Linux E X P R E S

Facebook

Antivirový systém AVG pro linuxové servery

Antivirový systém AVG české firmy Grisoft je známý téměř každému uživateli počítače v naší malé zemičce. I za jejími hranicemi a dokonce za "Velkou louží" si vede velmi dobře, pravidelně se umisťuje na čelních pozicích testů antivirových systémů a postupně se snaží proniknout i na pole boje s dalším nežádoucím softwarem, jako je spyware a podobná havěť.


Již několik let používám na poštovních serverech osvědčenou kombinaci Postfix + ClamAV + SpamAssassin a dlouho jsem se nesetkal s tím, že by některý virus, šířený pomocí e-mailu, pronikl na stanice uživatelů (pro jistotu ale 3x klepu na imaginární dřevo). Co by, nedejbože, nezachytil ClamAV, spolehlivě polapí SpamAssassin. Před tím, než jsem se pustil do testování AVG pro linuxové servery, pokusil jsem se najít důvody, které by mě, jako majitele firmy, mohly vést k nemalé investici do komerčního řešení firmy Grisoft.

Dlouhá léta byly produkty firmy určeny výhradně pro operační systémy Windows. Před nedávnem však byly uvedeny verze i pro linuxové servery a dokonce pro linuxové pracovní stanice. Zatímco ve světě Windows na kvalitní open-source serverové antivirové řešení takřka nenarazíte, pro Linux naopak existuje vynikající a velice rozšířený antivirový systém ClamAV, který představuje velkou výzvu pro všechny tvůrce komerčních produktů. Co zajímavého tedy může nabídnout AVG Linux Email Server edice? Na to se pokusí odpovědět tento článek.

Pokud jsem se snažil uvažovat jako manažer, napadly mě hlavně tyto tři důvody:

  1. záruka osvědčeného řešení známé softwarové firmy;
  2. technická podpora;
  3. záruka dalšího vývoje produktu.

K uvedeným třem důvodům jsem přidal ještě několik dalších, které jsou důležité z pohledu správce serveru: 1.možnost využití on-access skeneru na souborovém serveru;
2.rychlé vydávání aktualizací;
3.stahování aktualizací ze sítě serverů s velmi rychlým přístupem;
4.filtrování dalšího potenciálně nebezpečného softwaru.

Vedení středních a velkých firem z výše uvedených tří důvodů často upřednostňuje komerční řešení, a také možnost použití AVG spolu s Lotus Domino nebo Kerio Mailserverem může být rozhodujícím kritériem při výběru tohoto antivirového systému.

Při testování jsem zůstal věrný svému oblíbenému Postfixu – i když spravuji jeden server s Lotus Domino, testovat AVG na stroji v ostrém provozu mi připadalo poněkud riskantní.

Stažení a instalace

Na stránkách firmy Grisoft lze najít dva typy balíčků ke stažení, buď rpm, nebo tar.gz. Protože jsem pro testování použil distribuci Debian Sarge, stáhl jsem balíček tar.gz a rozbalil jej. V souboru README jsem si přečetl, jaké knihovny musí můj systém obsahovat, aby vše fungovalo. Debian mě opět nezklamal, měl jsem je nainstalovány všechny. Dále jsem se dočetl, že pro použití on-access skeneru je třeba mít v jádru zaveden modul Dazuko. Jeho zdrojový kód byl u AVG přibalen, proto jsem této kapitole v onu chvíli nevěnoval pozornost. Podle instrukcí k instalaci stačí spustit skript install.sh, tak s chutí do toho.

Pro kompilaci Dazuko lze využít vynikajícího prográmku module assistant. Na stránkách Dazuko je ke stažení připraven deb zdrojový balíček, který stačí pomocí dpkg -i nainstalovat a poté pomocí příkazu m-a a-i dazuko modul zkompilovat. Ten pak lze zavést pomocí příkazu modprobe dazuko. Samozřejmě platí v článku uvedená informace o modulu capability. V posledních balících AVG je modul DAZUKO již v aktuální verzi.

