https://admin.wiki.kzoli.hu/index.php?action=history&feed=atom&title=Sophos_AV_telep%C3%ADt%C3%A9se_%28Jessie%29Sophos AV telepítése (Jessie) - Laptörténet2026-05-05T20:07:54ZAz oldal laptörténete a wikibenMediaWiki 1.43.8https://admin.wiki.kzoli.hu/index.php?title=Sophos_AV_telep%C3%ADt%C3%A9se_(Jessie)&diff=70&oldid=prevKZoli: Új oldal, tartalma: „A [https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx Sophos Antivirus for Linux] egy teljes értékű ''antimalware'' megoldás, elsősor…”2018-05-29T21:15:33Z<p>Új oldal, tartalma: „A [https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx Sophos Antivirus for Linux] egy teljes értékű ''antimalware'' megoldás, elsősor…”</p>
<p><b>Új lap</b></p><div>A [https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx Sophos Antivirus for Linux] egy teljes értékű ''antimalware'' megoldás, elsősorban Linux munkaállomások számára. Az alábbi leírás célja nem elsősorban magának a kiszolgálónak a védelme, hanem az azon átmenő (pl. email- vagy proxy kiszolgálás), vagy azon tárolt (pl. web- vagy fájlkiszolgálás) adatok ''malware'' szűrése. Ezért:<br />
* a Sophos AV-t nem rutinszerűen, hanem csak olyan kiszolgálóra telepítjük, amelynél a szolgáltatott adatok szűrését szükségesnek gondoljuk;<br />
* ellentétben a munkaállomásokon szokásos eljárással (amikor lényegében nem használjuk az ''on demand'' vizsgálatot, viszont minden fájlműveletet röptében ellenőrzünk), itt az ''on access'' szkennert nem használjuk (vagy adott tárterületre korlátozzuk), a fájlátviteleket ''on demand'' ellenőrizzük.<br />
<br />
A Sophos AV munkaállomásra történő telepítését pl. [{{SERVER}}/index.php/Ubuntu_munka%C3%A1llom%C3%A1s_telep%C3%ADt%C3%A9se_%2816.04_LTS_Xenial_Xerus%29#Sophos_Antivirus_for_Linux_.28ingyenes_v.C3.A1ltozat.29 ez a leírás] tartalmazza.<br />
<br />
'''Work in progress''' - még ne vedd komolyan!<br />
==Tulajdonságok==<br />
Ingyenesen, mindössze egy email cím megadása ellenében letölthető és használható megoldás, amely ''on-access'' és ''on demand'' szkennelésre is használható. Az [https://www.av-test.org/en/news/news-single-view/linux-16-security-packages-against-windows-and-linux-malware-put-to-the-test/ AV-Test] által (2015 végén, Ubuntu 12.04 LTS munkaállomáson) elvégzett teszten, a Windows elleni fenyegetések detektálásánál [https://www.av-test.org/typo3temp/_processed_/csm_0915_Linux_Tabelle_scanwerte_neu2_en_43e6000a5c.png 99% feletti eredményt ért el].<br />
* Python alapú, ''standalone'' szoftver, amely magával hozza és a ''/opt/sophos-av/'' alá telepíti összes komponensét és könyvtárát.<br />
* Nem tartalmaz adminisztratív GUI-t (nem követel ''Xorg'' hátteret, illetve az ingyenes változat nem tartalmaz webfelületet sem; parancssorból konfigurálható).<br />
* Az ''on-access'' értesítésekre kernel modult használ, amelyet megpróbál [https://www.sophos.com/en-us/support/knowledgebase/13503.aspx helyben lefordítani]. Ha erre nincs lehetősége, megkísérli a (Debian kernelben alapértelmezetten letiltott) [https://www.sophos.com/en-us/support/knowledgebase/118216.aspx Fanotify] használatát; ha ez is sikertelen, az ''on-access'' szkennelés nem lesz elérhető.<br />
