Організація антивірусного захисту в Linux за допомогою антивірусу ClamAV Частина 1

антивірусного

Серія контенту:

Цей контент є частиною # із серії # статей: Організація антивірусного захисту в Linux за допомогою антивірусу ClamAV

Цей контент є частиною серії: Організація антивірусного захисту в Linux за допомогою антивірусу ClamAV

Слідкуйте за виходом нових статей цієї серії.

У цій статті будуть розглядатися комп'ютерні віруси, проте йтиметься не про віруси для ОС сімейства Windows, а про їх менш відомих побратимів, що загрожують системам на основі Linux. У першій частині статті наводиться огляд поточного становища на вірусному фронті для Linux, а другої частини розглядаються конкретні антивірусні рішення, призначені захисту Linux-систем.

Комп'ютерні віруси та Linux

Справді, ситуація з Linux і вірусами досить неоднозначна, хтось стверджує, що вірусів немає, хтось що вони є, але оскільки справжні «гуру» використовують Linux, то й віруси їм не страшні.

Якщо звернутися до фактів, то в Wikipedia перелічені кілька десятків вірусів, призначених саме для ураження Linux-систем. При цьому більшість із них написана в 2008 році, а останнім часом нових вірусів зареєстровано не було. Тому справді, у порівнянні з величезним «зоопарком» вірусів для Windows, для Linux існує дуже мало вірусів, що пов'язується з кількома причинами:

  • низька поширеність самої ОС;
  • велика кількість дистрибутивів та відмінності між ними;
  • у Linux настійно (аж до фактичної заборони) не рекомендується працювати в системі з правами суперкористувача.

Невелика (порівняно з Windows) кількість користувачів Linux і велика (знову ж порівняно з Linux) кількість дистрибутивів Linux зі своїми особливостямироблять нерентабельним створення вірусу для конкретного дистрибутива, оскільки написання «хорошого» вірусу потребує фінансових витрат та прив'язки до низькорівневих особливостей «жертви».

Окремо варто сказати про запуск вірусів усередині відомого емулятора Wine, оскільки це цілком можлива ситуація. Якщо створити якийсь вірус, що видаляє системний файли, то він зможе запуститися (природно не сам, а за допомогою користувача або сценарію) і завдати певних збитків, оскільки програми під Wine бачать файлову систему таку ж, як і під Windows. Але так як «системний диск» Wine знаходиться в каталозі користувача, то для відновлення працездатності потрібно лише перевстановити Wine і нанесений швидше за все буде лише «косметична» шкода. Якщо вірус використовує для своєї маскування специфічні особливості ОС, то він, швидше за все, просто не зможе себе активувати. Отже, чим витонченіший Windows-вірус, тим менше загрози він становить для Linux. Тому боятися Windows-вірусів у Linux поки не варто, і навряд чи вони колись будуть становити справжню загрозу.

У той же час від дій самого користувача не захищено жодного файлу, власником якого він є. Сценарій, що складається з одного рядка, може знищити всі файли домашнього каталогу користувача. Тому перед запуском будь-якого сценарію, навіть отриманого з перевіреного джерела, варто уважно вивчити його за допомогою командиman, якщо якісь дії, що виконуються в ньому, здаються підозрілими. У Linux взагалі не рекомендується запускати код, отриманий із ненадійних джерел, а завжди користуватися офіційними репозиторіями. Звичайно, в Linux-спільноті виникали прецеденти з потраплянням заражених пакетів в офіційні репозиторії, але це скоріше виняткова ситуація, а неправило, як у випадку зі сховищами «піратського» або shareware ПЗ для ОС Windows.

Віруси поширюються не тільки завдяки непродуманим діям користувача, але й через ненавмисні помилки в ПЗ, однак і тут Linux-спільнота знаходиться на висоті завдяки використанню open-source ПЗ. Помилки у відкритому ПЗ швидше стають відомими і не менш швидко виправляються, тому що в розподіленому співтоваристві не можна приховати інформацію про помилку, як це може зробити велика корпорація з комерційним ПЗ.

