Sophos AV telepítése (Jessie)

Innen: AdminWiki
A lap korábbi változatát látod, amilyen KZoli (vitalap | szerkesztései) 2018. május 29., 23:15-kor történt szerkesztése után volt. (Új oldal, tartalma: „A [https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx Sophos Antivirus for Linux] egy teljes értékű ''antimalware'' megoldás, elsősor…”)
(eltér) ← Régebbi változat | Aktuális változat (eltér) | Újabb változat→ (eltér)

A Sophos Antivirus for Linux egy teljes értékű antimalware megoldás, elsősorban Linux munkaállomások számára. Az alábbi leírás célja nem elsősorban magának a kiszolgálónak a védelme, hanem az azon átmenő (pl. email- vagy proxy kiszolgálás), vagy azon tárolt (pl. web- vagy fájlkiszolgálás) adatok malware szűrése. Ezért:

  • a Sophos AV-t nem rutinszerűen, hanem csak olyan kiszolgálóra telepítjük, amelynél a szolgáltatott adatok szűrését szükségesnek gondoljuk;
  • ellentétben a munkaállomásokon szokásos eljárással (amikor lényegében nem használjuk az on demand vizsgálatot, viszont minden fájlműveletet röptében ellenőrzünk), itt az on access szkennert nem használjuk (vagy adott tárterületre korlátozzuk), a fájlátviteleket on demand ellenőrizzük.

A Sophos AV munkaállomásra történő telepítését pl. ez a leírás tartalmazza.

Work in progress - még ne vedd komolyan!

Tulajdonságok

Ingyenesen, mindössze egy email cím megadása ellenében letölthető és használható megoldás, amely on-access és on demand szkennelésre is használható. Az AV-Test által (2015 végén, Ubuntu 12.04 LTS munkaállomáson) elvégzett teszten, a Windows elleni fenyegetések detektálásánál 99% feletti eredményt ért el.

  • Python alapú, standalone szoftver, amely magával hozza és a /opt/sophos-av/ alá telepíti összes komponensét és könyvtárát.
  • Nem tartalmaz adminisztratív GUI-t (nem követel Xorg hátteret, illetve az ingyenes változat nem tartalmaz webfelületet sem; parancssorból konfigurálható).
  • Az on-access értesítésekre kernel modult használ, amelyet megpróbál helyben lefordítani. Ha erre nincs lehetősége, megkísérli a (Debian kernelben alapértelmezetten letiltott) Fanotify használatát; ha ez is sikertelen, az on-access szkennelés nem lesz elérhető.
  • Alapértelmezetten automatikusan, óránként ellenőrzi a program- és szignatúra frissítéseket.
  • Minden eseményről email értesítést képes küldeni.
  • Alapértelmezetten használati statisztikát(?) küld a Sophosnak, ez azonban letiltható.

Telepítés

Az alapértelmezett telepítés során a /opt alatt létrehozott könyvtárszerkezetben az adat- és kódterületek nincsenek világosan elkülönítve (TODO!), így talán már az alaptelepítéskor érdemes a /opt/sophos-av tárterület számára egy önálló (a root partícióval azonosan csatolt), kb. 4 GB méretű partíciót létrehozni.

A Sophos AV a Debian terjesztésnek jelenleg nem része, így webhelyéről töltsük le a telepítőkészletet, és a tarball kicsomagolása után, a kicsomagolt mappába belépve, rendszergazdaként indítsuk el a (parancssoros) telepítő scriptet: 

mount -o remount,exec /tmp  # Itt futnak majd a kibontott telepítő komponensek
mount -o remount,rw /usr    # Írni fog ide is
./install.sh
  • olvassuk el és fogadjuk el a licencet;
  • az alapértelmezett /opt/sophos-av célkönyvtár megfelelő;
  • on-access keresés NEM szükséges (n);
  • az automatikus frissítést adja a Sophos (s), ingyenes változatot fogunk használni (f), (általában) nem használunk proxy-t a web eléréséhez (n).

Ezután a telepítő lefut (eközben létrehozza a sophosav Linux rendszerfelhasználót és -csoportot), és el is indítja a Sophos AV-t.

Ellenőrizzük a komponenseket: 

systemctl status sav-protect   # A scanner szolgáltatás fut
/opt/sophos-av/bin/savdstatus  # Sophos Anti-Virus is active but on-access scanning is not running

Megjegyzés: a másik két, telepített szolgáltatás közül a távoli vezérlés (sav-rms.service) az ingyenes változatban letiltottnak tűnnik (TODO!), a frissítő szolgáltatást (sav-update.service) - úgy tűnik - periodikusan indítja valami (TODO!).

