Sophos AV telepítése (Jessie)
A Sophos Antivirus for Linux egy teljes értékű antimalware megoldás, elsősorban Linux munkaállomások számára. Az alábbi leírás célja nem elsősorban magának a kiszolgálónak a védelme, hanem az azon átmenő (pl. email- vagy proxy kiszolgálás), vagy azon tárolt (pl. web- vagy fájlkiszolgálás) adatok malware szűrése. Ezért:
- a Sophos AV-t nem rutinszerűen, hanem csak olyan kiszolgálóra telepítjük, amelynél a szolgáltatott adatok szűrését szükségesnek gondoljuk;
- ellentétben a munkaállomásokon szokásos eljárással (amikor lényegében nem használjuk az on demand vizsgálatot, viszont minden fájlműveletet röptében ellenőrzünk), itt az on access szkennert nem használjuk (vagy adott tárterületre korlátozzuk), a fájlátviteleket on demand ellenőrizzük.
A Sophos AV munkaállomásra történő telepítését pl. ez a leírás tartalmazza.
Work in progress - még ne vedd komolyan!
Tartalomjegyzék
Tulajdonságok
Ingyenesen, mindössze egy email cím megadása ellenében letölthető és használható megoldás, amely on-access és on demand szkennelésre is használható. Az AV-Test által (2015 végén, Ubuntu 12.04 LTS munkaállomáson) elvégzett teszten, a Windows elleni fenyegetések detektálásánál 99% feletti eredményt ért el.
- Python alapú, standalone szoftver, amely magával hozza és a /opt/sophos-av/ alá telepíti összes komponensét és könyvtárát.
- Nem tartalmaz adminisztratív GUI-t (nem követel Xorg hátteret, illetve az ingyenes változat nem tartalmaz webfelületet sem; parancssorból konfigurálható).
- Az on-access értesítésekre kernel modult használ, amelyet megpróbál helyben lefordítani. Ha erre nincs lehetősége, megkísérli a (Debian kernelben alapértelmezetten letiltott) Fanotify használatát; ha ez is sikertelen, az on-access szkennelés nem lesz elérhető.
- Alapértelmezetten automatikusan, óránként ellenőrzi a program- és szignatúra frissítéseket.
- Minden eseményről email értesítést képes küldeni.
- Alapértelmezetten használati statisztikát(?) küld a Sophosnak, ez azonban letiltható.
Telepítés
Az alapértelmezett telepítés során a /opt alatt létrehozott könyvtárszerkezetben az adat- és kódterületek nincsenek világosan elkülönítve (TODO!), így talán már az alaptelepítéskor érdemes a /opt/sophos-av tárterület számára egy önálló (a root partícióval azonosan csatolt), kb. 4 GB méretű partíciót létrehozni.
A Sophos AV a Debian terjesztésnek jelenleg nem része, így webhelyéről töltsük le a telepítőkészletet, és a tarball kicsomagolása után, a kicsomagolt mappába belépve, rendszergazdaként indítsuk el a (parancssoros) telepítő scriptet:
mount -o remount,exec /tmp # Itt futnak majd a kibontott telepítő komponensek mount -o remount,rw /usr # Írni fog ide is ./install.sh
- olvassuk el és fogadjuk el a licencet;
- az alapértelmezett /opt/sophos-av célkönyvtár megfelelő;
- on-access keresés NEM szükséges (n);
- az automatikus frissítést adja a Sophos (s), ingyenes változatot fogunk használni (f), (általában) nem használunk proxy-t a web eléréséhez (n).
Ezután a telepítő lefut (eközben létrehozza a sophosav Linux rendszerfelhasználót és -csoportot), és el is indítja a Sophos AV-t.
Ellenőrizzük a komponenseket:
systemctl status sav-protect # A scanner szolgáltatás fut /opt/sophos-av/bin/savdstatus # Sophos Anti-Virus is active but on-access scanning is not running
Megjegyzés: a másik két, telepített szolgáltatás közül a távoli vezérlés (sav-rms.service) az ingyenes változatban letiltottnak tűnnik (TODO!), a frissítő szolgáltatást (sav-update.service) - úgy tűnik - periodikusan indítja valami (TODO!).