Тим не менш, розмови про вірусну загрозу для Linux не припиняються, і певну роль у цьому відіграють розробники антивірусного ПЗ, які хочуть захопити новий сегмент ринку. Однак досі їх маркетингова політика була не надто успішною, оскільки, по-перше, аудиторія Linux-користувачів – це найчастіше люди з досвідом IT, а по-друге, на Linux ще не виникало справжніх вірусних епідемій, які зазвичай і викликають сплеск інтересу до антивірусів.

Ще одна проблема полягає в тому, що пропоновані антивірусні рішення для Linux не володіють точним позиціонуванням на ринку. Так, вони шукають віруси для Linux, проте більшість вірусів для Linux – це backdoor та rootkit-програми, які у звичайному стані не повинні видавати свою присутність та використовуються зловмисниками лише для отримання доступу до системи, бажано з правами суперкористувача. І оскільки вони не ведуть «активних» бойових дій, то й виявити їх дуже складно, тому що «шкідлива» сутність rootkit-програми проявляється лише тоді, коли зловмисник уже отримав доступ до системи та завдав їй певної шкоди.

Після вивчення поданої інформації може скластися враження, що вірусів для Linux не існує і тому антивірус теж непотрібно». Однак, головна функція антивірусу в Linux, як не дивно, це гарантувати безпеку Windows. При підозрі, що usb-накопичувач заражений вірусом, найбезпечніше підключити його до Linux-системи і "вилікувати", перш ніж підключати цей накопичувач у Windows. Відомий прийом: відключити автозапуск і відразу перевірити usb-накопичувач за допомогою антивірусу, може не спрацювати в залежності від різних обставин, наприклад, якщо система вже заражена мула антивірус відключився разом з автозапуском.

Тому далі буде розглянуто приклад використання в Linux антивірусу ClamAV, призначеного для роботи у зв'язці з поштовим сервером, щоб не допустити епідемії вірусів, які розповсюджуються через пошту.

Встановлення, налаштування та прив'язка ClamAV з Mozilla Thunderbird

Clam AntiVirus – це вільний антивірус, доступний у версіях для Windows, Linux, BSD та MacOS, основне завдання якого – інтеграція з поштовими серверами для перевірки файлів, прикріплених до повідомлень. Цей продукт розповсюджується за ліцензією GPL, тому за бажання можна ознайомитись з його вихідним кодом. Хоча ClamAV не входить до п'ятірки найкращих антивірусів планети (у 2009 він був лише на 43 місці з 55, згідно з тестами Virus.gr), але для домашнього користувача він буде цілком підходящим вибором.

ClamAV включає три компоненти:

  • багатопотоковий демон для сканування файлів та пошти «на льоту»;
  • сканер (керований із командного рядка);
  • утиліта оновлення через інтернет.

Також пропонуються додаткові можливості:

  • утиліта для створення пакету антивірусних сигнатур;
  • графічний інтерфейс користувача різних віконних середовищ.

Спочатку потрібно встановити необхідні пакети,які можна завантажити із офіційних репозиторіїв. Для встановлення обов'язкові пакетиclamav,clamav-daemon, також можна встановити один з пакетівclamav-frshclam абоclamav-data. У лістингу 1 наведено команди для встановлення ClamAV на платформу Ubuntu:

Лістинг 1. Встановлення ClamAV

У пакетіclamav-data знаходяться сигнатури вірусів, які необхідно регулярно оновлювати, щоб підтримати актуальність антивірусного ПЗ. Ця можливість використовується на комп'ютерах з обмеженим доступом до Інтернету, а за наявності постійного підключення до Інтернету використовується пакетclamav-freshclam. Існує пакетclamav-getfiles, який може створювати пакетclamav-data, збираючи сигнатури, які вже встановлені на системі. Таким чином, можна заощаджувати Інтернет-трафік, встановивши на один комп'ютерfreshclam іclamav-getfiles і періодично збираючи пакетclamav-data, який встановлюватиметься на інші системи .

