti-Virus, трябва:
Получете достъп чрез уеб браузър до програмата Webmin с администраторски права за тази програма.
1. В менюто Webmin изберете раздела Webmin Configuration и след това раздела Webmin Modules.
2. В секцията Инсталиране на модул изберете От локален файл и щракнете върху бутона (вижте Фиг. 1).
3. Посочете пътя до модула на приложението webmin и щракнете върху бутона OK.
Забележка
Модулът Webmin е файл mailgw.wbm и е инсталиран по подразбиране в директорията /opt/kaspersky/kav4lms/share/webmin/ (за Linux дистрибуции)
Ако модулът webmin е инсталиран успешно, на екрана ще се покаже съответно съобщение.
Можете да получите достъп до настройките на Kaspersky Anti-Virus, като отидете в раздела Други и след това щракнете върху иконата на Kaspersky Anti-Virus (вижте Фигура 2).
Изтриването на приложение става по следния начин:
Dpkg -P<имя_пакета>
След това нека стартираме нашия филтър:
/etc/init.d/kas3 start && /etc/init.d/kas3-control-center start && /etc/init.d/kas3-milter start
Актуализиране на антивирусни бази данни
Нека изпълним една команда:
/opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -s
Можете също да конфигурирате Автоматична актуализация
настройте антивирусната база данни да се актуализира автоматично на всеки час.
В системния регистър се записват само грешки по време на работа на приложението. Водете общ дневник на всички стартирани задачи, не извеждайте никаква информация към конзолата.
За да изпълните тази задача, изпълнете следните стъпки:
1. В конфигурационния файл на приложението задайте подходящите стойности за параметрите, например:
KeepSilent=да
Добавяне=да
Ниво на отчет=1
2. Редактирайте файла, който дефинира правилата за процеса cron (crontab -e), като въведете следния ред:
0 0-23/1 * * * /opt/kaspersky/kav4lms/bin/kav4lmskeepup2date -e
По всяко време можете да започнете да актуализирате антивирусните бази данни от командния ред, като използвате командата:
# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date
Пример: започнете да актуализирате антивирусните бази данни, като запишете резултатите във файла /tmp/updatesreport.log.
За да изпълните задачата в командния ред, въведете:
# /opt/kaspersky/kav4lms/bin/kav4lms-keepup2date -l \
/tmp/updatesreport.log
ПРОВЕРКА НА ПРАВИЛНАТА РАБОТА НА ПРИЛОЖЕНИЕТО
Забележка
Преди да изтеглите, трябва да деактивирате антивирусната защита, тъй като файлът anti_virus_test_file.htm ще бъде идентифициран и обработен от антивируса, инсталиран на компютъра, като заразен обект, транспортиран чрез HTTP протокола.
Не забравяйте да активирате антивирусната защита веднага след изтеглянето на тестовия „вирус“.
Друга малка гама от антивируси за Debian
Този скрит скъпоценен камък е проектиран да работи на сървъри на Linux, за да открие уязвимости на DOS/Windows, но работи също толкова добре на системи с двойно зареждане и гарантира, че злонамереният софтуер на Windows няма да се копира върху дялове на Windows от Linux. Напълно неясно е какво е написал авторът тук; вирусите за Windows никога няма да могат да работят на Linux, дори ако са написани на скриптови езици. Човек може само да си представи ситуация, в която вирусът ще съдържа специален Linux код, за да може да зарази паралелна инсталация на Windows. Продуктът е по-малко усъвършенстван от другите, споменати тук, но това леко приложение върши работата си добре.
Avast Linux Home Edition
Уебсайт: http://www.avast.com/linux-home-edition
Avast има същите функции като AVG; основната му разлика е способността да се контролира сканирането от командния ред, като ClamAV, и може да се извика от скриптове на обвивката. Интерфейсът е базиран на родните GTK библиотеки и сред пренесените програми тази се чувства най-у дома си на Linux.
- Урок
IN последните месециИмам проблеми с вируси на моите файлови сървъри. Или Nod32 блокира поддомейни, или Kaspersky поставя сайта в черен списък. Това не ме радва и реших да настроя някаква антивирусна.
Clam AntiVirus вече е инсталиран и конфигуриран на всички сървъри. Използвах го преди няколко години, но за съжаление не винаги намира вируси от класа Trojan-SMS.J2ME.
След като проучих резултатите от Google, наистина не намерих нищо.
След като се свързах отново с поддръжката на Kaspersky с молба за премахване на сайта от списъка с подозрителни, попаднах на мода kaspersky за линукс файлов сървър. Затова реших да го тествам.
Пътуването до Google за помощ при инсталирането и конфигурирането на тази антивирусна програма също не даде резултати. Всички резултати водят до сайта за поддръжка на Kaspersky.
