Вопрос антивирусов в Линукс

 

(программа доступна в репозиториях АльтЛинукс).

Также в рамках сведений о безопасности системы, включающих и вопрос о сетевой безопасности, приведены некоторые заметки на тему "почему в Linux нельзя работать под root".

1. Некоторые способы защиты системы

Вирусы, в общем-то, не проблема в Linux, но все равно лучше предохраниться. Самая популярная антивирусная программа под Linux – ClamAV (http://www.clamav.net) (...). ClamAV хорошо распознает вирусы и Windows, и Linux, поэтому, скомбинировав его с модулями расширений для самых популярных почтовых программ, Вы можете быть уверены, что никакие вредные вложения не достигнут Windows через вашу почту в Linux.

В Linux брандмауэр трактуется иначе, чем в Windows. Отсутствие шпионских программ и практическая невозможность встраивания их в программы с открытым исходным кодом означают, что основная задача – это предотвращение вторжений. В Linux ПО фильтрации сети встроено в ядро, а различные брандмауэры дают более или менее простые способы создания, проверки и применения правил фильтрации. Есть несколько заслуживающих рассмотрения пакетов  (...): Firewall Builder (http://www.fwbuilder.org), Guarddog(http://www.simonzone.com/software/guarddog) и Shoreline Firewall (http://www.shorewall.net). Первый – это Qt-программа, хорошо вписывающаяся в рабочий стол по умолчанию KDE; Guarddogявляется приложением GTK+. Они предлагают аналогичные функции, но разные подходы.Shoreline Firewall – программа на основе скриптов, безусловно, трудная при первой установке, но обеспечивающая большую гибкость. Любая из них способна защитить вашу систему, поэтому стоит установить их и посмотреть, какая вам больше всего понравится.

Вы также должны уменьшить шансы «захватчиков» вообще добраться до брандмауэра. Ваш маршрутизатор является первой линией обороны, так что отключите те порты, которые вы не используете. Отключите также все неиспользуемые службы (...) но будьте осторожны: некоторые из них необходимы для нормальной работы компьютера. Если вы не уверены, отключайте сервисы по одному и смотрите, что у вас получилось, чтобы в случае проблем можно было включить их обратно. Хотя Linux по своей сути безопаснее, чем Windows, не нужно слепо на него полагаться – Linux-программы также могут иметь уязвимости. Они, как правило, оперативно исправляются, так что регулярно обновляйте свою систему. Четыре шага: блокировки на маршрутизаторе, отключение ненужных служб, запуск брандмауэра и постоянное обновление ПО – означают, что вы можете спокойно пользоваться Интернетом, не подвергаясь опасности.

Источник: wiki.linuxformat.ru

2. Как использовать ClamAV

Если злонамеренная программа (malware = malicious software) не может войти в «переднюю дверь», она попытается найти другой путь.Лучший способ защититься от таких атак – это использование антивирусных программ. Существует замечательный антивирус, распространяемый по лицензии GPL, - ClamAV, который работает либо в командной строке, либо непосредственно из вашего почтового клиента.

Вы можете решить, что открытый анти- вирус, без пресловутого коммерческого «движителя», заставляющего побеждать в борьбе с угрозами безопасности, не может обеспечить такую же защиту, как платные продукты. На самом же деле, команда раз- работчиков ClamAV практически столь же надежна, как и коммерческие поставщики, делая ClamAV превосходным решением для большинства пользователей Linux.

Чтобы запустить его на своем компьютере, вам нужно сначала установить пакет (rpm, deb), либо скачать последнюю версию с сайта ClamAV (http://www.clamav.net). Самостоятельная компиляция выполняется легко, но предварительно вам нужно будет создать пользователя clamav, и после инсталляции сделать файлы данных доступными для этого пользователя:

 useradd clamav
 groupadd clamav
 cd clamav-0.86.1/
 ./configure –prefix=/usr
 make install
 chown –R clamav /usr/share/clamav

Вам также потребуется отредактировать пару конфигурационных файлов: /usr/etc/clamd.conf и /usr/etc/freshclam.conf. Самая важная вещь – удалить или закомментировать строку Example в обоих файлах. В clamd.conf нужно проверить параметры User, LocalSocket, LogFile, LogFileMaxSize и ArchiveMaxFileSize; в то время как в freshclam.conf отрегулируйте UpdateLogFile, DatabaseOwner, DatabaseMirror и Checks.

