• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Virenüberwachung von SMB-Feigaben

P

pft

Advanced Hacker
Hallo,

ich habe da mal ein paar Fragen zur Virenüberwachung von SMB-Freigaben:

1. samba-vscan oder dazuko: Was ist zu empfehlen?
Im Linux Magazin hieß es mal dazuko sei prinzipbedingt theoretisch effizienter in der Praxis gab es dann aber Gleichstand. Irgendwo auf Samba.org meine ich aber gelesen zu haben, dass vscan dringend zu bevorzugen sei.

2. antivir oder clamav
Ich sehe bislang hier folgende Aspekte:
* clamav hat deamon mode - klingt nach besserer Effizienz
* antivir kann (mit der freien Lizenz) meines Wissens keine Archive scannen
* clamav kann das laut vscan-clamav.conf auch nur mit libclamav support, aber ist der bei OpenSUSE 10.2 gegeben? Wie finde ich das heraus?
* antivir hat relativ gute Erkennungsraten in den letzten Tests, zu clamav weiß ich da wenig
* clamav scheint eine Mitteiliung an den User über windows messaging implementiert zu haben - klingt nett

Weitere Aspekte - Euer Fazit?
 
OP
P

pft

Advanced Hacker
yup, hatte ich gelesen.

Aber so richtig sehe ich den Zusammenhang mit meiner Frage nicht, oder steh ich mal wieder auf der Leitung?
Dass das Leistung kostet ist klar und wie der manuelle scan geht weiß ich schon :)

Lass noch mal sehen. - Ach ja, ich fahre Suse 10.2, also samaba 3.0.23 und samba-vscan ist da. Oder willst Du mir sagen dass das ein Auslaufmodell ist?

BTW, Mittlerweile habe ich noch clamuko gefunden. Lt. clamdoc ist aber samba-vscan zu bevorzugen.
 
S

stka

Guru
Also ich habe mit calmuku noch nie was gemacht. Aber clamav mit samba-vscan habe ich Erfahrungen gesammelt, das funktioniert recht gut, aber bei vielen Zugriffen ist die Leistungeinbuße schon enorm. Da Windows eine dumme Eigenart hat, nämlich mehrfach beim öffnen und speichern auf die Datei zuzugreifen. Du wirst ganz schnell merken, dass du mehr Speicher und CPU Leistung benötigst. Ich habe zu dem Thema mal was im wiki geschrieben, so wie es dort beschrieben ist, scheint das heute nicht mehr zu funktionieren. Ich lasse lieber die Verzeichnisse über einen cron-job testen.
Bei manchen Distributionen ist die vscan Funktion auch nicht einkompiliert, das heißt, du musst eventuell den samba selber bauen.
Ob wohl ich es auch für sinnvoll halte die Dateien in echtzeit zu testen, gibt es da leider noch keine gute opensource Lösung. Kommerzielle Lösungen gibt es da mittlerweile von diversen Herstellern, aber die sind nicht gerade Preiswert.
Ich habe gerade das hier gefunden:
http://www.woschod.de/2007/08/18/virenscanner-avira-antivir-fuer-linux-installieren/
scheint ja was von Avira zu geben, soll auch On-Access Realtime-Scanning unterstützen.
 
OP
P

pft

Advanced Hacker
also clamuko lass ich mal weg - wen schon die entwickler davon abraten.

Ich habe seit einiger zeit antivir mit dazuko laufen. Performance ist bie mir nicht das Problem, da die Anzahl der Nutzer und die Zugriffe sehr überschaubar sind. Das steckt selbst mein PIII-933MHz locker weg.

Was mich mehr stört ist dass Antivir in der freien Lizenz keine Archive entpackt.

Ich werde mal clamav mit samba-vscan probieren und ggfs. berichten.

Wenn das nicht taugt oder in spärerer version nicht mehr verfügbar könnte man ja auch clamav mit dazuko nutzen.

Das nächste Sicherheitsloch wäre dann das Web. Der nächste Post ist also sicher ;-)
 
P

PNS-Richi

Member
Hier hast du ein "vscan-clamav" Beispiel um deine Freigaben auf Viren zu überprüfen.

Virenschutz für eine Freigabe:
Code: 
[meine_freigabe]
vfs objects = vscan-clamav
vscan-clamav: config-file = /etc/samba/vscan-clamav.conf

Ihr müsst die Konfigurationsdatei noch am richtigen Ort speichern bzw. anlegen!

Nun folgt eine vscan-clamav.conf Beispiel Konfiguration:
Code: 
#
# /etc/samba/vscan-clamav.conf
#

[samba-vscan]
; run-time configuration for vscan-samba using
; clamd
; all options are set to default values

; do not scan files larger than X bytes. If set to 0 (default),
; this feature is disable (i.e. all files are scanned)
max file size = 10485760

; log all file access (yes/no). If set to yes, every access will
; be logged. If set to no (default), only access to infected files
; will be logged
verbose file logging = no

; if set to yes (default), a file will be scanned while opening
scan on open = yes
; if set to yes, a file will be scanned while closing (default is yes)
scan on close = yes

; if communication to clamd fails, should access to file denied?
; (default: yes)
deny access on error = no

; if daemon failes with a minor error (corruption, etc.),
; should access to file denied?
; (default: yes)
deny access on minor error = no

; send a warning message via Windows Messenger service
; when virus is found?
; (default: yes)
send warning message = yes

; what to do with an infected file
; quarantine: try to move to quantine directory
; delete:     delete infected file
; nothing:    do nothing (default)
infected file action = quarantine

; where to put infected files - you really want to change this!
quarantine directory  = /opt/clamav/quarantine
; prefix for files in quarantine
quarantine prefix = vir-

; as Windows tries to open a file multiple time in a (very) short time
; of period, samba-vscan use a last recently used file mechanism to avoid
; multiple scans of a file. This setting specified the maximum number of
; elements of the last recently used file list. (default: 100)
max lru files entries = 100

; an entry is invalidad after lru file entry lifetime (in seconds).
; (Default: 5)
lru file entry lifetime = 5

; exclude files from being scanned based on the MIME-type! Semi-colon
; seperated list (default: empty list). Use this with care!
exclude file types =

; socket name of clamd (default: /var/run/clamd). Setting will be ignored if
; libclamav is used
clamd socket name = /tmp/clamd

; limits, if vscan-clamav was build for using the clamav library (libclamav)
; instead of clamd

; maximum number of files in archive (default: 1000)
libclamav max files in archive = 1000

; maximum archived file size, in bytes (default: 10 MB)
libclamav max archived file size = 5242880

; maximum recursion level (default: 5)
libclamav max recursion level = 5

Die Beispiel Config ist eh gut Kommentiert. Sollte also kein Problem sein. Wie du in der Beispiel Config siehst wird libclamav und clamd unterstützt.

Es gibt auch einen Papierkorb für Samba. Der wird auch über "vfs objects" für eine Freigabe aktiviert.

Ich glaube bei dazuko kann man verschiedene Antiviren Scanner einsetzen - falls ich mich jetzt nicht irre.

lg Richi
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben