ClamAV

Eric Isselée, Fotolia

Schutzhülle

Um Windows-Clients vor dem bösen Internet zu schützen, gibt es einige Lösungen. Dieser Artikel stellt die besten Linux-Programme dafür vor.

Wie Administratoren einen Squid-Proxy so konfigurieren können, dass er mit ClamAV und Dansguardian nach Viren scannt, hat das ADMIN-Magazin schon ausführlich beschrieben [1]. Das Gleiche funktioniert aber beispielsweise auch mit dem Samba-Fileserver. Sie sollten dabei nur nicht vergessen, dass das Scannen von Webtraffic und eingehender E-Mail nicht für vollständige Sicherheit sorgt. Dafür ist es weiterhin unerlässlich, auf den Windows-Clients lokale Virenscanner laufen zu lassen.

ClamAV zu installieren ist kein großes Problem, denn es gibt für die meisten Linux-Distributionen fertige Pakete in den systemeigenen Repositories. Ausnahmen sind Red Hat Enterprise Linux 5 und Centos 5. Administratoren dieser beiden Linux-Varianten verwenden am besten die Dag-Repositories [2]. Auf anderen wie Debian und Fedora ist ClamAV in eine ganze Reihe von Paketen aufgeteilt. So unter Fedora 12 in »clamav« , »clamav-data« , »clamav-data-empty« , »clamav-devel« , »clamav-filesystem« und noch zehn weitere ähnlich lautende Pakete. Am besten durchsuchen Sie die Paketdatenbank nach »clamav« .

Extra Virenscanner

ClamAV kann lokal wie ein gewöhnlicher Virenfilter laufen, aber es gibt auch einen Server-Mode, in dem es seine Dienste allen Rechnern im lokalen Netz zur Verfügung stellt. Damit können Sie recht einfach eine rechenstarke Maschine für diese Zwecke abstellen, damit der eigentliche E-Mail-Server nicht die ganze Zeit mit Virenscannen beschäftigt ist. Auf diese Weise lassen sich auch Programme oder Dienste mit Antiviren-Funktionalität ausstatten, ohne auf spezielle Libraries und so weiter zurückzugreifen.

Installieren Sie einfach unter Fedora das Paket »clamav-scanner-sysvinit« beziehungsweise auf Debian »clamav-daemon« , und der Clam-AV-Service startet immer automatisch. Für den Netzwerkzugriff editieren Sie »clamd.conf« und kommentieren die entsprechenden Zeilen aus:

TCPSocket 3310
TCPAddr 127.0.0.1

Wenn Sie auf eine Sache achtgeben müssen, dann ist das die Aktualität der Antivirus-Signatur-Datenbank. Bei Fedora übernimmt dies das Paket »clamav-update« , auf Debian ist es »clamav-freshclam« . Die Pakete enthalten ein Binary namens »freshclam« , das die Updates herunterlädt und sie in die bestehende Signaturen-Datenbank integriert.

Zum Konfigurieren editieren Sie »freshclam.conf« . Sie müssen mindestens den »Example« -Abschnitt zu Beginn der Datei auskommentieren und den Eintrag »DatabaseMirror« auf einen Clam-AV-Mirror zeigen lassen:

DatabaseMirror db.ca.clamav.net

Schließlich können Sie einen Freshclam-Eintrag in die systemweiten Crontab-Dateien einfügen, damit er regelmäßig abläuft und Sie über das Ergebnis benachrichtigt:

0 * * * * /usr/bin/freshclam | mail -s "freshclam update info" admin@example.org

Alternativ verwenden Sie für Letzteres das Kommando »OpUpdateExecute« in »freshclam.conf« .

Noch eine Warnung: Nach der Installation und dem ersten Start arbeitet der Clamd-Server vermutlich mit einer veralteten Datenbank. Um sicherzustellen, dass Clamd mit den neuesten Virensignaturen arbeitet, konfigurieren Sie Freshclam so, dass es ein Reload-Kommando verschickt. Dazu ändern Sie den »NotifyClamd« -Parameter und »freshclam.conf« so, dass er auf das passende Config-File für Clamd zeigt. Mit

NotifyClamd /etc/clamd.d/scan.conf

zum Beispiel erreichen Sie dies bei einem Fedora-System.

Einbau in Sendmail

Vor einigen Jahren mussten man für Filterfunktionen in Sendmail sich noch mit »sendmail.mc« herumschlagen, dieser unlesbaren Ausgeburt einer Konfigurationsdatei. Glücklicherweise ist das Geschichte, seit Sendmail die Milter-Schnittstelle implementiert hat, über die sich die meisten Aktionen wie Ablehnen von Verbindungen, Mails oder Empfängern, das Hinzufügen und Löschen von Headern, Umschreiben des Mailbody und so weiter realisieren lassen.

Auch die Sendmail-Alternative Postfix hat eine Milter-Schnittstelle, sodass sich jedes Milter-fähige Programm mit beiden Mailservern verwenden lässt. Die Kommunikation mit ClamAV kann dabei entweder über einen Unix-Socket oder TCP laufen. Die TCP-Anbindung ist sehr einfach, wenn Clamd auf dem Standardport 3310 läuft. In Sendmail müssen Sie dann nur noch die folgende Zeile in »sendmail.mc« hinzufügen:

INPUT_MAIL_FILTER(`clamav', `S=inet:3310@127.0.0.1, F=, T=S:4m;R:4m')dnl

Nach einem Rebuild von »sendmail.mc« und einem Neustart von Sendmail steht die Funktion dann bereit. Mit Postfix ist es etwas komplizierter, die Website [3] gibt eine kurze Anleitung. Wer ClamAV nicht in den Mailclient integrieren möchte, kann Clam SMTP [4] auch als Proxy zum Mailfiltern verwenden.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe /2014

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit Rex
  • mit anderer Konfigurationsmanagement-Software