* Alapértelmezetten automatikusan, óránként ellenőrzi a program- és szignatúra frissítéseket.<br />
* Minden eseményről email értesítést képes küldeni.<br />
* Alapértelmezetten használati statisztikát(?) küld a Sophosnak, ez azonban letiltható.<br />
<br />
==Telepítés==<br />
Az alapértelmezett telepítés során a ''/opt'' alatt létrehozott könyvtárszerkezetben az adat- és kódterületek nincsenek világosan elkülönítve ('''TODO!'''), így talán már az alaptelepítéskor érdemes a ''/opt/sophos-av'' tárterület számára egy önálló (a ''root'' partícióval azonosan csatolt), kb. 4 GB méretű partíciót létrehozni.<br />
<br />
A Sophos AV a Debian terjesztésnek jelenleg nem része, így webhelyéről [https://secure2.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux/download.aspx töltsük le] a telepítőkészletet, és a ''tarball'' kicsomagolása után, a kicsomagolt mappába belépve, rendszergazdaként indítsuk el a (parancssoros) telepítő scriptet:<br />
<pre>mount -o remount,exec /tmp # Itt futnak majd a kibontott telepítő komponensek<br />
mount -o remount,rw /usr # Írni fog ide is<br />
./install.sh </pre><br />
* olvassuk el és fogadjuk el a licencet;<br />
* az alapértelmezett ''/opt/sophos-av'' célkönyvtár megfelelő;<br />
* ''on-access'' keresés NEM szükséges (''n'');<br />
* az automatikus frissítést adja a Sophos (''s''), ingyenes változatot fogunk használni (''f''), (általában) nem használunk ''proxy''-t a web eléréséhez (''n'').<br />
Ezután a telepítő lefut (eközben létrehozza a ''sophosav'' Linux rendszerfelhasználót és -csoportot), és el is indítja a Sophos AV-t.<br />
<br />
Ellenőrizzük a komponenseket:<br />
<pre>systemctl status sav-protect # A scanner szolgáltatás fut<br />
/opt/sophos-av/bin/savdstatus # Sophos Anti-Virus is active but on-access scanning is not running</pre><br />
''Megjegyzés:'' a másik két, telepített szolgáltatás közül a távoli vezérlés (''sav-rms.service'') az ingyenes változatban letiltottnak tűnnik ('''TODO!'''), a frissítő szolgáltatást (''sav-update.service'') - úgy tűnik - periodikusan indítja valami ('''TODO!''').<br />
<br />
Kérjünk egy teljes frissítést (ha nem tennénk, kb. egy órán belül automatikusan is megtörténne):<br />
<pre>/opt/sophos-av/bin/savupdate</pre><br />
Ellenőrizzük a frissítést a naplóban:<br />
<pre>/opt/sophos-av/bin/savlog --today # Elmúlt 24 óra eseményei a /opt/sophos-av/log/savd.log állományból</pre><br />
A sikeres telepítést követően állítsuk vissza a partíciók szigorú csatolását:<br />
<pre>mount -o remount /tmp<br />
mount -o remount /usr</pre><br />
<br />
==Beállítások==<br />
A Sophos AV a saját beállításait a ''/opt/sophos-av/etc'' alatti, XML formátumú állományokban tartja, amelyeket webfelületen ('''TODO!''') vagy a ''savconfig'' parancssori eszközzel kezelhetünk.<br />
===A Sophos AV saját beállításai===<br />
* A Sophos AV - saját naplói mellett - a ''syslog''-ba is küld értesítéseket, amelyeket alapértelmezésben a ''logcheck'' e-mailben továbbít. A nem releváns bejegyzésekről (pl. az óránkénti, sikeres frissítésekről) kapott levelek elkerülésére készíthetünk ''/etc/logcheck/ignore.d.*'' szabályokat ('''TODO!''' - az esetenként több soros logbejegyzések miatt ez nem triviális), vagy (a Sophos AV saját naplóinak megtartásával) egyszerűen letilthatjuk a ''syslog''-ba történő naplózást:<br />
<pre>/opt/sophos-av/bin/savconfig set SyslogNotifier off # Rendszernaplók használata letiltva</pre><br />
* Vizsgáljuk felül a Sophos AV által küldött email értesítéseket! Mivel nem használunk ''on access'' vizsgálatot, csak azt kell meggondolnunk, hogy az ''on demand'' vizsgálatok esetleges találatairól szeretnénk-e azonnal értesülni. Ha nem, az erre vonatkozó email értesítést kapcsoljuk ki:<br />
<pre>/opt/sophos-av/bin/savconfig set EmailDemandSummaryIfThreat disabled # On demand vizsgálat vírustalálat email kikapcsolva</pre><br />
* ''Opcionálisan'' kikapcsolhatjuk a ''Sophos Live Protection'' szolgáltatást (amely, ha gyanúsnak tart egy állományt, de helyben nem tudja ''malware''-ként azonosítani, feltölti annak jellemzőit a Sophoshoz, és felhőbeli azonosítást kér). Hacsak nincs rá különös okunk, kikapcsolása általában ''nem javasolt''!<br />
<pre>/opt/sophos-av/bin/savconfig set LiveProtection false # Felhőbeli azonosítás kikapcsolva (nem javasolt!)</pre><br />
* ''Opcionálisan'' kikapcsolhatjuk a névtelen visszajelzések heti egy alkalommal, a Sophosnak történő elküldését:<br />
<pre>/opt/sophos-av/bin/savconfig set DisableFeedback false # Visszajelzés kikapcsolva</pre><br />
* '''TODO!'''<br />
===Gyorsteszt===<br />
* Töltsük le és ellenőriztessük az [http://www.eicar.org/85-0-Download.html EICAR] tesztállományt (natívan és tömörítvényben is):<br />
<pre>wget -O /tmp/eicar.com 'http://www.eicar.org/download/eicar.com'<br />
wget -O /tmp/eicar.com.zip 'http://www.eicar.org/download/eicar2com.zip'<br />
<br />
savscan -ss -archive /tmp # Mindkettőt meg kell találnia<br />
/opt/sophos-av/bin/savlog --today | less # Látszania kell a naplóban</pre><br />
Ha nem kapcsoltuk ki az email értesítést az ''on demand'' vírustalálatokról, akkor ellenőrizzük azt is, hogy megérkezett-e ez a levél.<br />
<pre>savscan -ss -archive -remove -nc /tmp</pre><br />
A fenti paranccsal ismét ellenőrizzük, és le is töröljük a teszt állományokat.<br />
<br />
===A Sophos AV bejegyzése a Tiger által ismert démonok közé===<br />
A Sophos AV ''savd'' és ''savscand'' komponenseinek állandóan futniuk kell, így ezeket érdemes bejegyezni a ''tigerrc'' állományba:<br />
<pre>-rw-r--r-- root root /etc/tiger/tigerrc<br />
<br />
[...]<br />
Tiger_Running_Procs='[...] /opt/sophos-av/engine/savd /opt/sophos-av/engine/savscand [...]<br />
[...]</pre><br />
===A Sophos AV monitorozásának engedélyezése a Munin számára===<br />
'''TODO!'''<br />
<br />
==Irodalom==<br />
* [https://www.sophos.com/en-us/medialibrary/PDFs/documentation/savl_9_sgeng.pdf Sophos AV Startup Guide] (pdf, angol)<br />
* [https://www.sophos.com/en-us/medialibrary/PDFs/documentation/savl_9_cgeng.pdf Sophos AV Configuration Guide] (pdf, angol)<br />
* [https://www.youtube.com/watch?v=QH9gRThLEag Install, update, and run Sophos Anti-Virus for Linux] (YouTube videó, ~25 perc, angol)</div>KZoli