Po nezbytném odsouhlasení spuštění instalace a licenční smlouvy skript správně detekoval mou distribuci. Poté bylo možné zvolit uživatele a skupinu, pod kterou AVG poběží – nechal jsem výchozí hodnotu. Dalším krokem byl souhlas s vytvořením adresáře pro instalaci AVG, ten se vytváří v /opt/grisoft. Dále jsem musel odsouhlasit vytvoření všech ostatních čtrnácti (!) podadresářů. To je jediné místo, které bych instalačnímu skriptu vytkl, jeden souhlas by myslím bohatě stačil. Dalším krokem bylo vytvoření symbolických odkazů do adresářů /usr/bin a /etc/init.d.

Po ukončení instalace jsem provedl aktualizaci virové databáze, k tomu slouží příkaz avgupdate -o, kde parametr -o znamená aktualizace online, tedy z internetu. Další možnosti, jak AVG aktualizovat (například offline pomocí ručně staženého souboru) a ostatní parametry, získáte pomocí příkazu avgupdate -h .

Po vytvoření skriptu pro odinstalování zbývalo už jen zobrazení README souboru a výzva, zda chci AVG zaregistrovat (tím bylo myšleno zadání registračního kódu). Po mé kladné odpovědi skript bez dalších otázek použil licenční kód pro zkušební verzi a oznámil mi, že na vyzkoušení mám 30 dnů. Tím byla instalace dokončena. Protože jsem měl pro účely testování zapůjčen platný registrační kód, zadal jsem jej příkazem:

# avgscan -register XXXXXX-XXXXXX-XX-XX-XXX-XXXXXX-XXX-XXXX

a na oplátku jsem obdržel informaci:

AVG7 Anti-Virus command line scanner
Copyright (c) 2005 GRISOFT, s.r.o.
Verze programu 7.1.23, jádro 718
Virová databáze: Verze 268.0.0/266  2006-02-21
Předchozí registrované číslo: XXXXXXX-XXXXX-XX-XXX-XX-XXX
Typ licence je FULL pro SERVER.
Den expirace: 27. 3. 2008

Přehled všech parametrů programu avgscan získáte zadáním příkazu # avgscan -h .

Test command line skeneru

Nyní byl systém AVG připraven pomocí testu, spouštěného z příkazové řádky, odhalovat viry uložené na lokálních discích mého počítače. Stáhl jsem si všechny varianty známého testovacího „viru“ EICAR a spustil test příkazem:

# avgscan -scan -heur -arc -rt -clean /home/tomas/Desktop

kde jednotlivé parametry příkazu říkají, že má program provést skenování, přitom použít heuristickou analýzu pro odhalení zatím neznámých virů, kontrolovat archivy a run-time komprimované soubory a nalezené viry odstranit. Po chvíli jsem obdržel následující informaci o nalezených virech:

/home/tomas/Desktop/eicar.com  Identifikován virus EICAR_Test OK
/home/tomas/Desktop/eicar_com.zip             Identifikován virus EICAR_Test OK
/home/tomas/Desktop/eicarcom2.zip:\eicar_com.zip:\eicar.com  Identifikován virus EICAR_Test
/home/tomas/Desktop/eicarcom2.zip  Identifikován virus EICAR_Test
Otestováno: 233 souborů, 0 sektorů
Infekcí: 3
Počet chyb: 0

K mému překvapení nebyl nalezen soubor eicar.com.txt, tedy soubor s dvojí příponou. Ten byl program schopen detekovat až ve chvíli, kdy byl spuštěn s parametrem -ext=*, který mu říkal, aby prohledával soubory se všemi příponami. Což mě u linuxového programu dost překvapilo, protože, jak známo, ve světě unixových systémů hrají přípony mnohem menší roli než ve Windows.

Program sice detekoval soubor eicarcom2.zip, což byl 2x zazipovaný soubor eicar.com, ale neodstranil jej, i když to měl přikázáno parametrem -clean. Přitom jednou zazipovaný eicar.com bez potíží odstranil. Toto lze považovat za celkem závažnou chybu, která snad bude v budoucnu odstraněna. Co se týká vytížení systému při skenování, vykazuje činnost command line skeneru mnohem nižší systémové nároky než jeho kolega pro Windows.

Léčení ZIPu – pokud archiv obsahuje pouze infikovaný soubor, je smazán. Pokud archiv obsahuje více souborů vedle infikovaného, není možné v reálném čase archiv rozbalit, smazat infikovaný soubor a ostatní soubory opět korektně zabalit. Poznámka redakce.