Вы обнаружите, что значения параметров по умолчанию работают в большинстве случаев, за исключением DatabaseMirror, в который следует вставить код вашей страны (например, UK).

теперь создайте пару нужных файлов и директорий, и убедитесь, что они доступны для пользователя clamav:

 mkdir /var/lib/clamav
 chown –R clamav:clamav /var/lib/clamav
 touch /var/log/freshclam.log
 chown clamav:clamav /var/log/freshclam

теперь вы сможете скачать последнюю базу вирусных описаний (сигнатур), выполнив в терминале команду freshclam. Если она будет успешно запущена, вы должны увидеть что-то похожее:

 ClamAV update process started at Fri Jul 22 09:39:37 2005
 Downloading main.cvd [*]

Наконец, запустите оба демона ClamAV, выполнив команды freshclam –d и clamd.

Сканирование отдельных файлов выполняется с помощью команды clamscan, и вы можете убедиться, что все работает правильно, просканировав каталог test, содержащийся в скачанном архиве. Если все работает правильно, вы должны увидеть такие строки:

 # clamscan clamav-0.86.1/test
 -----------SCAN SUMMARY----------
 Known viruses: 36088
 Engine version: 0.86.1
 Scanned files: 7
 Infected files: 5
 Data scanned: 0.00 MB
 Time: 1.101 sec (0 m 1 s)

Это не займет много времени, и описанные усилия будут полностью оправданными.

Источник: wiki.linuxformat.ru

 

3. Поиск и удаление вирусов с помощью ClamAV LiveCD

В моей практике возникали и все чаще возникают ситуации, когда попавший в мои руки компьютер заражен вирусами, а антивирусное ПО не установлено, не обновляется, вирус не дает запустить его или вовсе не загружается операционная система (нужное подчеркнуть). Благодаря Brandon Perry, моя жизнь стала легче - на базе Ubuntu Linux он собрал ClamAV LiveCD, который позволяет найти и удалить вирусы с таких компьютеров, причем независимо от того, какая операционная система установлена на них. Я привожу вольный перевод инструкции автора (оригинал здесь: http://www.volatileminds.net/projects/clamav/tutorial.html ) по борьбе с вирусами на машинах с Windows. ISO образ диска можно взять на этой странице:http://www.volatileminds.net/projects/clamav/ . Как загрузить и записать образ на болванку я описывать не стану - лень. Когда-же вы получите такую болванку, убедитесь, что ваш компьютер поддерживает загрузку с CD, имеется подключение к интернет и IP-адреса и прочие сетевые настройки раздаются автоматически, затем переходите к нижеследующим инструкциям.

1. Загрузитесь с ClamAV LiveCD.

2. После появления приглашения системы нажмите - появится экран меню (с картинкой).

3. Для загрузки системы на первой строчке нажмите .

4. Обновите антивирусные базы (необходимо, чтобы компьютер был подключен к Интернет), для чего в командной строке введите:

sudo freshclam

дождитесь завершения обновления антивирусной базы.

5. Теперь нужно получить список доступных разделов на жестком диске:

sudo fdisk -l

         Disk /dev/sda: 500.1 GB, 500107862016 bytes
         255 heads, 63 sectors/track, 60801 cylinders
         Units = cylinders of 16065 * 512 = 8225280 bytes
         Disk identifier: 0x75c23744
         Device Boot Start End Blocks Id System
         /dev/sda1 * 1 23719 190514835 7 HPFS/NTFS
         /dev/sda2 23719 60801 297868173+ f W95 Ext'd (LBA)
         /dev/sda5 23719 23981 2103491 82 Linux swap / Solaris
         /dev/sda6 * 23981 26591 20972826 83 Linux
         /dev/sda7 26592 60801 274791793+ 83 Linux

В результате выполнения команды будет выведена информация о параметрах диска, установленного в ваш компьютер и список разделов на этом диске. Для продолжения нас будут интересовать имена устройств разделов (/dev/sda1 и /dev/sda2 для моего случая) и типы файловых систем, в которых отформатированы эти разделы (HPFS/NTFS - для NTFS раздела, и W95 - для FAT32 раздела)

6. Смонтируйте раздел, который необходимо проверить:

для Windows раздела в формате NTFS:

sudo mount -t ntfs-3g /dev/sda1 /mnt

или, для раздела FAT:

sudo mount -t vfat /dev/sda2 /mnt

В вашем случае результат команды fdisk будет отличаться - подставьте ваши данные в соответствующих опциях команды mount.