Никой ли не е инсталирал тяхната дистрибуция на техните файлови сървъри? Може би има други решения?
Отговорите на тези въпроси ще останат загадка за мен. Спрях се на горния продукт и реших да го тествам.
Искаме файл с тестов лиценз на уебсайта за техническа поддръжка. Отговорът идва след няколко часа.
Да започнем инсталацията
# dpkg -i kav4fs_8.0.1-145_i386.deb dpkg: грешка при обработката kav4fs_8.0.1-145_i386.deb (--install): пакетната архитектура (i386) не съответства на системата (amd64) Възникнаха грешки при обработката: kav4fs_8.0.1- 145_i386.deb
опа Имаме amd64. Но Kaspersky няма други дистрибуции. Google също не отговаря.
#dpkg -i --force-architecture kav4fs_8.0.1-145_i386.deb (Четене на база данни ... 38907 файла и директории, инсталирани в момента.) Разопаковане на kav4fs (от kav4fs_8.0.1-145_i386.deb) ... Настройка на kav4fs (8.0 .1-145) ... Стартиране на Kaspersky Lab Framework Supervisor: kav4fs-supervisor. Kaspersky Anti-Virus за Linux File Server е инсталиран успешно, но трябва да бъде правилно конфигуриран преди употреба. Моля, стартирайте ръчно скрипта /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl, за да го конфигурирате.
Страхотно е :). Нека се опитаме да го конфигурираме.
# /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl Kaspersky Anti-Virus за Linux File Server версия 8.0.1.145/RELEASE Инсталиране на лиценза Ключовият файл (файл с разширение .key) съдържа информация за вашия лиценз. Трябва да го инсталирате, за да използвате приложението. За да го инсталирате сега, въведете пътя до вашия ключов файл (или въведете празен низ, за да продължите, без да инсталирате ключовия файл): /xxx/xxx.key Лицензът от /xxx/xxx.key е инсталиран. Конфигуриране на прокси настройките за свързване с източника на актуализации Ако използвате HTTP прокси сървър за достъп до интернет, трябва да посочите неговия адрес, за да позволите на приложението да се свърже с източника на актуализации. Моля, въведете адреса на вашия HTTP прокси сървър в един от следните формати: proxyIP:port или user:pass@proxyIP:port. Ако нямате или се нуждаете от прокси сървър за достъп до интернет, въведете „не“ тук или въведете „пропускане“, за да използвате текущите настройки без промени. : Изтегляне на най-новите бази данни на приложения Най-новите бази данни са съществена част от вашия сървър Искате ли да изтеглите най-новите бази данни сега (Ако отговорите с „да“, уверете се, че сте свързани с интернет): включване на планирани актуализации на базите данни на приложението. Искате ли да активирате планирани актуализации [N]: Настройка. нагоре защитата в реално време на ниво ядро Искате ли да компилирате модула за защита в реално време : не Искате ли да деактивирате защитата в реално време? : Модулът за защита в реално време на ниво ядро не е компилиран ръчно, стартирайте /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl [=PATH] . Настройване на защитата в реално време на Samba сървъра Грешка: Инсталаторът не можа да намери Samba сървър на вашия компютър. Или не е инсталиран, или е инсталиран на неизвестно място. Ако сървърът Samba е инсталиран, посочете подробностите за инсталирането на сървъра и въведете „да“. В противен случай въведете "не" (стъпката за конфигуриране на Samba сървър ще бъде прекъсната): : Можете да конфигурирате защитата на Samba сървъра по-късно, като изпълните първоначалния конфигурационен скрипт отново, като изпълните /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl -- samba Защитата в реално време на Samba сървъра не е настроена. Можете да изпълните първоначалния конфигурационен скрипт отново, като изпълните /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba Настройка на конзолата за уеб управление Предупреждение: Файлът с парола не е намерен, конзолата за уеб управление на Kaspersky няма да бъде стартирана, докато не е правилна паролата е зададена! Искате ли да зададете парола за Kaspersky Web Management Console? : Стартиране на Kaspersky Web Management Console: kav4fs-wmconsole: файлът с парола не е намерен! не успя! Можете да промените паролата за Kaspersky Web Management Console, като изпълните /opt/kaspersky/kav4fs/bin/kav4fs-wmconsole-passwd Стартиране на задачата за защита в реално време Задачата е стартирана, ИД на изпълнение: 1341314367.
Защитата в реално време май изобщо не ме интересува. Трябва само да проверя посочения файл и да получа резултата от проверката.