Test on-access skeneru

On-access skener, tedy obdoba toho, co známe z verze pro Windows pod názvem rezidentní štít, slouží ke kontrole souborů při práci s nimi. Pro tento účel AVG využívá produkt třetí strany, jaderný modul Dazuko. Ten je ve staženém instalačním balíčku přiložen ve formě zdrojového kódu. Je tedy nutné jej nejprve zkompilovat. Rozbalil jsem zdrojový kód a pomocí skriptu configure a příkazu make provedl kompilaci. Provádění make však skončilo s chybou. Když jsem navštívil domovské stránky Dazuko, zjistil jsem, že verze, přibalená u AVG je poněkud zastaralá. Stáhl jsem tedy nejnovější verzi, rozbalil ji a provedl kompilaci. Nyní již vše proběhlo bez potíží, takže jsem se pokusil zkompilovaný modul zavést pomocí příkazu

# insmod ./dazuko.ko

což opět končilo chybou a informací o neplatném parametru modulu. Zabrousil jsem tedy opět na stránky projektu a objevil informaci o problémech se zaváděním dazuko při současně zavedeném modulu capability. Nejprve je nutné z jádra modul capability odstranit a teprve poté zavést dazuko. Vyzkoušel jsem tedy:

# modprobe -r capability
# insmod ./dazuko.ko
# modprobe capability

Nyní vše proběhlo bez potíží. Sice to není vina firmy Grisoft, ale myslím si, že by zmínka o této situaci měla být rozhodně uvedena v README souboru v instalačním balíčku. Aby byl on-access skener funkční po startu systému, je třeba kouzla s moduly provést ještě před spuštěním AVG démonu (například pomocí inicializačního skriptu). Dalším krokem před samotným testem byla úprava konfiguračního souboru /etc/avg.conf, kde je možné nastavit, při jakých akcích mají být soubory testovány. Na výběr máme v sekci [OnAccessScanner] tyto možnosti:

  • scanOnOpen – kontroluje při otevírání souboru
  • scanOnExec – kontroluje při spouštění souboru
  • scanOnClose – kontroluje při zavírání souboru
  • scanonclosemodified – kontroluje při zavírání změněného souboru

Dále je potřeba v téže sekci nastavit adresáře, ve kterých se má on-access kontrola provádět. K tomu je určena položka includePath s tím, že je povinný minimálně jeden adresář. Rovněž můžete nastavit pomocí hodnoty excludePath ty adresáře, které naopak kontrolovány být nemají. Ve výchozím nastavení to je z pochopitelných důvodů adresář /proc. Dále je možné zvolit přípony, které nemají být kontrolovány. To se provádí hodnotou excludeFileSuffix. – Zase ty přípony... napadá mě situace, kdy nový linuxový virus využije výchozího nastavení AVG, kde jsou z kontroly vyňaty soubory s příponou .jpg a bude se šířit jako spustitelný soubor „tvářící se“ jako JPEG obrázek... Jakmile je v konfiguračním souboru vše nastaveno, stačí provést restart AVG démonu příkazem /etc/init.d/avgd restart .

Po restartu procesu jsem se snažil otevřít soubor eicar.com několika různými programy, všechny pokusy končily hláškou „Přístup zamítnut“. Dazuko ve spolupráci s AVG démonem prováděl svou práci přesně tak, jak se dalo očekávat. Možná si na tomto místě říkáte, k čemu je v Linuxu takováto funkce dobrá. Je to jednoduché: pokud váš server plní také roli souborového serveru pro stanice s Windows, například s využitím Samby, můžete tak zamezit ukládání virů na server. Některé viry se totiž snaží infikovat i síťové jednotky, na které má napadený systém právo zapisovat. Bohužel musím říci, že on-access skener značně zpomaluje přístup ke všem souborům v kontrolovaném adresáři. Nevím sice, zda je to vinou AVG, nebo modulu Dazuko, ale pokud tuto funkci porovnám s rezidentním štítem ve Windows, kde téměř nelze zpozorovat, že se souborem antivirový systém pracuje, má v tomto bodu linuxová verze co dohánět. On-access skener ale rozhodně není funkcí, kterou by vyžadoval každý správce serveru a v některých situacích jej nelze využít vůbec (což se dozvíte níže).

