Sophos AV telepítése (Jessie)

A AdminWiki wikiből

A Sophos Antivirus for Linux egy teljes értékű antimalware megoldás, elsősorban Linux munkaállomások számára. Az alábbi leírás célja nem elsősorban magának a kiszolgálónak a védelme, hanem az azon átmenő (pl. email- vagy proxy kiszolgálás), vagy azon tárolt (pl. web- vagy fájlkiszolgálás) adatok malware szűrése. Ezért:

  • a Sophos AV-t nem rutinszerűen, hanem csak olyan kiszolgálóra telepítjük, amelynél a szolgáltatott adatok szűrését szükségesnek gondoljuk;
  • ellentétben a munkaállomásokon szokásos eljárással (amikor lényegében nem használjuk az on demand vizsgálatot, viszont minden fájlműveletet röptében ellenőrzünk), itt az on access szkennert nem használjuk (vagy adott tárterületre korlátozzuk), a fájlátviteleket on demand ellenőrizzük.

A Sophos AV munkaállomásra történő telepítését pl. ez a leírás tartalmazza.

Work in progress - még ne vedd komolyan!

Tartalomjegyzék

Tulajdonságok

Ingyenesen, mindössze egy email cím megadása ellenében letölthető és használható megoldás, amely on-access és on demand szkennelésre is használható. Az AV-Test által (2015 végén, Ubuntu 12.04 LTS munkaállomáson) elvégzett teszten, a Windows elleni fenyegetések detektálásánál 99% feletti eredményt ért el.

  • Python alapú, standalone szoftver, amely magával hozza és a /opt/sophos-av/ alá telepíti összes komponensét és könyvtárát.
  • Nem tartalmaz adminisztratív GUI-t (nem követel Xorg hátteret, illetve az ingyenes változat nem tartalmaz webfelületet sem; parancssorból konfigurálható).
  • Az on-access értesítésekre kernel modult használ, amelyet megpróbál helyben lefordítani. Ha erre nincs lehetősége, megkísérli a (Debian kernelben alapértelmezetten letiltott) Fanotify használatát; ha ez is sikertelen, az on-access szkennelés nem lesz elérhető.
  • Alapértelmezetten automatikusan, óránként ellenőrzi a program- és szignatúra frissítéseket.
  • Minden eseményről email értesítést képes küldeni.
  • Alapértelmezetten használati statisztikát(?) küld a Sophosnak, ez azonban letiltható.

Telepítés

Az alapértelmezett telepítés során a /opt alatt létrehozott könyvtárszerkezetben az adat- és kódterületek nincsenek világosan elkülönítve (TODO!), így talán már az alaptelepítéskor érdemes a /opt/sophos-av tárterület számára egy önálló (a root partícióval azonosan csatolt), kb. 4 GB méretű partíciót létrehozni.

A Sophos AV a Debian terjesztésnek jelenleg nem része, így webhelyéről töltsük le a telepítőkészletet, és a tarball kicsomagolása után, a kicsomagolt mappába belépve, rendszergazdaként indítsuk el a (parancssoros) telepítő scriptet:

mount -o remount,exec /tmp  # Itt futnak majd a kibontott telepítő komponensek
mount -o remount,rw /usr    # Írni fog ide is
./install.sh 
  • olvassuk el és fogadjuk el a licencet;
  • az alapértelmezett /opt/sophos-av célkönyvtár megfelelő;
  • on-access keresés NEM szükséges (n);
  • az automatikus frissítést adja a Sophos (s), ingyenes változatot fogunk használni (f), (általában) nem használunk proxy-t a web eléréséhez (n).

Ezután a telepítő lefut (eközben létrehozza a sophosav Linux rendszerfelhasználót és -csoportot), és el is indítja a Sophos AV-t.

Ellenőrizzük a komponenseket:

systemctl status sav-protect   # A scanner szolgáltatás fut
/opt/sophos-av/bin/savdstatus  # Sophos Anti-Virus is active but on-access scanning is not running

Megjegyzés: a másik két, telepített szolgáltatás közül a távoli vezérlés (sav-rms.service) az ingyenes változatban letiltottnak tűnnik (TODO!), a frissítő szolgáltatást (sav-update.service) - úgy tűnik - periodikusan indítja valami (TODO!).

