Clam Antivirus

Aus Mikiwiki
Zur Navigation springen Zur Suche springen

Clam Antivirus / Clamav (auch: ClamAV) ist ein Antivirenprogramm und ein Phishing-Filter, das häufig auf E-Mail-Rechnern zur Ausfilterung sogenannter Mailwürmern und Phishing-E-Mails zum Einsatz kommt. Clamav besteht aus mehreren Teilen, die für verschiedene Aufgaben zuständig sind:

Komponente Beschreibung
clamd Der Clamav-Daemon.
clamscan Shell-Befehl, der Dateien auf Virenbefall prüft.
clamdscan Shell-Befehl, der Dateien zur Prüfung auf Virenbefall an den Clamav-Daemon clamd übergibt.
freshclam Update-Daemon, der für die Aktualität der Virendefinitionen sorgt.

Clamav arbeitet unter Linux mit dem Kernelmoul Dazuko zusammen, eine Schnittstelle zwischen dem Dateisystem und Antivirenprogrammen, die den den Zugang zu Daten automatisch sperrt oder zulässt.

  • Eine Bibliothek, die in eigene Software integriert werden kann.
  • Ein Virenscanner auf der Befehlszeile, für den es inzwischen viele grafische Oberflächen gibt (z. B. Klamav).

Installation

Die Schädlingsdatenbank, die als Grundlage des Virenscanners dient, ist in den Binärpaketen einiger Linux-Distributionen nicht enthalten. Sie ist dann üblicherweise im separaten Paket "clamav-db" enthalten.

Ubuntu 8.04 Hardy Heron

$ sudo apt-get install clamav clamav-daemon

Verwendung

Zwar spielen Schadprogramme in der GNU/Linux-Welt keine grosse Rolle - für eine GNU/Linux-Arbeitsplatzinstallation ist die Installation eines Antivirenprogramms deshalb nicht wirklich notwendig. Clamav eignet sich aber sehr gut für heterogene Umgebungen (z. B. parallele Installationen von Linux und Microsoft Windows, in denen Dateien unter Linux heruntergeladen und geprüft werden, bevor sie an Microsoft Windows "weitergereicht" werden), zum Prüfen von Mailanhängen oder zum Einsatz in Kombination mit Dritt-Programmen wie beispielsweise Samba oder einem Mail-Server.

Dank verschiedener Module kann Clamav die Serverdienste am Weiterleiten oder Verbreiten von Schadprogrammen hindern. Viele dieser Addons verwenden zur Virenprüfung clamscan - ist Performance gefragt, so sollte allerdings von seiner Verwendung abgesehen werden.

Samba-vscan

Samba-vscan ist einer der wichtigsten Koppler zwischen den Diensten und wird neben Clamav auch von den Antivirenprogrammen F-Prot, Sophos und Trend Micro verwendet, um Dateizugriffe auf Freigaben zu prüfen, die ein Samba-Dateiserver bereithält. Üblicherweise reicht unter Linux die Installation des gleichnamigen Pakets. Dabei werden im Verzeichnis "/usr/lib/samba/vfs" verschiedene Module erstellt, die Samba über ein virtuelles Dateisystem die Zusammenarbeit mit dem Antivirenprogramm erlauben.

Um sowohl Samba wie auch Clamav zur Zusammenarbeit mit Samba-vscan zu bewegen, wird zuerst die Beispielkonfigurationsdatei "vscan-clamav.conf" aus dem Vorlagenverzeichnis "/usr/share/doc/packages/samba-vscan" nach "/etc/samba" kopiert. Die Anweisung "infected file action =" legt fest, wie das Modul mit als Schadprogramm erkannten Dateien verfährt. Zur Auswahl stehen folgende Parameter:

  • "delete" löscht die Dateien direkt. Da bei Antivirenprogrammen aber öfter auch sogenannte "false positives" (irrtümlich als Schadcode erkannte Programme) vorkommen, ist diese Einstellung riskant.
  • "quarantine" verschiebt die Dateien in ein eigenes Verzeichnis, welches über die Anweisung "quarantine directory = verzeichnis" festgelegt wird. Die Zeile "quarantine-prefix = präfix" gibt an, mit welchem Präfix (z. B. "virus") Samba-vscan die potentiellen Schaddateien versieht. Um die Benutzer von Windows-Clients davon in Kenntnis zu setzen, dass ihre Datei Schadcode enthält, wird die Option "send warning message = yes" gesetzt.
  • "nothing" macht gar nichts.

Clamav arbeitet nur im lokalen Socket-Modus mit Samba-vscan zusammen. Der Parameter "clamd socket name = verzeichnis" gibt an, wo Samba-vscan den Socket findet (z. B. "/var/run/clamscan/clamd"). Zur Gewährleistung eines reibungslosen Betriebs muss der Wert dieses Parameters identisch mit jenem von "LocalSocket" in der clamd-Konfigurationsdatei "/etc/clamd.conf" sein.

Schliesslich muss in der Samba-Konfigurationsdatei "/etc/samba/smb.conf" festgelegt werden, welche Freigaben das Antivirenprogramm prüfen soll. Dazu wird der Abschnitt jeder zu sichernden Freigabe mit folgendem Eintrag ergänzt. Um sämtliche von Samba verwalteten Netzwerkfreigaben abzusichern, wird dieser Eintrag in den Abschnitt "[global]" der Datei "smb.conf" eingetragen.

vfs objects = vscan-clamav:configfile=/etc/smaba/vscan-clamav.conf

Nach einem Neustart von Samba und clamd schützt das Modul Samba-vscan die Samba-Freigaben vor Schadprogrammen. Zum testen der korrekten Funktionsweise wird die Netzwerkfreigabe geöffnet und versucht, die Eicar-Testdatei darin zu speichern, welche von praktisch allen Antivirenprogrammen als Schadprogramm erkannt wird, jedoch ausser einer Signatur keinerlei Schadcode enthält. Je nach eingestellter Aktion sollte die Testdatei verschwinden und auf dem Windows-Client eine Warnmeldung erscheinen ("eicar com IS INFECTED WITH VIRUS Eicar-Test-Signature. Access will be denied.").

Da Samba-vscan jede Datei beim Zugriff (on access) prüft, kommt es jeweils zu mehr oder weniger erheblichen Verzögerungen, besonders wenn viele Dateien gleichzeitig kopiert oder verschoben werden. Aus diesem Grund sollten ausschliesslich Freigaben abgesichert werden, auf denen ein Schutz vor Schadprogrammen sinnvoll erscheint.

Weblinks

Vorlage:Weblinks1