Virenschutz auch unter Linux

Erstmal vorweg: Ich will hier keine Grundsatzdiskussion auslösen, ob Linux nun einen Virenschutz braucht oder nicht. Auf allen meinen Servern installiere ich einen Virenschutz, ob dieser nun gebraucht wird oder nicht.

Und da ich mit Xymon (siehe früherer Artikel) den ClamAV Daemon überwachen kann, werden meine eigenen Server nun auch mit dem ausgestattet.

Die Installation von ClamAV ist dank den Paketquellen äußerst simpel:

1
sudo apt-get install clamav clamav-daemon

Danach kann man die Konfiguration des Daemons starten:

2
sudo dpkg-reconfigure clamav-base

Hier wird man schön durch die einzelnen Schritte geführt. Meistens waren die Standardeinstellungen schon ausreichend, dies liegt aber ganz im Ermessen des Admins:

3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Automatische Verwaltung der Konfigurationsdatei: JA
Socket-Typ: UNIX
Lokaler UNIX Socket: STANDARD
Grosszügier Umgang mit übrig geblibenen UNIX-Sockets: NEIN
eMail-Überprüfung: JA
Archiv-Überprüfung: JA
Maximale Grösse: 50
Maximale Verzeichnistiefe: 0
Symbolischen Links folgen: JA
Normalen Links folgen: JA
Zeitbeschränkung: 0
Anzahl Threads: 12
Anzahl wartende Verbidungungen: 15
Nutzung von Syslog: JA
Protokolldatei: STANDARD
Zeitangaben mitprotokollieren: JA
Zeitspanne für Selbsttest: 3600
Benutzer für Daemon: clamav
Daemon-Gruppe: root
Finish :)

Der Daemon kümmert sich nun darum, dass die Virendatenbank immer aktuell bleibt.

Leider aber ist ClamAV ein sogenannter OnDemand-Scanner, d.h. der Suchvorgang muss gestartet werden, und es wird nicht, wie üblich jede Datei vor dem Verwenden gescant.

Dem kann man jedoch mit einem Cronjob entgegenkommen, und da meine Server nur einem minimalen Risiko ausgesetzt sind, reicht dies auch vollkommen aus. Für einen Server mit High-Availability-Anwendungen sollte man sich einen „richtigen“ Scanner zulegen.

Also rufe ich die Cronjobs von Root auf:

23
sudo crontab -e

Da lege ich dann einen neuen Eintrag an:

24
00 01 * * 0 sudo clamscan -ri --quiet --bell --scan-mail --phishing-sigs --phishing-scan-urls --heuristic-scan-precedence --algorithmic-detection --scan-pdf --exclude-dir=^/proc\ / #Scan Root rekursiv, show only infected files

Damit wird jeden Sonntag morgen um Punkt 01:00 Uhr ein Scan ausgelöst, welcher das gesamte Root-Verzeichnis rekursiv durchscannt.

Weiter Informationen zu Zeitangaben für Cronjobs findet man im uu.de-Wiki.

Zum Abschluss würde es mich nun aber doch noch interessieren, wie und ob ihr eure Server den schützt?

20 Kommentare bei „Virenschutz auch unter Linux

  1. Ich habe auf meinem 9.04er Server keinen Virenschutz laufen. Ich bin der einzige der darauf zugreift, und das nur mit Linux-Maschinen.
    Aber mein Firmennotebook hat als zweites System ein 9.10er Ubuntu mit Bitdefender drauf.
    Damit werkel ich öfter in gemischten Umgebungen, und habe damit in Windows Netzwerken per NMAP Schädlinge gesucht und erfolgreich entfernt.
    Schön ist es wenn man diese in versteckten Geräten findet, wie z.b. im interen Speicher einer Kamera ;o)

  2. @Timo Ostrowsky
    Bei mir ist es eben beides, Windows und Linux. Besonders Daten von meiner Ausbildung, welche ich unter Windows absolviere(n muss).
    Aber wie kann denn man mit Nmap Schädlinge erkennen? Anhand von offenen Ports eines Gerätes oder wie soll das gehen?

    grz

  3. Also ich nutze unter Windows und Linux Antiviren Programme. Momentan teste ich Avira antivir. Ich selber befinde mich zu Hause im gemischtem Netzwerk und gebe auch Daten frei. Somit gebe ich mir die letzte Sicherheit, das eine Datei oder auch Programm ungefährlich ist. Nebenbei untersuche ich vom Linux aus, mein ganzes Windows System, was mir momentan auch irgendwie Sicherer erscheint. In wiefern das tatsächlich nützlich ist, teste ich momentan noch. Also ich denke ein Antiviren Programm ist auch unter Linux nützlich, selbst wenn man kein Windows nutzt. Spätestens wenn man eine Datei einem Freund oder Bekannten schickt, der Windows nutzt und Linux nicht, und da ist ein Virus drauf … ist der gute Ruf dahin ^^

  4. Ich setze auf meinem Fileserver Clamav ein. Da hautpsächlich Windows Clients die Sambafreigaben nutzen würden sich Viren schnell im Netzwerk verbreiten. Ich lasse den Scanner jede Nacht laufen. Ist zwar nicht wirklich sicher, aber die Clients haben ja noch einen Desktopantivirus und Clamav ist besser als Garnichts.