Test mail skeneru

To hlavní, co AVG pro linuxové servery nabízí, je systém pro kontrolu pošty. AVG podporuje všechny nejrozšířenější linuxové MTA: Qmail, Sendmail, Postfix a Exim. Kromě toho také komerční produkty Lotus Domino a Kerio Mailserver. Jako prostředníka k tomu používá známý, vysoce konfigurovatelný mail virus skener AMaViS, který umí spolupracovat se slušnou řadou open-source i komerčních antivirových systémů, navíc jej lze použít i k vyhledávání spamu, například ve spolupráci s excelentním SpamAssassinem.

MTA – Mail Transfer Agent, program, jehož jediným úkolem je přenos elektrotechnické pošty. Pracuje zcela nepozorován, uživatel s ním do styku nepřijde. Příklady konfigurace pro jiné MTA než Postfix naleznete v dokumentaci AVG a AMaViSu.

Je možné použít buď klasický AMaViS, nebo jeho novější a výkonnější variantu, démon amadisd-new, což je doporučeno i v README souboru AVG. Já jsem amavisd-new nainstaloval pomocí apt-get a provedl základní úpravy konfiguračního souboru /etc/amavis/amavisd.conf. Je zde třeba nastavit některé údaje o doméně a také o tom, co se má se zavirovanou poštou provést. Rovněž je možné nastavit, zda a kdo má být informován o tom, že pošta obsahovala virus. Aby amavisd-new uměl AVG použít, je třeba přidat do sekce av_scanners:

['AVG Anti-Virus',
\&ask_daemon, ["SCAN {}\n", '127.0.0.1:55555'],
qr/^200/, qr/^403/, qr/^403 .*?: (.+)/ ],

což AMaViSu sdělí, že má pro skenování používat démon, který poslouchá na portu 55555. Číslo portu lze změnit v souboru /etc/avg.conf.

To, zda na zadaném portu AVG démon skutečně naslouchá, lze ověřit pomocí telnetu; po zadání příkazu telnet localhost 55555 by měl následovat výpis

Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
220-AVG7 Anti-Virus daemon mode scanner
220-Verze programu 7.1.24, jádro 386
220-Virová databáze: Verze 268.5.1/327  2006-04-28
220 Připraven

Nyní je třeba restartovat démon amavisd-new pomocí příkazu

# /etc/init.d/amavisd restart

Jeho funkčnost lze rovněž otestovat dotazem telnetu na port 10024, kde by, pokud je konfigurace správná, měl odpovědět amavisd-new.

Dále bylo potřeba nakonfigurovat Postfix. Do konfiguračního souboru /etc/postfix/main.cf jsem přidal řádek:

content_filter=smtp-amavis:[127.0.0.1]:10024
a do souboru /etc/postfix/master.cf:
smtp-amavis unix -      -       n       -       2  smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes
-o max_use=20
127.0.0.1:10025 inet n  -       n       -       -  smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

Poté bylo potřeba znovu načíst konfiguraci Postfixu příkazem

# /etc/init.d/postfix reload

Nyní by mělo být vše připraveno k tomu, aby AVG kontroloval veškerou poštu, kterou SMTP démon Postfixu bude zpracovávat. Odeslal jsem několik e-mailů jak bez příloh, tak s různými variantami EICARu. AVG bylo ve spolupráci s amavisd-new schopno detekovat a zablokovat doručení všech variant zavirovaných příloh. Podívejme se, jak vypadá hlavička e-mailu, který virus neobsahoval:

To: Tomas Klos 
Subject: pokus1
From: root 
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at sound.tkl.cz
Pokud e-mail virus obsahoval a v konfiguraci amavisd-new bylo nastaveno, že má adresáta o viru informovat, vypadala doručená zpráva následovně:
From: amavisd-new 
Subject: VIRUS ( Identifikován virus EICAR_Test^M)
To: tomas@localhost
A virus ( Identifikován virus EICAR_Test^M) was found.
Scanner detecting a virus: AVG Anti-Virus
The mail originated from: <>
Notification to sender will not be mailed.
The message WILL NOT BE delivered to:
:
550 5.7.1 Message content rejected, id=14400-02 - VIRUS:  Identifikován virus EICAR_Test^M
Virus scanner output:
220-AVG7 Anti-Virus daemon mode scanner
220-Verze programu 7.1.24, jádro 386
220-Virová databáze: Verze 268.5.1/327  2006-04-28
220 Připraven
403 Soubor 'part-00002' je infikovaný:  Identifikován virus EICAR_Test
Not quarantined.
------------------------- BEGIN HEADERS -----------------------------
Return-Path: 
Received: by sound.tkl.cz (Postfix, from userid 0)
id EFD5116109A; Sat, 29 Apr 2006 19:55:52 +0200 (CEST)
Date: Sat, 29 Apr 2006 19:55:52 +0200
To: Tomas Klos 
Subject: pokus2
Message-ID: <20060429175552.GA14520@sound_tkl_cz>
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="KsGdsel6WgEHnImy"
Content-Disposition: inline
User-Agent: Mutt/1.5.9i
From: root@sound_tkl_cz (root)