Пробвам тестов вирус
Създайте тестов файл за вируси със съдържанието
X5O!P%@AP: Настройка на защита в реално време на ниво ядро Искате ли да компилирате модула за защита в реално време на ниво ядро? : не Искате ли да деактивирате защитата в реално време? : да Предупреждение: Защитата в реално време е ИЗКЛЮЧЕНА. Грешка: Модулът за защита в реално време на ниво ядро не е компилиран. За да прекомпилирате ръчно модула за защита в реално време на ниво ядро, стартирайте /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --build[=PATH]. Настройка на защитата в реално време на сървъра Samba. Инсталаторът не можа да намери сървър на Samba на вашия компютър, или е инсталиран на неизвестно място. Ако сървърът Samba е инсталиран, посочете подробностите за инсталирането на сървъра и въведете „да“. В противен случай въведете „не“ (стъпката за конфигуриране на сървъра на Samba ще бъде прекъсната): : Можете да конфигурирате защитата на сървъра на Samba по-късно, като изпълните отново първоначалния конфигурационен скрипт, като изпълните /opt/kaspersky/kav4fs/bin/kav4fs -setup.pl --samba Защитата в реално време на Samba сървъра не е настроена Можете да изпълните първоначалния конфигурационен скрипт отново, като изпълните /opt/kaspersky/kav4fs/bin/kav4fs-setup.pl --samba Настройка на уеб. Предупреждение за конзолата за управление: Файлът с парола не е намерен, Kaspersky Web Management Console няма да бъде стартиран, докато не бъде зададена правилна парола. Искате ли да зададете парола за Kaspersky Web Management Console: Стартиране на Kaspersky Web Management Console: kav4fs-wmconsole: файлът с парола не е намерен? ! не успя! Можете да промените паролата за Kaspersky Web Management Console, като изпълните /opt/kaspersky/kav4fs/bin/kav4fs-wmconsole-passwd Стартиране на задачата за защита в реално време Задачата е стартирана, ИД на изпълнение: 1341314367.
Защитата в реално време май изобщо не ме интересува. Трябва само да проверя посочения файл и да получа резултата от проверката.
Linux компютрите все повече се свързват с Windows компютри, така че те също трябва да имат антивирусна защита. Немската независима лаборатория AV-Test тества 16 антивирусни програми на платформата Ubuntu, където те устояха на заплахи за Windows и Linux. Резултатите за някои продукти бяха лоши: някои решения пропуснаха 85 процента от зловреден софтуер на Windows и не успяха да открият до 75 процента от заплахите за Linux.
Светът на Linux до голяма степен се счита за безопасна крепост от зловреден софтуер, включително различни видоветроянци Много машини с Linux обаче работят в същата мрежа като компютрите с Windows. Повече от половината уеб сървъри в света работят на Linux и обслужват милиарди интернет потребители. Ето защо уеб сървърите са привлекателна цел за киберпрестъпниците, които могат да използват платформата като трамплин за стартиране на злонамерени атаки срещу Windows.
50 процента от уеб сървърите работят на Linux
Тествани са 16 антивирусни програми за Linux: Разпространението на Linux защита е много малко, но за половината от уеб сървърите в света защитата е жизненоважна
Успешната атака обикновено не засяга системата или ядрото. Вместо това, той се фокусира върху приложения, работещи на Linux компютри или уеб сървъри. Тези платформи са по-лесни за хакване и използване като средство за репликация. Основните хакерски атаки се извършват върху уеб сървъри с помощта на SQL инжекции или междусайтови скриптове. Компютрите с Linux обаче също са привлекателна цел, тъй като те също изпълняват приложения с уязвимости, като браузъра Firefox или Adobe Reader.
Веднъж успешно проникнал в системата, зловреден софтуер рядко причинява щети на Linux система, но само чака да се свърже с Windows система. За да започнете атака, обикновено е достатъчно да копирате файлове от средата на Linux в WIndows.
Напоследък се наблюдава увеличение на броя на троянските коне, насочени към среди на Linux. Те обикновено не са с високо качество, защото нападателите са наясно с добрите защитни механизми, които предлага Linux. Заплахите по-скоро разчитат на „амбивалентността“ на потребителя, който несъзнателно насърчава зловреден софтуер чрез оперативни грешки. Най-честият случай е инсталацията софтуерили актуализации с помощта на пакети на трети страни. По време на инсталацията потребителят обикновено получава подкана за временен достъп до пълни права. Ако потребителят разреши достъп, важни системни компоненти се заменят с модифицирани версии. Всичко това позволява на киберпрестъпник да създаде задна врата в системата и да я използва за ботнет атаки.