  5. Hast Du denn auch eine Signaturdatei für Linuxviren, und wie groß ist die? Und von wann ist die letzte Aktualisierung?

  6. @Stefan W.
    Zur Zeit sind es über 50000 Signaturen natürlich für Linuxviren, sonst wäre das ja ziemlich sinnlos. Die Hautdatei ist bereits über 20MB gross. Von wann das letzte Update ist, weiss ich nicht, jedoch ist meine Installation aktuell 🙂
    Wozu willst du denn das alles wissen?

    grz

  7. Ich will das wissen, weil man so wenig über Linuxviren hört. Ich gebe zu, ich würde die Grundsatzdiskussion nämlich doch gerne führen.

    50 000 Signaturen – das sind ja ca. 7 Signaturen pro Tag auf 20 Jahre Linux gerechnet. Das erscheint mir irgendwie nicht wahrscheinlich. Ich glaube eher, daß das eine Windowsvirensignaturdatei ist, mit der Du einen Mailserver oder Fileserver bestückst, der selbst zwar auf Linux läuft, aber für Windowsclients arbeitet, und diese vor Viren schützen soll.

  8. Nun was ich mir gut vorstellen kann, dass Signaturen für beide Betriebssysteme integriert sind.
    Da erscheint mir logischer für einen Linux Virenscanner, als dass nur Windowsviren erkannt werden. Dann schützt der Server ja andere Clients in heterogenen Umgebungen, jedoch nicht sich selbst, was mir sehr stupid erscheint…

    grz

  9. Naja, wenn es nur 5 Linuxviren gibt, den letzten davon von 2003, was soll man dann einem Linuxuser verkaufen?

    Wenn sich ein Linuxuser beschwert kann man sich Unternehmensseitig leicht darauf rausreden, daß man dachte, daß Linux vor allem als File- und Mailserver eingesetzt wird.

    Mich würde wirklich interessieren, wieviele Linuxviren es nun gibt, und von wann der jüngste datiert. Wenn die Information nicht verfügbar ist, dann scheint mir das ganze jedenfalls sehr suspekt.

  10. @Stefan W.
    Nun ich denke mal, das Hauptinteresse für Firmen liegt wohl im Schutz von heterogenen Netzwerken. Ein Schutz alleine für Linux macht in dem Falle wenig Sinn…
    Aber am besten fragst du einen Antivirenhersteller (ClamAV o.ä.) direkt an. Die könne dir darüber am besten Auskunft geben.

    grz

  11. Achso – es ging nur um Firmen? Das habe ich wohl überlesen, sorry.

    Ich würde aber sagen, daß in besagtem Fall der Schutz von Linux gar keinen Sinn hat. Oder anders gesagt: Nur der Schutz von MS-Systemen hat Sinn. In besagtem Fall.

  12. @Stefan W.
    Du hast dich nicht verlesen, es ging nicht nur um Firmen, aber schließt diese auch nicht aus.
    Ob es nun Sinn macht oder nicht, ist wieder die typische Grundsatzdiskusion 🙂
    Was ich aber Garantiert weiß, es schadet nicht…

  13. Doch, es schadet sehr wohl. 🙂
    a) Klimaerwärmung
    b) Stromrechnung
    c) Performance des Systems, wenn man es sonst braucht
    d) Zeit für Installation, Pflege und Updates des AV wird vergeudet
    e) Geld dafür wird vergeudet
    f) Der Vorteil von Linux, daß man kein AV-System braucht, wird unglaubwürdig
    g) Es wird der Eindruck gestützt, daß AV-Systeme normal sind

  14. @Stefan W.

    a) Klimaerwärmung

    Genau, der CO2 Auschstoss steigt um 0.000000000000000000000000000001 Promille 😀

    b) Stromrechnung

    Wenn du einen Virenscan nicht mehr vermagst, solltest du vielleicht deinen PC / Server verkaufen

    c) Performance des Systems, wenn man es sonst braucht

    Wenn du deinen Scan gescheit shedulst, hast du dieses Problem nicht.

    d) Zeit für Installation, Pflege und Updates des AV wird vergeudet

    10 Minuten lang den Daemon einrichten, dann ist das praktisch ein Selbstläufer. Da Opfere ich lieber die 10 Minuten, als danach mühsam alles wieder herzurichten, wenn du dir doch was eingefangen hast…

    e) Geld dafür wird vergeudet

    ClamAV ist Freeware

    f) Der Vorteil von Linux, daß man kein AV-System braucht, wird unglaubwürdig

    Je populärer Linux wird, umso mehr ist dieser Vorteil ein Trugschluss.

    g) Es wird der Eindruck gestützt, daß AV-Systeme normal sind

    Das sind sie in der heutigen Welt auch.

    grz

    PS: Jetzt ist die Grundsatzdiskussion ausgebrochen…

  15. f) Der Vorteil von Linux, daß man kein AV-System braucht, wird unglaubwürdig

    Je populärer Linux wird, umso mehr ist dieser Vorteil ein Trugschluss.