Testování tedy proběhlo úspěšně, AVG plní svou úlohu při zpracování pošty výborně. Je samozřejmě možné nastavit AMaViS tak, aby žádná upozornění nerozesílal, což doporučuji. Rovněž je rozumné zrušit ukládání zavirovaných e-mailů do karantény, ta by totiž mohla časem nabýt úctyhodných rozměrů a zabírat tak cenné místo na disku.

Zvýšení bezpečnosti pomocí použití unixového socketu

AVG nabízí kromě využití TCP portu ještě jednu možnost. AVG démon lze spustit pod stejným uživatelem jako amavisd-new a pro komunikaci s ním použít unixový socket. Aby tato varianta fungovala, je třeba odkomentovat v souboru /etc/avg.conf položku unixSocketName, případně změnit její hodnotu, která je ve výchozím nastavení /tmp/avg.sock. Pokud je tato položka odkomentována, získává unixový socket automaticky vyšší prioritu a TCP port není otevřen. Dále je potřeba v inicializačním skriptu /etc/init.d/avgd změnit hodnotu SUSER z výchozího root na stejného uživatele, pod kterým běží amavisd-new. Toho lze najít nebo změnit v konfiguračním souboru /etc/amavis/amavisd.conf. Zde je také potřeba změnit v sekci av_scanners dříve uvedenou část, týkající se AVG, na:

['AVG Anti-Virus',
\&ask_daemon, ["SCAN {}\n", '/tmp/avg.sock'],
qr/^200/, qr/^403/, qr/^403 .*?: (.+)/ ],

kde je nutné samozřejmě nastavit cestu k socketu shodně s hodnotou v konfiguračním souboru AVG. Poté zbývá oba démony restartovat:

# /etc/init.d/avgd restart
# /etc/init.d/amavisd restart

Nyní spolu AVG a amavisd-new komunikují pomocí unixového socketu. Toto řešení však má jeden malý háček. Pokud totiž AVG démon neběží pod účtem superuživatele, nemůže využívat jaderný modul Dazuko, takže nelze používat on-access skener. Správce serveru je postaven před nepříjemnou volbu: buď upřednostnit vyšší bezpečnost kontroly pošty bez možnosti využít on-access skener, nebo snížit zabezpečení systému spouštěním AVG démonu pod účtem superuživatele a otevřením dalšího TCP portu. Toto rozhodování se ovšem týká jen případů, kdy poštovní server slouží zároveň jako server souborový.

Rovněž možnost použití on-access skeneru na souborovém serveru je příjemnou vlastností, která může ztížit nebo zcela zamezit šíření proniknuvšího viru po firemní síti. Pro mnoho správců bude jistě příjemným zjištěním, že si s nimi AVG povídá česky.

Celkový dojem

Na závěr jsem si nechal své subjektivní zhodnocení AVG pro linuxové servery. I přes drobné výhrady, kdy je patrné dědictví dlouhého vývoje pro Windows (například ony přípony), mám z produktu velmi dobrý dojem. Instalace je jednoduchá, konfigurace přehledná. Pokud bych se rozhodl pro použití na již běžícím poštovním serveru, nečekala by mě pravděpodobně žádná nemilá překvapení a přechod by proběhl hladce, bez zbytečných výpadků služeb.

Schopnost AVG detekovat i „potenciálně nežádoucí programy“ (osobně si pod tímto ne zcela jasným pojmem představím spyware a snad i rootkity) rozšiřuje schopnosti systému nad rámec běžného antivirového řešení a spolu s ověřeným testovacím jádrem, technickou podporou a rychle a spolehlivě dostupnými aktualizacemi z něj dělá horkého kandidáta pro nasazení do firemního prostředí. Pokud koupi komerčního linuxového antivirového řešení zvažujete, AVG určitě vyzkoušejte.

Diskuze (5) Nahoru