7. Запустите проверку с удалением файлов с вирусами:

sudo clamscan -i -r --remove /mnt

Проверка может занять значительное время, которое зависит, в частности, от таких факторов, как: количество и объем файлов в разделе, производительность процессора, объем доступной оперативной памяти на вашем ПК.

 

Источник: opennet.ru

4. Вирусы под Linux

Для Windows существует 350000 угроз, а для Linux только около 100. Но если вы думаете, что это позволит вам расслабиться, лучше подумайте еще раз...

Как вам уже десятки раз говорилось, у Linux есть ряд широко известных свойств, защищающих его от большинства вирусов:

1. Большинство людей пользуются правами root крайне редко.

2. Первичным источником приложений является менеджер пакетов, снабжающий нас проверенными программами.

3. Web-браузеры и почтовые клиенты под Linux исключительно разнообразны; это гарантирует, что одна зловредная программа не сумеет распространиться и заразить машины повсюду.

4. Программы в локальном каталоге нельзя запустить, не поставив ./ в командной строке.

5. Файлы, скачиваемые из Интернета, по умолчанию не являются исполняемыми – вам нужно еще сделать их таковыми, чтобы они могли запуститься.

Но даже с учетом этих факторов вирусов все еще следует остерегаться, так как единственное слабое место в вашей системе – в частности, там, где используется бит setuid – может оказаться опасным. Мы поговорили с Фрэзером Говардом [Fraser Howard], ведущим исследователем вирусов в Sophos, и он сказал: «Когда дистрибутив завоевывает популярность, наивная вера в безопасность своей машины и в то, что ей не нужна ручная настройка, опасна уже сама по себе. Хороший пример – Asus Eee PC: он бойко продавался под Рождество, под лозунгом «легко изучить, легко использовать», но содержал уязвимость, которая шее исправление безопасности – это бесполезное исправление».

Давайте рассмотрим риски по вирусам, которые могут касаться именно вас...

У вас двойная загрузка с Windows

Если вы один из тех, кто пользуется двойной загрузкой с Windows, обмениваясь файлами через раздел FAT, то все они беззащитны перед вирусами для Windows. Конечно, у Linux к таким вирусам иммунитет, но она может оказаться их переносчиком для вашей установки Windows. А зараженный файл, скопированный на раздел Linux, не исцелится по волшебству и не станет безопасным для использования в Linux. При наличии кросс-платформенных программам – Mono, Java, Python или PHP – вирусы могут стать такими же опасными, как и для Windows [*если вы самостоятельно и возможно даже вполне осознано запустите их на исполнение. Для снижения риска случайных запусков всегда монтируйте файловые системы FAT и NTFS с опцией noexec]

Linux служит как прокси для Windows

Обычная ситуация в мире бизнеса – когда настольные компьютеры работают под Windows или OS X, но серверы, предоставляющие связь с Интернетом (маршрутизаторы), web (прокси), почту и сетевые файлы, работают под Linux. Да, приятно ощущать, что вирусная защита, запущенная на настольных машинах, более чем способна отразить любые угрозы, исходящие от почты, но фишка в том, что иметь несколько уровней безопасности лучше, чем один. Скан вирусов на Linux-серверах плюс скан машин под Windows повышает шансы обнаружить заразу, в особенности при антивирусных программах от разных разработчиков!

Опять-таки, помните, что существует проблема переноса вирусов из Linux в Windows, так что ваш антивирусный сканер под Linux обязан уметь обнаруживать вирусы для обеих ОС.

Вы скачиваете двоичные программы

В эпоху менеджеров пакетов многие из нас устанавливали свои приложения как двоичные пакеты. Но все большее число приложений представляется на официальных сайтах в скомпилированной форме – например, OpenOffice.org, Firefox, Thunderbird, а также все приложения из Autopackage – и они часто устанавливают себя в домашний каталог или в /opt. Конечно, многие из них заслуживают доверия, но Autopackage может прийти из любого места, и по жизни доверять ему нельзя.

[* поэтому выбирайте одного или нескольких поставщиков ПО которым вы довереяте и пользуйтесь только их репозиториями программного обеспечения]

Вы становитесь root чаще, чем думаете

Хотите сменить язык? Изменить разрешение экрана? Задать время? Каждое из этих действий – а также более очевидные задачи, типа установки устройств и добавления приложений – требует работы от имени root, и запросто можно так привыкнуть вводить пароль, что это станет второй натурой. Предполагая, что людям нравится скакать под root и обратно, многие руководства по компиляции приложений даже предлагают выполнить такую команду: ./configure && make && sudo make install.

