Рецепт: sendmail+ClamAV - serverside virus test

[curt]

Вибачайте що тема написана англійською, українською щось у мене не влізло Весь час назва виходила задовга.

http://lca.lviv.ua/?rtfm=y&cont=clamav-milter - стаття про то як встановити та настроїти sendmail+ClamAV на антивірусну перевірку пошти, що проходить через ваш сервер.

[Yevgen]

а чи не дастб хтось простенького рецепта як налаштувати clamav на нормальну роботу в режимі avp/norton antivirus для робочого компа? бо встановити встановив, але обсяг документації одразу починає навіювати нудьгу

[curt]

Хмм... З радістю допоможу, тільки поясніть детальніше задачу.
Нащо вам антивірус на Unix-машині?
Чи вихочете сканувати Samba-shares?
Чи ви хочете використовувати ClamAV на Windows?

[Yevgen]

отже, ситуація така. я в принципі повний новачок із використанням лінуксу. я думав про те, аби налаштувати антивірус в режимі постійного сканування, тобто так, як працює нортон/авп під віндою. можливо, воно й не потрібне - я не певний.

під віндою в мене була ситуація, коли просто з інтернету хапонув пару вірусів при працюючому авп (якийсь backdoor agobot та lovesan). чи можливо щось подібне під лінуксом - тобто чи бувають подібні черв'яки?  якщо можливо - чи є якийсь софт для захисту?

[Володимир Лісівка]

Лінукс сконфігурований достатньо надійно (якщо ви не працюєте в режимі адміна) щоб ви не могли його пошкодити навмисно чи ненавмисно. Але звичайно ж можна натрапити на зловмисний код, який може нашкодити вашим файлам (щоправда такого коду в дикому середовищі ще не зустрічалося, але це не означає що його ніколи не буде).

Лінуксові системи як правило підхоплюють не віруси а черв'яки та трояни (rootkit-и). Простому користувачу від обох дуже допоможе просте регулярне оновлення системи (напр. на кожні вихідні) з допомогою автоматичної системи (apt, yum, etc) яка перевірятиме підписи пакетів, які приходять.

Антивіруси під лінуксом мають лише одне призначення - захищати користувачів Вікон.

[Yevgen]

принагідно хотів запитати - чи користується хтось сабжем? зацікавило тому, що у мандрейку при налаштуванні інтернету система рекомендує multi-network firewall для захисту.

[curt]

Бррр... Незнаю, Mandrak'ом не користуюсь.
Але щось у хлопців тенденція нездорова
Майже як WinXP, "защитить мое подключение к Интернет" ))
А про саму проблему, якщо це не сервер, який цілодобово в мережі, то можна особливо не перейматися
Наразі боятися варто лише цілеспрямованих атак, які навряд чи будуть спрямовані на вашу домашню машину (особливо, якщо під'єднується тричи на добу на 10хв).

[Yaroslav Fedevych]

Ги, типова згадалась ситуація: $LUSER встановлює на свою вінду $PERSONAL_FIREWALL, після чого довго й нудно скаржиться провайдеру на те, що якийсь зловмисник постійно пробує під'єднатись з адреси 127.0.0.1...

Я сидів місяць на провайдері, в якого не було ніякого маскарадингу й машину було видно з Інтернету... Навіть віртуальний хост на одну добу апачеві прописав. Для сміху. Ніхто не заходив... (Ну не зовсім, я попросив знайомого подивитися, як йому мене видно )

Правда, хто його знає, що може бути, але на все, гадаю, варто мати зрівноважений погляд. Якщо злодієві поставиш міцні непробивні двері, то він в стіні дзюру зробить.

[Yevgen]

Ги, типова згадалась ситуація: $LUSER встановлює на свою вінду $PERSONAL_FIREWALL, після чого довго й нудно скаржиться провайдеру на те, що якийсь зловмисник постійно пробує під'єднатись з адреси 127.0.0.1...

так тіки людей можна розлякати із сайту.

так, я звичайний собі юзер і багато чого не знаю. до того ж (о жах!) під віндою в мене стоїть нортон файрвол 2004 і я ним повністю задоволений, бо перед тим із авп + стандартним захистом вінди з інтернету якось такого нахапався (див. вище), що потім допомогло лише витягання вінта із подальшою перевіркою на іншій машині.

і щоб уже не все про оффтоп - стандартний захист, який  пропонується у мандрейку якось підозріло схожий на той, що вбудований у вінду - принаймні зовні

[dusoft]

Євгене.. файрвол не захищає від вірусів, саме через які напевно в тебе й сталися якісь жахи із віндою.

127.0.0.1 - це зарезервований loopback-інтерфейс.. це завжди твоя машина так би мовити, потрібня адреса для якись внутрішніх потреб різних сервісів, які працюють через мережеві інтерфейси(це якщо дуже просто.., бо якщо непросто, то я точно не знаю  )..

[Yaroslav Fedevych]

В контекст дивились, Євгене? ;-)

Я натякав на те, що часто окремі тулзи не пояснюють, що той чи інший пункт означає, не маючи навіть жодного режиму експерта, і "найбезпечніший" їхній режим -- це захист від самого себе. То не була ремарка щодо чийогось коментаря, мені її просто навіяла фраза про "захистити моє з'єднання". Не треба ображатись...

Але якщо справді гризуть сумніви, що є антивірус, а що файрвол, то, можливо, в вікіпедії це пояснено (та ні, точно пояснено). Файрвол захищає в основному від вірусів на двох ногах типу homo.sapiens.cracker.malicious.

[Yevgen]

схоже що обговорення йде кудись у неконструктивне русло.  я не знавець вірусів і т. ін. під віндою в мене був якийсь backdoor agobot, якщо я правильно зрозумів з опису цього віруса у касперського на сайті - то захищатись від нього треба саме файрволом. соррі якщо шокую когось своєю необізнаністю

[dusoft]

Влучно про віруси на двох ногах..

Бекдори, це коли в тебе на комп'ютері висить прога, до якої може підключатись зловмисник(він її скоріше за все і ставить) і робити що завгодно на твоєму комп'ютері(те що може робити та програма).. для цього звісно використовується мережа... от файрвол від такого ще може захистити. А від вірусів які ти отримав є-мейлом і які роблять погану справу тільки локально він тебе не захистить.

[curt]

Не забувайте про хробаків, які розповсюджуються через дірки в ОС Windows. Наприклад MSBLAST (RPC DCOM) та sasser.
Від них firewall'ом врятуватися можна Але Лінуксу таке не загрожує, принаймі в найближчому майбутньому

[Yaroslav Fedevych]

Власне. Іноді, фільтруючи трафік, файрвол може "заткнути дірку" в системній реалізації протоколу (теоретично), правильно обробляючи пакети (підмінивши системний протокольний стек власним) -- і тоді він таки захищає від вірусів/хробаків, котрі цю дірку можуть експлуатувати. Знову ж-таки, це теоретично.

Ага! Agobot -- це, взагалі-то, хробак... )