Variante 3: Antivir mit Dazuko
Variante 2 kämpft prinzipbedingt mit einem Performance-Nachteil, da sich die Komponenten im Kernel- und im Userspace über jede Dateioperation recht mühsam verständigen müssen. Sie können Avira Antivir jedoch auch ohne das Vscan-Modul in Betrieb nehmen. Dazuko (Datei-Zugriffskontrolle), ein Linux-Kernelmodul unter der GPL/BSD-Lizenz, das ein Device (»/dev/dazuko«) etabliert, übernimmt dabei die On-Access-Kontrolle für SMB-Zugriffe. Das Modul arbeitet schneller, da es seine Informationen innerhalb des Kernelspace bezieht.
Für Variante 3 ändern Sie nun die Avguard-Konfiguration und laden das Dazuko-Kernelmodul. Letzteres passiert beim Avguard-Start automatisch. Außer bei Suse-Linux fehlt aller Voraussicht nach Dazuko in Ihrem Kernel. Die Sourcen gibt es auf der Projektseite [6], die Linux-Quellen brauchen Sie auch.
Dazuko wiederum verlangt, dass der Kernel den Security Mode unterstützt. Die erforderliche Einstellung »[M]« wie Modul verrichten Sie im Zuge des Kernel-»make menuconfig« unter »Security Options | Enable different Security Models | Default Linux capabilities«. Um das Kernelmodul ins System zu befördern, führen Sie die Befehle
make modules make modules_install depmod modprobe capability
aus. Haben Sie auch Dazuko installiert, müsste nun »./install« von Antivir positiv ausfallen.
Avguard und Dazuko
Sie konfigurieren Avguard so, dass er die freigegebenen Ordner von Samba mit überwacht. Dazu ändern Sie in der »/etc/avguard.conf«-Datei die jeweiligen »IncludePath«- und »ExcludePath«-Angaben. Dazuko erkennt nun auch Samba-Zugriffe: Es gestattet oder lehnt Zugriffe ab und übergibt alle »open()«-Anfragen an das Dateisystem an den Virenscanner.
Einen Nachteil hat der Betrieb ohne das Vscan-Modul jedoch: Während Vscan-Antivir sowohl On-Close- als auch On-Open- und On-Exec-Aktionen kennt, behandelt Dazuko lediglich On-Open-Operationen. So bleiben Dateien vorerst ungescannt, wenn sie ein SMB-Client in ein Samba-Share ablegt. Erst wenn der Client die Datei liest, ausführt, umbenennt oder verschiebt, findet eine Datei-»open()«-Operation statt. Dann erst hat Dazuko die Möglichkeit, die Datei Avguard zu überantworten. Der handelt beim Erkennen einer Malware seiner Konfigurationsdatei gemäß, verschiebt also die Datei in den Quarantäne-Ordner.
Nach dem gleichen Kernel-basierten Strickmuster wie Antivir plus Dazuko arbeiten übrigens Sophos Antivirus, Trend Micro Server Protect, Kaspersky Antivirus und F-Secure Antivirus.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 4 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...