Kérjünk egy teljes frissítést (ha nem tennénk, kb. egy órán belül automatikusan is megtörténne):

/opt/sophos-av/bin/savupdate

Ellenőrizzük a frissítést a naplóban:

/opt/sophos-av/bin/savlog --today  # Elmúlt 24 óra eseményei a /opt/sophos-av/log/savd.log állományból

A sikeres telepítést követően állítsuk vissza a partíciók szigorú csatolását:

mount -o remount /tmp
mount -o remount /usr

Beállítások

A Sophos AV a saját beállításait a /opt/sophos-av/etc alatti, XML formátumú állományokban tartja, amelyeket webfelületen (TODO!) vagy a savconfig parancssori eszközzel kezelhetünk.

A Sophos AV saját beállításai

  • A Sophos AV - saját naplói mellett - a syslog-ba is küld értesítéseket, amelyeket alapértelmezésben a logcheck e-mailben továbbít. A nem releváns bejegyzésekről (pl. az óránkénti, sikeres frissítésekről) kapott levelek elkerülésére készíthetünk /etc/logcheck/ignore.d.* szabályokat (TODO! - az esetenként több soros logbejegyzések miatt ez nem triviális), vagy (a Sophos AV saját naplóinak megtartásával) egyszerűen letilthatjuk a syslog-ba történő naplózást:
/opt/sophos-av/bin/savconfig set SyslogNotifier off  # Rendszernaplók használata letiltva
  • Vizsgáljuk felül a Sophos AV által küldött email értesítéseket! Mivel nem használunk on access vizsgálatot, csak azt kell meggondolnunk, hogy az on demand vizsgálatok esetleges találatairól szeretnénk-e azonnal értesülni. Ha nem, az erre vonatkozó email értesítést kapcsoljuk ki:
/opt/sophos-av/bin/savconfig set EmailDemandSummaryIfThreat disabled  # On demand vizsgálat vírustalálat email kikapcsolva
  • Opcionálisan kikapcsolhatjuk a Sophos Live Protection szolgáltatást (amely, ha gyanúsnak tart egy állományt, de helyben nem tudja malware-ként azonosítani, feltölti annak jellemzőit a Sophoshoz, és felhőbeli azonosítást kér). Hacsak nincs rá különös okunk, kikapcsolása általában nem javasolt!
/opt/sophos-av/bin/savconfig set LiveProtection false   # Felhőbeli azonosítás kikapcsolva (nem javasolt!)
  • Opcionálisan kikapcsolhatjuk a névtelen visszajelzések heti egy alkalommal, a Sophosnak történő elküldését:
/opt/sophos-av/bin/savconfig set DisableFeedback false  # Visszajelzés kikapcsolva
  • TODO!

Gyorsteszt

  • Töltsük le és ellenőriztessük az EICAR tesztállományt (natívan és tömörítvényben is):
wget -O /tmp/eicar.com     'http://www.eicar.org/download/eicar.com'
wget -O /tmp/eicar.com.zip 'http://www.eicar.org/download/eicar2com.zip'

savscan -ss -archive /tmp                 # Mindkettőt meg kell találnia
/opt/sophos-av/bin/savlog --today | less  # Látszania kell a naplóban

Ha nem kapcsoltuk ki az email értesítést az on demand vírustalálatokról, akkor ellenőrizzük azt is, hogy megérkezett-e ez a levél.

savscan -ss -archive -remove -nc /tmp

A fenti paranccsal ismét ellenőrizzük, és le is töröljük a teszt állományokat.

A Sophos AV bejegyzése a Tiger által ismert démonok közé

A Sophos AV savd és savscand komponenseinek állandóan futniuk kell, így ezeket érdemes bejegyezni a tigerrc állományba:

-rw-r--r-- root root /etc/tiger/tigerrc

[...]
Tiger_Running_Procs='[...] /opt/sophos-av/engine/savd /opt/sophos-av/engine/savscand [...]
[...]

A Sophos AV monitorozásának engedélyezése a Munin számára

TODO!

Irodalom