Установени са ясни недостатъци в нивото на откриване
Процент на откриване на антивирусна програма за Linux: Идентифицирани са сериозни недостатъци в нивото на откриване в решенията за десктоп и уеб сървър
Лабораторията AV-TEST тества 16 антивирусни решения за Linux. Повечето от продуктите са предназначени за защита на компютри, докато останалите предлагат защита за уеб сървъри. Като тестова среда беше използвана дистрибуцията на Ubuntu, като най-разпространеният Linux пакет. Тестовете използват 64-битова версия 12.04 LTS. Програмата за тестване включва защита на Linux от Avast, AVG, Bitdefender, ClamAV, Comodo, Dr. Web, eScan, ESET, F-Prot, F-Secure, G Data, Kaspersky Lab (две версии), McAfee, Sophos и Symantec. Тестът беше разделен на три части: откриване на заплахи за Windows, откриване на заплахи за Linux и фалшиво положително тестване.
ESET NOD32 Antivirus за Linux компютри: Версията за компютър демонстрира най-добрата производителност при откриване на зловреден софтуер за Windows и Linux
Kaspersky Antivirus за Linux файлови сървъри: Това сървърно решение защитава надеждно Windows и Linux данни
Sophos за Linux: това решение за компютри показа висока ефективност при откриване на заплахи и може да се използва безплатно в основната версия
Откриване на зловреден софтуер на Windows
Само 8 от 16-те тествани продукта успяха да открият между 99,7 и 99,9 процента от заплахите от 12 000 тестови проби. Сред тях: Avast, F-Secure, Bitdefender, ESET, eScan, G Data, Kaspersky Lab (сървърна версия) и Sophos. Само антивирусното решение на Symantec успя да демонстрира 100 процента степен на откриване.
Нивата на засичане на McAfee и Comodo се оказаха значително по-слаби - съответно 85,1 и 83 процента. Тревожни са резултатите на д-р. Web - 67.8%, F-Prot - 22.1% и ClamAV - само 15.3%!
Откриване на зловреден софтуер за Linux
Все по-голям брой коварни зловреден софтуер се разработват за Linux или вече са в обращение. Лабораторията внедри 900 известни злонамерени заплахи за Linux на тестова система. Резултатите от теста се различават значително от нивата на откриване в Windows. Само Kaspersky Endpoint успя да постигне 100 процента степен на откриване за Linux. ESET и AVG бяха много близо - съответно 99,7 и 99 процента. Сървърните версии на Kaspersky Lab и Avast всъщност успяха да открият повече от 98 процента от зловреден софтуер. Symantec, която показа най-добър резултат при откриване на заплахи за Windows, блокира само 97,2 процента от зловреден софтуер за Linux. И тогава започва сериозният спад.
В най-долната част на списъка са ClamAV, McAfee, Comodo и F-Prot. Техните нива на откриване варират в широки граници, от 66,1 до 23 процента. Това означава, че в най-лошия случай 77 от 100 зловреден софтуер могат да останат неоткрити в Linux система, въпреки активната защита.
Приятелско или вражеско откриване?
Като допълнителен тестов сегмент, лабораторията тества антивирусните отговори на 210 000 надеждни, защитени Linux файла. По този начин всички тествани продукти бяха проверени за фалшиви положителни резултати. Резултатът беше невероятен: само Comodo генерира един фалшив положителен резултат на файл, всички други решения избягваха грешки.
Linux като цяло е защитен, нали?
Повечето потребители на Linux смятат, че използват една от най-сигурните операционни системи. Това твърдение е наистина вярно, ако използвате само системни възможности и игнорирате всичко останало. Несигурните приложения на трети страни или потребителски грешки могат да превърнат компютрите с Linux в благодатна среда за заплахи. Това се потвърждава и от най-новите изследвания на Kaspersky Lab. през първото тримесечие на 2015 г.: повече от 12 700 атаки бяха стартирани с помощта на ботнет мрежи, базирани на Linux системи. За сравнение, 10 300 ботнет атаки са внедрени в Windows. освен това жизнен цикълБазираните на Linux ботнети издържат по-дълго от тези на платформата Windows. Това се дължи на трудностите при откриване и неутрализиране на злонамерени мрежи, тъй като... Linux сървърите рядко са оборудвани със специални решения за сигурност, за разлика от Windows устройствата и сървърите.
Много Linux форуми препоръчват безплатни продукти от Comodo, ClamAV и F-Prot за частни потребители. Както виждаме, това не е много добър съвет. Тестът показва, че частните потребители ще бъдат по-добре защитени при избора безплатни версии Sophos за Linux или Bitdefender Antivirus Scanner за *nix. За сървърни системи има ефективно безплатно решение под формата на AVG Server Edition за Linux.
В този AV-тест най-добрите нива на откриване на заплахи за Linux и Windows бяха показани от ESET, както и от Symantec и Kaspersky Endpoint за работни станции. За защита на сървърите се препоръчва Kaspersky Anti-Virus за Linux файлови сървъри, AVG Server Edition за Linux и Avast File Server Security.
