
Abbildung 1: Gerät der Browser auf eine gefährliche Seite, wirft sich HAVP tapfer wie ein Bodyguard in die Schusslinie.
Browser leben in der ständigen Gefahr, dass eine Cracker-Site sie kompromittiert. Ein zwischengeschalteter Proxy mit angehängtem Virenscanner hilft.
|
Inhalt |
|---|
|
80 | LPI-Kompendium, Teil 1 Als Vorbereitung auf die LPIC-1-Prüfungen startet das Linux-Magazin eine Artikelserie. Diesmal: Paketmanagement. 86 | Unsicheres Doppel Erst seit Linus in 2.6.16 Patches von Patrick McHardy aufgenommen hat, gelingen NAT und Firewalling trotz IPsec wieder perfekt. 90 | Neusecure im Test Ein Security-Information-Managementsystem, das sicherheitsrelevante Events sammelt, Statistiken führt und regelbasierte Events erzeugt. |
Ein reiselustiger Kollege wollte neulich die Website einer deutschen Großstadt aufrufen. Sei es Zufall oder seiner Persönlichkeitsstruktur geschuldet, er bastelte einen Buchstabendreher in die URL. Die Site, auf der er landete, versuchte prompt eine Lücke in seinem Browser auszunutzen. Eine mögliche Gegenmaßnahme – neben regelmäßigen Updates, aber wem erzähle ich das! – wäre ein Antivirus-Proxy wie HAVP [1].
Die Installation des HTTP Antivirus Proxy beschränkt sich auf die klassische Zauberformel »configure && make && make install«. Den Virenscanner meiner Wahl, er muss auf dem System vorhanden und inklusive Signatur-Updateservice eingerichtet sein, gebe ich beim »configure« gleich mit an. Ich entscheide mich für Clam AV: »configure –with-scanner=libclamav«. Es ist ratsam, einen eigenen User mit passender Gruppe für HAVP anzulegen:
useradd havp; groupadd havp
Im HAVP-Verzeichnis findet sich der Ordner »etc«. Darin wiederum liegen »havp« und »init.d«. Dieser Ordner enthält ein Start-Stopp-Skript, das ich nach »/etc/init.d« verschiebe. Den anderen kopiere ich per »cp -r havp/etc/« an seine Wirkungsstätte. Er enthält unter anderem die Konfigurationsdatei »havp.conf«. In ihr muss ich die Zeile
REMOVETHISLINE deleteme
löschen. Diese kleine Schikane hat der HAVP-Autor eingebaut, um sicherzustellen, dass ich mich tatsächlich mit der Konfigurationsdatei beschäftige.
Gruppendruck
Als Nächstes trage ich ein, dass HAVP als Benutzer »havp«, Gruppe »havp« laufen soll. Weiter unten in der Konfigurationsdatei finden sich Einstellungen für mehrere Virenscanner. Ich wähle »libclamav« aus. Die anderen Parameter lasse ich auf ihren Defaults – an ihnen kann ich später noch herumschrauben. Logfiles schreibt HAVP natürlich auch. Also lege ich das Verzeichnis »/var/log/havp« an und mache es für den Benutzer schreibbar:
mkdir /var/log/havp chown havp /var/log/havp
Jetzt brauche ich noch ein Verzeichnis, in das HAVP während des Scannens seine temporären Daten verfrachtet. In dem Verzeichnis sollte ich eine freie Partition mounten, denn HAVP benötigt ein Filesystem mit so genannten Mandatory Locks, nicht irgendein Verzeichnis. Leider habe ich keine überschüssige Partition, deshalb bleibt vorerst nur eine RAM-Disk. Zum Testen ist das in Ordnung, im echten Betrieb allerdings keine gute Idee, weil jede RAM-Disk irgendwann zu klein wird. Also los:
mkdir /var/tmp/havp chown havp /var/tmp/havp mkfs.ext3 /dev/ram0 mount /dev/ram0 /var/tmp/havp -o mand
Jetzt sollte es laufen. Pustekuchen: HAVP erzählt mir beim Start, ich hätte die »havp.conf« nicht editiert. Falsch! Des Rätsels Lösung finde ich im Init-Skript. Dort steht als Pfad zur Konfigurationsdatei »/usr/local/etc/«. Ist diese Macke korrigiert, startet der Proxy.
Nachdem ich meinen Firefox auf Port 8080 konfiguriert habe, kommt die Zeit für einen Test. Und tatsächlich: Den Download des EICAR-Testvirus haut HAVP mir in Abbildung 1 um die Ohren. Recht so! (jk)

Abbildung 1: Gerät der Browser auf eine gefährliche Seite, wirft sich HAVP tapfer wie ein Bodyguard in die Schusslinie.
|
Infos |
|---|
|
[1] HAVP: [http://www.server-side.de] |
Copyright © 2002 Linux New Media AG






