Бесплатное антивирусное решение
ClamAV — это программный инструментарий антивирусного программного обеспечения с открытым исходным кодом, который используется для обнаружения вредоносного программного обеспечения и вирусов в различных операционных системах, включая Linux. Он часто используется на почтовых серверах для сканирования вирусов в электронных письмах. Обновления ClamAV доступны бесплатно.
Вот три причины, по которым вам следует подумать о ClamAV для Linux:
-
У вас есть конфиденциальные данные на вашем компьютере, и вы хотите как можно больше заблокировать ваш компьютер.
-
Вы выполняете двойную загрузку с Windows. Вы можете использовать ClamAV для сканирования всех разделов вашего диска и всех дополнительных дисков на вашем компьютере.
-
Вы хотите создать компакт-диск, DVD или USB для восстановления системы, который может использоваться для устранения неполадок с вирусами на компьютере под управлением Windows.
Используя системный аварийный USB-накопитель с установленным антивирусным пакетом, вы можете искать вирусы без фактической загрузки в операционную систему, и ClamAV предлагает эту возможность для дисков Linux. Это предотвращает появление вирусов при попытке их очистки.
Почему антивирус для Linux не нужен
Начнем с того, что, если вы все же хотите иметь такое программное обеспечение на своем ПК, то вам, скорее всего, даже не нужно скачивать условный Доктор Веб для Линукс, так как в большинстве дистрибутивов есть встроенный антивирус ClamAV. Однако его использование не обязательно и в большинстве случаев даже не нужно в обычном домашнем ПК с одной установленной операционной системой. Почему? Потому что риски заразиться вирусами в Linux довольно низкие, и ваша удача должна быть прокачана в минус, чтобы вы подхватили такую заразу, которая нанесет вред вашему ПК. Вот несколько простых причин, почему антивирус в Linux практически бесполезен.
- Малая распространенность ОС
Ни эта, ни все последующие причины не означает, что, если у вас установлен Linux, вы становитесь полностью неуязвимым. Вирусы для этой ОС есть, но их настолько мало, что у вас больше шансов умереть, подавившись воздухом, чем подхватить их при обычном домашнем использовании компьютера.
По причине того, что Windows забрала подавляющее большинство рынка ПК, почти все вирусы пишутся под нее и программы, которые с ней совместимы. Попадая в дистрибутив Linux, вирусное ПО из окон, не способно сделать там ни шагу.
Тратить время и деньги на разработку вирусов для этой системы просто не рентабельно из-за малой распространенности, вот ее почти и не трогают.
- Требование root-прав
Чтобы внести любое маломальское изменение в ОС Linux, нужно иметь root права. Это невидимый барьер, который препятствует проникновению вредоносного ПО в систему. Да, Windows тоже понемногу становится более безопасной, но до Unix-подобных ОС в этом плане ей еще далеко.
root права
- Установка ПО через репозитории
Если в условной ОС Android вы решите устанавливать приложения только из официальных магазинов, то все равно можете нахвататься проблем. В Linux, загружая программы только из официальных репозиториев, вы будете надежно защищены от любого вредоносного ПО. Каждое приложение в них проверено и настроено для нормальной работы в определенных дистрибутивах.
- Своевременные обновления помогают больше антивируса
В Линукс наиболее действенным методом обезопасить себя является своевременное скачивание системных обновлений безопасности. Они, как правило, не заставляют себя ждать, поэтому просто не пропускайте их и не откладывайте, и все у вас будет хорошо.
Как мы видим, в Linux можно вполне обойтись без антивируса, особенно, если вы рядовой пользователь, использующий данную ОС для домашнего ПК. В большинстве случаев, не во всех, а лишь в большинстве, держать свой компьютер в безопасности можно следующим образом:
- Устанавливать дистрибутивы только из образов, скачанных с официальных сайтов.
- Не пропускать и не откладывать обновления системы, а устанавливать их сразу же, как только они вышли.
- Скачивать программы только из официального репозитория.
- Делать бэкапы! Резервные копии – это маст хэв в любой системе. Если вдруг вы почувствовали, что запахло жареным, просто откатитесь назад (в системе, не во времени) и восстановите все из бэкапа.