Kérjünk egy teljes frissítést (ha nem tennénk, kb. egy órán belül automatikusan is megtörténne):
/opt/sophos-av/bin/savupdate
Ellenőrizzük a frissítést a naplóban:
/opt/sophos-av/bin/savlog --today # Elmúlt 24 óra eseményei a /opt/sophos-av/log/savd.log állományból
A sikeres telepítést követően állítsuk vissza a partíciók szigorú csatolását:
mount -o remount /tmp mount -o remount /usr
Beállítások
A Sophos AV a saját beállításait a /opt/sophos-av/etc alatti, XML formátumú állományokban tartja, amelyeket webfelületen (TODO!) vagy a savconfig parancssori eszközzel kezelhetünk.
A Sophos AV saját beállításai
- A Sophos AV - saját naplói mellett - a syslog-ba is küld értesítéseket, amelyeket alapértelmezésben a logcheck e-mailben továbbít. A nem releváns bejegyzésekről (pl. az óránkénti, sikeres frissítésekről) kapott levelek elkerülésére készíthetünk /etc/logcheck/ignore.d.* szabályokat (TODO! - az esetenként több soros logbejegyzések miatt ez nem triviális), vagy (a Sophos AV saját naplóinak megtartásával) egyszerűen letilthatjuk a syslog-ba történő naplózást:
/opt/sophos-av/bin/savconfig set SyslogNotifier off # Rendszernaplók használata letiltva
- Vizsgáljuk felül a Sophos AV által küldött email értesítéseket! Mivel nem használunk on access vizsgálatot, csak azt kell meggondolnunk, hogy az on demand vizsgálatok esetleges találatairól szeretnénk-e azonnal értesülni. Ha nem, az erre vonatkozó email értesítést kapcsoljuk ki:
/opt/sophos-av/bin/savconfig set EmailDemandSummaryIfThreat disabled # On demand vizsgálat vírustalálat email kikapcsolva
- Opcionálisan kikapcsolhatjuk a Sophos Live Protection szolgáltatást (amely, ha gyanúsnak tart egy állományt, de helyben nem tudja malware-ként azonosítani, feltölti annak jellemzőit a Sophoshoz, és felhőbeli azonosítást kér). Hacsak nincs rá különös okunk, kikapcsolása általában nem javasolt!
/opt/sophos-av/bin/savconfig set LiveProtection false # Felhőbeli azonosítás kikapcsolva (nem javasolt!)
- Opcionálisan kikapcsolhatjuk a névtelen visszajelzések heti egy alkalommal, a Sophosnak történő elküldését:
/opt/sophos-av/bin/savconfig set DisableFeedback false # Visszajelzés kikapcsolva
- TODO!
Gyorsteszt
- Töltsük le és ellenőriztessük az EICAR tesztállományt (natívan és tömörítvényben is):
wget -O /tmp/eicar.com 'http://www.eicar.org/download/eicar.com' wget -O /tmp/eicar.com.zip 'http://www.eicar.org/download/eicar2com.zip' savscan -ss -archive /tmp # Mindkettőt meg kell találnia /opt/sophos-av/bin/savlog --today | less # Látszania kell a naplóban
Ha nem kapcsoltuk ki az email értesítést az on demand vírustalálatokról, akkor ellenőrizzük azt is, hogy megérkezett-e ez a levél.
savscan -ss -archive -remove -nc /tmp
A fenti paranccsal ismét ellenőrizzük, és le is töröljük a teszt állományokat.
A Sophos AV bejegyzése a Tiger által ismert démonok közé
A Sophos AV savd és savscand komponenseinek állandóan futniuk kell, így ezeket érdemes bejegyezni a tigerrc állományba:
-rw-r--r-- root root /etc/tiger/tigerrc [...] Tiger_Running_Procs='[...] /opt/sophos-av/engine/savd /opt/sophos-av/engine/savscand [...] [...]
A Sophos AV monitorozásának engedélyezése a Munin számára
TODO!
Irodalom
- Sophos AV Startup Guide (pdf, angol)
- Sophos AV Configuration Guide (pdf, angol)
- Install, update, and run Sophos Anti-Virus for Linux (YouTube videó, ~25 perc, angol)