    Vor 11 Jahren hatte ich keine Malware unter Linux, und habe heute keine. Worauf bezieht sich die These, daß es eine Korrelation zur Popularität gäbe? Auf einen Analogieschluß zu Windows?

    Der ist schlicht falsch. Es fehlen die einfachsten Indikatoren, um ihn zu belegen.

  16. @Stefan W.
    Er stützt sich ganz einfach darauf, dass Virenschreiber nicht mehr Personen sind, die sich etwas beweisen wollen, sondern meist organisierte kriminelle Gruppen, welche voll auf Profit aus sind. Das zeigt sich vor allem darin, dass Viren, welche Schaden anrichten immer weniger und Viren wie Trojaner und andere Spyware immer mehr werden.
    Und mit der Popularität eines Systemes steigt auch die Erfolgsrate das die Spyware greift und viel Geld gemacht werden kann.
    Natürlich ist die Popularität von Linux aktuell noch viel zu klein, doch in ein paar Jahren wird das gar nicht mehr so abwegig sein. Theoretisch kann es dir jetzt schon passieren, und da bin ich praktisch lieber darauf vorbereitet.

    Aber wie bei jeder dieser Viren-Grundsatzdiskussionen ist das Ansichtssache und keiner wird den anderen überzeugen können. Ich nutze einen Virenscanner weil ich davon überzeugt bin und lasse mich davon auch nicht abbringen.

    grz

  17. „Und mit der Popularität eines Systemes steigt auch die Erfolgsrate das die Spyware greift und viel Geld gemacht werden kann.“

    Soso. Ich würde mal sagen, daß es heute mehr Linuxkisten gibt, als Windowskisten vor 15 Jahren, und dennoch gibt es keine Linuxviren – vor 15 Jahren gab es aber jede Menge Dos/Windows-Viren. Etwas an Deiner Argumentation stimmt also nicht.

    „Natürlich ist die Popularität von Linux aktuell noch viel zu klein, doch in ein paar Jahren wird das gar nicht mehr so abwegig sein.“ Wenn es heute noch kein Problem ist – kannst Du dann sagen, ab welcher Popularität es kritisch wird? Ist die absolute Zahl an Kisten entscheidend, oder der Marktanteil? Wieso?

    Bei Viren aus der Welt der Medizin ist die Lebensdauer an den Wirt gekoppelt, hängt davon ab, wie lange das Immunsystem braucht, um Antikörper zu entwickeln, und die Verbreitung hängt davon ab wie leicht man sich infiziert, und wie hoch die Kontaktrate mit Infizierten ist.
    In der IT gibt es kein selbsttätiges Immunsystem. Kontakt mit potentiellen Überträgern hat ein Linuxrechner natürlich mehr, als Windowsrechner. Wenn der Schädling unauffällig wäre, könnte man ihn ewig lange beherbergen, und weitergeben. Wieso also hat man sich nicht längst infiziert? Oder wieso soll sich das groß ändern, wenn Klethi und Plethi mit Linux ins Netz gehen?

    „Aber wie bei jeder dieser Viren-Grundsatzdiskussionen ist das Ansichtssache … “ Das bestreite ich.
    Wenn keine Linuxviren in the wild existieren, dann bin ich nicht gefährdet. Gegen Viren, die es in 2 Jahren vielleicht geben wird, oder in 5 oder 10 Jahren, kann ich mich heute nicht schützen.

    Auf was soll man sich vorbereiten – auf eine Art Lawine die sich lange ansammelt und plötzlich losbricht, oder auf eine Art langsam steigendes Hochwasser?
    Die ersten, die es treffen wird, werden doch Personen sein, die wild Fremdquellen in ihre Paketverwaltung aufnehmen, und wenn die aufschreien ist immer noch Zeit sich vorzubereiten. Oder die Viren sind so ganz anders als alles, was wir heute aus der Windowswelt kennen, daß man sich noch weniger darauf vorbereiten kann.

    Man kann auch eine Versicherung gegen Wanderdünen abschließen, also daß man von einer überrollt und erstickt wird.

Kommentarfunktion ist geschlossen.