Следуйте этим простым правилам, и ваша ОС Linux будет в безопасности. Если же вы все-таки подцепите вирус, который действительно сможет навредить вашему ПК, то в таком случае, антивирус вам, скорее всего, даже не поможет. Но такое бывает крайне редко, и, если это случилось свами, поздравляю, вы – один из самых неудачливых людей на планете.
Но все-таки есть и другая сторона медали – ситуации, в которых антивирус для Linux может помочь.
Своевременные обновления Linux
Sophos Antivirus для Linux
Sophos Antivirus для Linux — хорошее бесплатное антивирусное решение. Оно использует сильное эвристическое обнаружение угроз. Также есть опции сканирования по требованию и в режиме реального времени, в то время как Sophos Live Protection использует ту же базу данных угроз, что и Windows и macOS, для обеспечения максимального антивирусного покрытия.
У Sophos Antivirus для Linux есть и другие удобные инструменты. Например, Sophos предотвратит превращение вашей системы Linux в точку распространения для других операционных систем, удалив варианты вредоносных программ для Windows, macOS и Android. Sophos — это также легкое бесплатное приложение для Linux с небольшими обновлениями.
Характеристики:
- Легкий
- Бесплатный
- Высокая производительность
- Кроссплатформенный
- Блокирует и удаляет вредоносные программы не из Linux
Скачать: Sophos Antivirus для Linux (бесплатно)
Настройка MailScanner
Сейчас пришло время для подстройки параметров MailScanner.
Во-первых, создаём директорию SpamAssassin и задаём для неё права.
# mkdir /var/spool/MailScanner/spamassassin # chown postfix /var/spool/MailScanner/spamassassin
Делаем резервную копию конфигурационного файла /etc/MailScanner/MailScanner.conf, а затем модифицируем его.
# vim /etc/MailScanner/MailScanner.conf
%org-name% = test Ubuntu mail server %org-long-name% = Your Organization Name Here %web-site% = www.your-organisation.com Run As User = postfix Run As Group = postfix Incoming Queue Dir = /var/spool/postfix/hold Outgoing Queue Dir = /var/spool/postfix/incoming MTA = postfix Virus Scanners = clamav Spam List = SBL+XBL ## please check /etc/MailScanner/spam.lists.conf for more details ## SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin ## the directory created earlier ##
Дополнительная информация о параметрах конфигурации может быть найдена в официальной документации.
Также модифицируется конфигурационный файл Postfix. Мы настроем Postfix попридерживать все электронные письма. MailScanner будет приниматься за них и проверять. Затем электронные письма будут передаваться снова для обработки Postfix, которые уже обеспечит их доставку. Здесь как нужно изменить файл настроек.
# vi /etc/postfix/header_checks
/^Received:/ HOLD
# vim /etc/postfix/main.cf
header_checks = regexp:/etc/postfix/header_checks
Включаем MailScanner, для этого раскомментируем следующую строку.
# vim /etc/default/mailscanner
run_mailscanner=1
Наконец запускаем службы Postfix и MailScanner.
# service postfix restart # service mailscanner restart
Обучение антиспама
Мы установили amavis, который проверяет почту на СПАМ средствами spamassassin. Последний без обучения, практически, бесполезен. Синтаксис команды для обучения следующий:
sa-learn —spam <папка с нежелательными письмами>
sa-learn —ham <папка письмами, которые ошибочно определены как СПАМ>
Таким образом, первая команда укажет spamassassin какие письма являются нежелательными, а вторая — не несущими рекламный характер.