У разі встановлення пакетаfreshclam оновлення бази з сигнатурами буде виконуватися при кожному запуску системи. Якщо ClamAV встановлюється на сервер, потрібно буде встановити розклад для виконання оновлень, наприклад, за допомогою cron або запускати оновлення вручну командою# freshclam.

Тепер необхідно змінити налаштування демона ClamAV за допомогою команди:

Для перевірки інтеграції ClamAV і Thunderbird можна перевірити зв'язок між ClamAV і Thunderbird через меню Thunderbird (Tool (Інструменти) -> Add-ons (Доповнення) -> Extensions (Розширення) -> clamdrib -> ) -> Test Settings (Перевірити Налаштування) ). Якщо все налаштовано правильно, то у вікні, що з'явиться, буде написано:Success: ClamAV0.96/10794/Fri Apr 23 6:24:19 2010. В іншому випадку буде написаноFailed!

Комерційні та некомерційні аналоги

Як згадувалося вище, розробники антивірусного ПЗ роблять спроби «застовбити» перспективний Linux-ринок, тому зараз у користувачів Linux є можливість отримати антивірусне ПЗ від багатьох відомих виробників: Avira, Avast! Antivirus, AVG, Bitdefender, ClamAV, Kaspersky Linux Security, McAfee VirusScan Enterprise для Linux, Panda Security для Linux і т.д.

Після маніпуляцій у меню з'явиться відповідний пункт, з якого можна буде запуститиЦентр Управління Dr.Web для Linux. Якщо раптом цей пункт з незрозумілих причин звідти зникне, центр управління можна викликати з командного рядка -drweb-cc. Основні компоненти антивірусу – це сканер Dr.Web та SpIDer Guard. Призначення сканера очевидно, а SpIDer Guard - "це резидентний антивірусний компонент, що перевіряє всі файли, що використовуються в режимі реального часу". У програми є дуже простий інтерфейс користувача, за допомогою якого можна включити/відключити резидентний захист, запустити сканування системи, подивитися статистику і кількість файлів на карантині та оновити бази. Налаштування знаходяться в менюІнструменти -> Налаштування.

Окрім графічного інтерфейсу Dr. Web дозволяє також виконувати сканування з командного рядка за допомогою командиdrweb. Для сканування домашнього каталогу користувача необхідно ввести:

Видалити Dr.Web можна через меню:Додатки -> Dr.Web -> Видалення Dr.Web для Linux, або командою:

Після видалення каталогу користувача все одно залишається каталог .drweb, який можна видалити вручну. Рекомендовано зберегти файлdrweb.key, оскільки ключ видається раз на 4 місяці. Також можна заглянути у файл /etc/crontab, оскільки там можуть залишитися зміни.

Після першого запуску Avast вимагатиме ключ, який можна отримати в режимі online. З погляду користувача антивірус складається з трьох виконуваних файлів:avast,avastgui іavast-update. Жодного резидентного захисту він не надає. В Avast входить лише скануючий модуль, якого за специфіки використання антивіруса в Linux цілком достатньо. Для запуску сканера із командного рядка достатньо ввести:

Висновок

Як було показано в статті, в Linux проблема антивірусного захисту не стоїть так гостро, як для Windows-систем, проте в жодному разі не можна забувати про елементарні правила «IT-гігієни» та здоровий глузд. На цю тему є жарт: Віруси в Linux поширяться так: «Ух ти, дай подивитися!» (С). Якщо не працювати постійно з рівнем доступу root, не запускати код з неперевірених джерел і регулярно оновлювати систему, то, швидше за все, віруси обійдуть вашу систему стороною і антивірус не буде потрібно принаймні у своїй класичній ролі – «захисника від страшних комп'ютерних». вірусів».

Тим не менш, встановлення антивірусу на Linux зовсім не марна і крім підвищення рівня захищеності може принести додаткову користь для Windows-систем, ставши ще одним бастіоном на шляху дійсного безкінечного потоку Windows-вірусів. Як приклад у статті розглядається антивірус ClamAV, який відповідає за перевірку вкладень у листах електронної пошти та може інтегруватися з різними поштовими клієнтами.