ClamAV

Если у вас двойная загрузка или работа в качестве прокси для Windows-машин, если вы скачиваете с сайтов двоичные программы, и даже если вы обеспокоены частым использованием root-доступа, обязательно установите антивирусную программу. В мире свободного ПО всех популярнее ClamAV: он быстрый, бесплатный и справляется с вирусами и для Windows, и для Linux. Скорее всего, он найдется в вашем менеджере пакетов, но убедитесь, что скачаны последние описания вирусов!

[* Следует также заметить, что ClamAV к сожалению может только детектировать вирусы но лечить их увы не может]

Источник: wiki.linuxformat.ru

5. Почему все говорят, что нельзя сидеть под root'ом?

A root вам скорее всего не нужен.

Точно так же, как системные администраторы делятся на тех, кто уже делает бэкапы и тех, кто ещё нет, пользователи делятся на тех, кто ещё сидит под root'ом и тех, кто уже нет.

Итак, вы поставили себе Linux и первое время не вылезали из-под рута - пока все настроили, пока что-то сломали и заново восстановили. И вот теперь ваша система прекрасно работает, вам удобно и вроде все замечательно. Так зачем же переходить пользователя? Тем более, вы один сидите за компьютером? К тому же:

· Вы не дебил и вряд ли нажмете что-то не то. Вы контролируете ситуацию.

· Под Linux нет вирусов.

Я (jackill) могу рассказать, зачем.

· Права у root в Linux намного выше прав администратора Windows. Вы можете убить любой процесс и уничтожить любой файл и работающую программу и никто не скажет вам "а-та-та, нельзя это трогать - мы это используем". Считается, что вы достаточно эксперты без электронных нянек и знаете что делаете.

· Вы не контролируете ситуацию. Показанная для смеха другу строчка с rm -rf / в терминале может быть случайно вызвана промоткой истории и запущена чисто на автомате. НИКТО НЕ КОНТРОЛИРУЕТ СИТУАЦИЮ ДО КОНЦА, помните это.

· Я вас разочарую насчет вирусов - их-то нет, зато черви и трояны имеются по полной программе. И многие хотели бы запуститься с правами рута, а не пытаться превысить привилегии с помощью эксплоитов, работающих не на каждом ядре. Выцепить из системы трояна довольно проблематично. И придется вам свое настроенное чудо оплакать и настраивать все заново.

· Вы не дебил. И я не дебил. Каждый думает, что уж он-то наверняка не дебил, не маша-растеряша и уж с ним-то точно ничего не случится. У меня "ничего не случится" произошло через два с половиной года использования Linux. Умерло все. Одна неосторожно запущенная команда. Многие пали жертвой хитрого перлового скрипта (поищите на форуме LOR), в котором содержалась просьба запустить скрипт и проверить, почему он выпадает с ошибкой. В нем был замаскирован любимый rm -rf /. Не поддавайтесь человеческой природе - не будьте самоуверены.

· Все, с чем вы работаете, может прекрасно работать и под пользователем. Возможно на некоторые программы придется выставить дополнительные разрешения. Но в случае дыры в программе или при запуске левого скрипта/трояна последствия будут не столь разрушительными или же последствий не будет вообще.

Ну если не убедил, пользуйтесь. Когда вспомните о модели безопасности, где нет места постоянной работе под рутом, будет поздно.

Как вообще не использовать root в задачах, где требуются права администратора?

Откройте для себя sudo, в отличии от su sudo требует ввода пароля пользователя, а не root. Во многих дистрибутивах sudo уже разрешен для пользователей, входящих в группу wheel. В этом случае ничего настраивать не надо, нужно только добавить себя в эту группу. Если же нет, то запускаем visudo и дописываем:

artem   ALL=(ALL) ALL

В /etc/sudoers так же можно прописать только программы, которыми вам придется пользоваться с полными правами. Обычно их немного и на том же десктопе они требуются не столь часто:

jackill ALL=/sbin/hdparm,/bin/mount,/bin/umount,/sbin/ifconfig,/sbin/fdisk/

Соответственно, выполняем программу, например, так:

sudo /sbin/mount -l
 
 Источник: linux.org.ru/wiki