Хорошей практикой будет договориться с пользователями о ручном помещении нежелательной почты из входящих в папку СПАМ. Тогда мы сможем пройтись скриптом по всем ящиками на сервере и обучать антиспам. Например, такой командой:
Чтобы минимизировать количество ложных срабатываний, необходимо проводить обучение с ключом —ham. В нашем примере мы отправляем все нежелательные письма на ящик spam. В таком случае, необходимо вручную находить ложные срабатывания и переносить их в специальную папку, например Ham. Тогда команда для обучения будет такой:
sa-learn —ham /home/mail/dmosk.local/spam\@dmosk.local/.Ham/cur
Статистику обучения можно посмотреть командой:
sa-learn —dump magic
Kaspersky Anti-Virus for Linux Server 8
Второе место по этим же тестам занимает Антивирус Касперского для Linux. Версия этой программы для Windows очень хорошо зарекомендовала себя среди пользователей. Результаты тестирования показывают, что обнаружено 99,8% угроз для Windows и столько же для Linux. Антивирус для Linux тоже платный и предназначен в первую очередь для серверов Linux. Можно отметить следующие возможности:
- Проверка открытых файлов
- Гибкие настройки сканирования
- Поддерживает централизованное управление через Kaspersky Web Management Console
- Новое антивирусное ядро Лаборатории Касперского
- Система уведомления
- Файловый контроль
- Карантин вредоносного ПО
Sophos — лучшая легкая программа для поиска вирусов – бесплатно для одного пользователя
Sophos является единственной “крупной антивирусной компанией”, предлагающей бесплатную антивирусную программу для Linux. Конечно, это не ClamAV с его открытым исходным кодом и поддержкой сообщества Linux, однако все же он является мощной программой, предназначенной для опытных пользователей Linux.
Антивирус для Linux от Sophos – это один из самых быстрых в моем списке инструментов поиска вирусов. Я протестировал его на моем компьютере с ОС Ubuntu, и он просканировал мой диск с меньшей нагрузкой на процессор и быстрее, чем ClamAV.
Для первоначальной настройки новичкам придется изучить большое количество руководств. У программы нет графического интерфейса, а после прочтения бессмысленной инструкции по настройке облачного онлайн-интерфейса, я с разочарованием обнаружил, что в нем не доступны некоторые базовые функции. После определенных усилий в командной строке я настроил Антивирус для Linux на выполнение регулярного сканирования почтового сервера и регулярного сканирования дисков.
Насколько я могу судить, одной из основных жалоб пользователей Linux является непредоставление, в отличие от ClamAV, открытого исходного кода каталога вредоносных программ – их каталог защищен правом собственности и имеет закрытый исходный код. При этом, за счет использования продвинутых методов эвристического анализа, Sophos способен точно определять вредоносные программы на основании их поведения, а не за счет навешивания ярлыков на их исходный код. Результаты моих тестов показали, что он эффективен также, как и ClamAV.
Антивирус для Linux от Sophos является отличным выбором для индивидуальных пользователей Linux, однако я не рекомендую его в качестве бюджетной защиты для компаний и групп пользователей, поскольку он является бесплатным только для одного пользователя. Если вам нужен мощный и недорогой корпоративный антивирус для Linux, я рекомендую Bitdefender GravityZone Business Security.
Резюме:
Антивирус для Linux от Sophos впечатлил меня своей скоростью, 100% обнаружением вредоносных программ и низкой нагрузкой на процессор.
Это отличный выбор для индивидуальных пользователей с хорошими знаниями интерфейса командной строки, особенно учитывая сложность установки графического онлайн-интерфейса. Эвристический анализ Sophos подразумевает возможность обнаружения новейших и неизвестных вредоносных программ. Однако бесплатная версия доступна только для одного пользователя.
Как установить Dr Web на Ubuntu
Шаг 1. Добавление репозитория
Программное обеспечение компании Доктор Веб для Linux находится в специальном репозитории разработчиков. Когда мы добавим его в свою систему, то при помощи стандартного менеджера пакетов сможем установить нужный антивирус, в зависимости будут разрешаться автоматически.
Все дальнейшие команды должны запускаться от имени администратора. Для этого вам нужно либо использовать команду смены пользователя su, либо прибегнуть к помощи команды выполнения от имени другого пользователя sudo.
Так как мы будем работать с терминалом Ubuntu, давайте сначала запустим его. Для этого мы можем воспользоваться главным меню операционной системы, либо сочетанием горячих клавиш, а именно: Ctrl + Alt + T.
