Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Защита от вирусов и червей.

Рубрика: Безопасность -> Безопасность рабочей станции
Метки: |
Среда, 13 мая 2009 г.
Просмотров: 6173

     Ранее все внимание было сконцентрировано на безопасности сервера и сети в целом. Теперь можно обсудим безопасность рабочей станции. ОС Linux стяжала большое уважение в мире серверов, а вот с рабочими станциями у нее не сложилось: многие пользователи выбирают Windows. Может быть, Windows и проще употреблять (привычнее), но Linux с системой X Window намного мощнее. К со­жалению, всему есть своя цена: здесь будут рассматриваться некоторые аспекты безопасности при использовании системы X Window.

     Также потолкуем о Web-серфинге и скриптинге, который представляется потенциальной угрозой вне зависимости от используемой операционной сис­темы.

     А после этого будет разобрана тема безопасной переписки: побеседуем о том, как употреблять PGP и GnuPG.

     Для начала рассматривалим вирусы и черви.


     Вирусы и черви.

     Наказанием за привычку к Windows стало большое количество вирусов и червей, которые поражают Windows-машины. Число их огромно: в базе данных KAV этих строк уже более 137 тыс. записей. Linux-пользователям повезло: число Linux-вирусов и червей не очень велико.

     Это толкуется тем, что Linux пока еще не очень признана среди домашних пользователей, и поэтому вирусописателям малоинтересно писать вирусы для Linux. Для того, чтобы вирус мог поразить всю Linux-систему, ему надобны права root, а их получить порядком сложно, если, конечно, пользователь сам не запустит вирус от имени root. Но все же Linux-вирусы наличествуют.

     Потолкуем об антивирусе Clam для Linux.

     Clam.

     ClamAv - это излюбленный антивирус пользователей Linux, свободно досягаемый по адресу: http://www.clamav.net. В его базе данных более 20000 вирусов, червей и троянов, причем эта база постоянно обновляется. Откомпилирован­ные файлы общедоступны для Red Hat/Fedora, Debian, Mandrake и PLD (Polish Linux Distribution), а для всех оставшихся дистрибутивов нужно скачать ис­ходные коды и пересобрать их. Проанализируем уста­новку антивируса из исходных кодов.

     Прежде всего надо создать нового пользователя и группу для Clam:

# groupadd clamav

# useradd -g clamav -s /bin/nologin clamav

     После этого нужно распаковать архив с исходными кодами в каталог /usr/src/clamav и перейти в этот каталог. Выполним привычную последователь­ность команд:

./configure; make; make install.

     Употреблять антивирус очень просто: нужно просто указать каталог, который есть необходимость просканировать, а перед ним - опцию -r, чтобы Clam просканировал и его подкаталоги:

# clamav -r /home/den

     Статус каждого проверенного файла будет выведен на консоль:

/home/den/clam-av-0.15/support/amavisd/README: OK

/home/den/clam-av-0.15/test/eicar.com: Eicar-Test-signature FOUND

/home/den/clam-av-0.15/clamscan: OK

     Если напротив файла стоит ОК, значит, в нем нет вируса, а если FOUND, то файл инфицирован, рядом пишется имя вируса. Clam может находить не только Linux-вирусы, но и вирусы для DOS и Windows.

     Freshclam.

     Freshclam - это программа для обновления вирусной базы данных. Freshclam запускается из командной строки или как демон и произ­водит автоматическое обновление базы данных.

# freshclam

ClamAV update process started at Fri May 1 17:49:26 2008

Reading CVD header (main.cvd): Ok

Main.cvd is up to date (version: 22, sigs: 24229, f-level: 1,

builder: tkojm)

Reading CVD header (daily.cvd): Ok

Downloading daily.cvd [*]

Daily updated (version: 306, sigs: 1352, f-level: 2, builder: diego)

Database updated (26441 signatures) from database.clamav.net

(80.69.67.3)

     База данных антивируса и соответствующая ей контрольная сумма (MD5) хранятся на разных серверах, дабы убедиться в целостности данных. Ручное обновление баз данных - не самое оптимальное решение, поэтому Freshcam можно запускать как демон - для этого надо указать параметры -d (запуск как демон) и -с (период обновления).

     Пример запуска Freshclam как демона с периодом обновления два раза в сутки:

# freshclam -d -с 2

     Демон сбрасывает полномочия root и запускается от имени пользователя clamav. Если нужно, чтобы демон запускался при старте системы, можно добавить его вызов в сценарии инициализации системы.

     Некоторые рекомендации.

     Какой бы антивирус не был выбран, нужно помнить: он будет продуктивно вы­полнять свои функции, если его база данных будет систематически обновляться. Так­же надо провести «профилактическую» консультацию с пользователями. Они не должны запускать полученные из недостоверных источников программы - сначала их обязательно надо проверить антивирусом. Нельзя открывать разные прикрепленные к письму файлы (про­граммы, документы MS Office и даже картинки) без предварительной про­верки антивирусом, даже если письмо пришло от известного адресата. Не секрет, что большая часть Windows-червей распространяется по e-mail.

     Оптимальное решение - это создать на каждом компьютере для каждого пользователя две учетные записи - одну для работы в Интернете, а другую - для обычной работы. Тогда вирус, запущенный в одной учетной записи, не сможет повре­дить файлы другой учетной записи.

     Наверняка в сети есть компьютеры под управлением Windows XP. Нужно проследить, чтобы все пользователи работали как обычные пользователи системы (даже без права установки программ), а не как адми­нистраторы (нет смысла создавать несколько учетных записей администра­торов - вирусу все равно, от имени какого администратора действовать).