Kérjünk egy teljes frissítést (ha nem tennénk, kb. egy órán belül automatikusan is megtörténne): 

/opt/sophos-av/bin/savupdate

Ellenőrizzük a frissítést a naplóban: 

/opt/sophos-av/bin/savlog --today  # Elmúlt 24 óra eseményei a /opt/sophos-av/log/savd.log állományból

A sikeres telepítést követően állítsuk vissza a partíciók szigorú csatolását: 

mount -o remount /tmp
mount -o remount /usr

Beállítások

A Sophos AV a saját beállításait a /opt/sophos-av/etc alatti, XML formátumú állományokban tartja, amelyeket webfelületen (TODO!) vagy a savconfig parancssori eszközzel kezelhetünk.

A Sophos AV saját beállításai

  • A Sophos AV - saját naplói mellett - a syslog-ba is küld értesítéseket, amelyeket alapértelmezésben a logcheck e-mailben továbbít. A nem releváns bejegyzésekről (pl. az óránkénti, sikeres frissítésekről) kapott levelek elkerülésére készíthetünk /etc/logcheck/ignore.d.* szabályokat (TODO! - az esetenként több soros logbejegyzések miatt ez nem triviális), vagy (a Sophos AV saját naplóinak megtartásával) egyszerűen letilthatjuk a syslog-ba történő naplózást:
/opt/sophos-av/bin/savconfig set SyslogNotifier off  # Rendszernaplók használata letiltva
  • Vizsgáljuk felül a Sophos AV által küldött email értesítéseket! Mivel nem használunk on access vizsgálatot, csak azt kell meggondolnunk, hogy az on demand vizsgálatok esetleges találatairól szeretnénk-e azonnal értesülni. Ha nem, az erre vonatkozó email értesítést kapcsoljuk ki:
/opt/sophos-av/bin/savconfig set EmailDemandSummaryIfThreat disabled  # On demand vizsgálat vírustalálat email kikapcsolva
  • Opcionálisan kikapcsolhatjuk a Sophos Live Protection szolgáltatást (amely, ha gyanúsnak tart egy állományt, de helyben nem tudja malware-ként azonosítani, feltölti annak jellemzőit a Sophoshoz, és felhőbeli azonosítást kér). Hacsak nincs rá különös okunk, kikapcsolása általában nem javasolt!
/opt/sophos-av/bin/savconfig set LiveProtection false   # Felhőbeli azonosítás kikapcsolva (nem javasolt!)
  • Opcionálisan kikapcsolhatjuk a névtelen visszajelzések heti egy alkalommal, a Sophosnak történő elküldését:
/opt/sophos-av/bin/savconfig set DisableFeedback false  # Visszajelzés kikapcsolva
  • TODO!

Gyorsteszt

  • Töltsük le és ellenőriztessük az EICAR tesztállományt (natívan és tömörítvényben is):
wget -O /tmp/eicar.com     'http://www.eicar.org/download/eicar.com'
wget -O /tmp/eicar.com.zip 'http://www.eicar.org/download/eicar2com.zip'

savscan -ss -archive /tmp                 # Mindkettőt meg kell találnia
/opt/sophos-av/bin/savlog --today | less  # Látszania kell a naplóban

Ha nem kapcsoltuk ki az email értesítést az on demand vírustalálatokról, akkor ellenőrizzük azt is, hogy megérkezett-e ez a levél. 

savscan -ss -archive -remove -nc /tmp

A fenti paranccsal ismét ellenőrizzük, és le is töröljük a teszt állományokat.

A Sophos AV bejegyzése a Tiger által ismert démonok közé

A Sophos AV savd és savscand komponenseinek állandóan futniuk kell, így ezeket érdemes bejegyezni a tigerrc állományba: 

-rw-r--r-- root root /etc/tiger/tigerrc

[...]
Tiger_Running_Procs='[...] /opt/sophos-av/engine/savd /opt/sophos-av/engine/savscand [...]
[...]

A Sophos AV monitorozásának engedélyezése a Munin számára

TODO!

Irodalom

A lap eredeti címe: „http://admin.wiki.kzoli.hu/index.php?title=Sophos_AV_telepítése_(Jessie)&oldid=70