Приступаем к добавлению репозитория. В данном случае он защищен при помощи цифровой подписи. Импортируем ключ при помощи приведенной ниже команды:
Следующим этапом для подключения репозитория необходимо добавить его в файл /etc/apt/sources.list. Для этого вводим еще одну команду:
Скачиваем пакет и по запросу браузера открываем его в стандартном приложении для установки deb:
Подтверждаем свое намерение, нажав обозначенную на скриншоте кнопку:
Установка репозитория Dr Web Linux будет длиться всего несколько мгновений. Дожидаемся её завершения.
Шаг 2. Установка Dr Web
Теперь можно переходить непосредственно к тому как установить dr web на linux. Для этого, опять же, давайте воспользуемся стандартным терминалом, при помощи которого в Linux можно сделать практически все что угодно:
Изначально обновим кеш пакетов, для того чтобы система получила информацию из только что добавленного репозитория. Для этого запустим терминал (как это делается мы написали выше) и воспользуемся стандартной командой:
Когда наш кеш будет обновлен, можно переходить непосредственно к установке антивируса в Linux. Для этого в терминале вводим приведенную ниже команду. В результате система запросит подтверждение инсталляции выбранной программы, на которую мы должны будем ответить латинской буквой Y и нажатием кнопки Enter.
После этого последует процесс установки, завершения которого нам нужно будет дождаться.
Когда наш антивирус будет установлен, его иконка появится в меню приложений. Давайте запустим программу и произведем первоначальную настройку.
Шаг 3. Настройка антивируса
Наш антивирус практически готов к работе, однако, перед тем как мы приступим, давайте внесем несколько важных настроек:
Запускаем программу и производим ее активацию. Вводим лицензионный ключ в обозначенное на скриншоте поле и жмем кнопку активировать.
Также программу можно запустить в качестве пробной версии на 30 дней.
Еще один важный момент – это обновление антивирусных сигнатур. Процесс должен запуститься автоматически сразу после открытия программы, но если этого не произошло, перейдите к пункту, отмеченному на скриншоте.
Давайте произведем полное сканирование. Ведь до того, как антивирус был добавлен в систему, в ней могли затаиться вирусы. Переходим к разделу Сканер.
Тут нам необходимо выбрать именно полную проверку. Быстрый режим не гарантирует обнаружения всех угроз.
Запустится процесс сканирования, длительность которого будет зависеть от размера файловой системы и от производительности компьютера в целом.
Во время проверки лучше закрыть все программы, сохранить их данные и не работать с ПК. Это ускорит процесс.
Разновидности антивирусов
Но работать в этих программах намного сложнее, чем в Windows. Дело в том, что вы легко можете найти антивирус для Ubuntu Server, но программ с графической оболочкой гораздо меньше, но это уже тема для другой статьи, теперь мы перейдем непосредственно к рассмотрению программ.
Примечание: Прежде чем мы начнем, я хотел бы сказать, что в статье каждому программному обеспечению будет присвоен балл, выраженный в процентах от 0 до 100. Этот балл будет отражать соотношение вирусов, обнаруженных программой, к количеству всех вирусов вирусы в системе. Кстати, он будет выставлен как применительно к ОС Windiws, так и к Ubuntu.
Проверка
Для проверки антивируса отправляем сообщение со следующим содержимым:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Письмо не должно дойти, а в логе (/var/log/maillog) мы увидим строку:
… amavis: (17688-04) Blocked INFECTED (Eicar-Signature) {DiscardedOutbound,Quarantined}, MYNETS LOCAL …
… relay=127.0.0.1:10024, delay=0.25, delays=0.19/0/0/0.06, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=17688-04 — INFECTED: Eicar-Signature)
Для проверки работы контентного антиспама, отправляем письмо со следующим содержимым:
В итоге, письмо не должно прийти, а в логах мы увидим:
… amavis: (17689-04) Blocked SPAM {DiscardedOutbound,Quarantined}, MYNETS LOCAL …
… status=sent (250 2.7.0 Ok, discarded, id=17689-04 — spam)
Проверка MailScanner
Теперь, когда развёрнут MailScanner, мы можем проверить его функциональность мониторингом журнала электронных писем.
Давайте отправим тестовое электронное письмо и посмотрим, что произойдёт.
# tail /var/log/mail.log
Mar 3 02:46:39 ubuntu postfix/smtpd: connect from localhost Mar 3 02:46:39 ubuntu postfix/smtpd: E5F3C44FB1: client=localhost, sasl_method=LOGIN, sasl_username=sarmed Mar 3 02:46:39 ubuntu postfix/cleanup: E5F3C44FB1: hold: header Received: from (localhost )??by ubuntu.example.tst (Postfix) with ESMTPA id E5F3C44FB1??for ; Mon, 3 Mar 2014 02:46:39 +0600 (BDT) from localhost; from= to= proto=ESMTP helo=
Выводы, которые можно сделать из отображаемого журнала.
- Postfix удерживает электронное письмо после соединения SMTP. Электронное письмо было размещено в /var/spool/postfix/hold.
- MailScanner просканировал электронное письмо: (1) проверка на спам по чёрному списку, (2) проверка на спам от spamassassin по онлайн базе и (3) сканирование на вирусы и содержание.
- MailScanner изменил ID очереди для этого электронного письма.
- После того, как было признано, что электронное письмо чистое, оно было отправлено на обработку Postfix с новым ID очереди.
- Postfix доставил электронное письмо в аккаунт назначения.
Итог, MailScanner, когда он интегрирован с Clam Antivirus и SpamAssassin — это очень мощный инструмент, которые обязательно должен быть на почтовом сервере, выполняющим реальные задачи. Он может парировать большинство существующих уязвимостей почтового сервера. Этот урок охватывает минимальную настройку безопасности почтового сервера, с использованием MailScanner. Параметры MailScanner, Clam Antivirus и SpamAssassin очень настраиваемые, и они могут быть изменены для точного соответствия различным требованиям
Надеюсь что помог.
Настраиваем антивирусный фильтр ClamAV
15 марта, 2014 aqis
Антивирусная защита корпоративной сети одна из наиболее актуальных задач для системного администратора. Одним из основных путей проникновения вирусов и прочих вредоносных программ является Интернет, поэтому весьма логично будет проверять проходящий HTTP трафик на наличие вирусов еще на роутере, до того как потенциально опасное ПО попадет во внутреннюю сеть.
Такой подход позволяет существенно повысить безопасность сети, особенно для небольших организаций, где у администратора зачастую нет инструментов централизованного контроля и управления антивирусной защитой на клиентских ПК.
В UNIX-like системах весьма популярен антивирусный сканер ClamAV, во многом благодаря своей бесплатности. Он неплохо подойдет для учебных и некоммерческих организаций, а также при ограниченном бюджете
В иных случаях стоит обратить внимание на коммерческие решения, например от «Лаборатории Касперского», потому что эффективность ClamAV довольно низка, хотя вполне приемлема для бесплатного продукта
В качестве примера будем использовать роутер из нашей тестовой лаборатории, настройку которого мы рассматривали здесь.
Кроме антивируса ClamAV мы будем использовать HAVP — HTTP Antivirus Proxy — специализированный прокси-сервер для антивирусной проверки трафика. Общая схема будет выглядеть следующим образом: клиентский запрос поступает кэширующему прокси-серверу Squid, который либо выдает результат из кэша, либо передает запрос вышестоящему прокси HAVP, тот обрабатывает запрос, проверяет трафик антивирусным сканером и передает его обратно Squid’у который отдает запрос клиенту и помещает его в кэш. Этим достигается высокое быстродействие — кэш Squid’а не проверяется антивирусом. Преимуществами HAVP, по сравнению с редиректорами (squidclamav и т.п.) является более высокая скорость работы и поддержка широкого спектра антивирусных приложений, что дает возможность сменить антивирус без кардинального перестроения всей системы.
Итак, приступим. Установим ClamAV:
Shell
sudo apt-get install clamav
1 | sudo apt-getinstall clamav |
Приложение в настройке не нуждается. По умолчанию обновление антивирусных баз происходит один раз в час.
Установим HAVP:
sudo apt-get install havp
1 | sudo apt-get install havp |
HAVP по умолчанию настроен на работу с ClamAV и практически не требует настройки. В первую очередь ограничим только локальными соединениями, это необходимо для того, чтобы клиенты не могли подключаться напрямую к HAVP, явно указав его порт. Для этого в /etc/havp/havp.config найдите и раскомментируйте следующую опцию:
BIND_ADDRESS 127.0.0.1
1 | BIND_ADDRESS127.0.0.1 |
Также раскомментируйте и измените указанным образом опцию:
TEMPLATEPATH /etc/havp/templates/ru
1 | TEMPLATEPATHetchavptemplatesru |
Это позволит выводить страницы ошибок и сообщений о найденных вирусах на русском языке. Также может потребоваться изменить опцию PORT. По умолчанию HAVP работает на порту 8080, что не всегда приемлемо, данный порт часто бывает занят другими программами (например DansGuardian). Перезапускаем HAVP:
sudo /etc/init.d/havp restart
1 | sudoetcinit.dhavp restart |
Теперь настроим Squid на использование вышестоящего прокси и сканирование только HTTP трафика. В конец файла /etc/squid/squid.conf добавляем следующие строки:
INI
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP
1 |
cache_peer127.0.0.1parent8080no-queryno-digestno-netdb-exchangedefault cache_peer_access127.0.0.1allowall aclScan_HTTPprotoHTTP never_directallowScan_HTTP |
Перезапускаем Squid:
sudo /etc/init.d/squid3 restart
1 | sudoetcinit.dsquid3 restart |
Теперь с клиентского ПК заходим на страничку http://eicar.org/anti_virus_test_file.htm и пробуем скачать тестовый вирус (не опасен, представляет собой специальную сигнатуру для проверки антивирусного ПО). Если все настроено правильно мы должны увидеть страничку с блокировкой.
Шаблоны страничек выполнены в виде HTML файлов и находятся в /etc/havp/templates/ru, можете отредактировать их на свое усмотрение.
Опубликовано в рубрике *nix Метки: ClamAV, HAVP, proxy, squid, ubuntu, антивирус
Конфигурация
Конфигурация антивируса заключается в редактировании его конфигурационного файла /etc/clamd.conf.
Строчку со словом Example необходимо удалить.
Параметр LogFile определяет месторасположения файла журнальной регистрации. По умолчанию файл не создается и не используется.
Параметр LogFileMaxSize определяет максимальный размер журнального файла. Значение по умолчанию — 1 Мбайт.
Параметр LogSyslog заставляет программу посылать сообщения в стандартную систему журнальной регистрации Syslog. Это можно делать в том случае, когда предполагается небольшой поток информации. Поскольку у меня не очень нагруженный сервер я буду использовать Syslog.
LogFacility определяет средство, которое будет использоваться при посылке сообщений в Syslog. В моем случае антивирус будет использоваться только с почтовым сервером, поэтому я переопределю значение параметра.
LogFacility LOG_MAIL
Параметр PidFile определяет файл, в котором будет находиться PID процесса. Он нам потребуется для создания стартовых скриптов.
PidFile /var/run/clamav/clamd.pid
DatabaseDirectory определяет директорию в которой будут находиться антивирусные базы данных. Укажем директорию которая будет использоваться в Slackware.
DatabaseDirectory /usr/share/clamav
Параметр LocalSocket определяет файл типа socket, через который программы могут посылать данные на проверку антивирусом.
LocalSocket /var/run/clamav/socket
При помощи параметра TCPSocket можно указать номер порта, на котором программа будет слушать запросы от клиентов. Поскольку в нашем случае антивирус и почтовый сервер находятся на одной машине, лучше применять файл типа socket. Поэтому мы не будем явно определять этот параметр.
Параметр User определяет пользователя с правами которого будет выполняться программа.
User clamav
Параметр ArchiveMaxFileSize позволит указать максимальный размер архива, который будет сканироваться на вирусы. Значение по умолчанию — 10Мбайт.