Aus Linux-Magazin 08/2006

Aus dem Alltag eines Sysadmin: HTTP Antivirus Proxy

Abbildung 1: Gerät der Browser auf eine gefährliche Seite, wirft sich HAVP tapfer wie ein Bodyguard in die Schusslinie.

Browser leben in der ständigen Gefahr, dass eine Cracker-Site sie kompromittiert. Ein zwischengeschalteter Proxy mit angehängtem Virenscanner hilft.

Inhalt

80 | LPI-Kompendium, Teil 1 Als Vorbereitung auf die LPIC-1-Prüfungen startet das Linux-Magazin eine Artikelserie. Diesmal: Paketmanagement.

86 | Unsicheres Doppel Erst seit Linus in 2.6.16 Patches von Patrick McHardy aufgenommen hat, gelingen NAT und Firewalling trotz IPsec wieder perfekt.

90 | Neusecure im Test Ein Security-Information-Managementsystem, das sicherheitsrelevante Events sammelt, Statistiken führt und regelbasierte Events erzeugt.

Ein reiselustiger Kollege wollte neulich die Website einer deutschen Großstadt aufrufen. Sei es Zufall oder seiner Persönlichkeitsstruktur geschuldet, er bastelte einen Buchstabendreher in die URL. Die Site, auf der er landete, versuchte prompt eine Lücke in seinem Browser auszunutzen. Eine mögliche Gegenmaßnahme – neben regelmäßigen Updates, aber wem erzähle ich das! – wäre ein Antivirus-Proxy wie HAVP [1].

Die Installation des HTTP Antivirus Proxy beschränkt sich auf die klassische Zauberformel »configure && make && make install«. Den Virenscanner meiner Wahl, er muss auf dem System vorhanden und inklusive Signatur-Updateservice eingerichtet sein, gebe ich beim »configure« gleich mit an. Ich entscheide mich für Clam AV: »configure –with-scanner=libclamav«. Es ist ratsam, einen eigenen User mit passender Gruppe für HAVP anzulegen:

useradd havp; groupadd havp

Im HAVP-Verzeichnis findet sich der Ordner »etc«. Darin wiederum liegen »havp« und »init.d«. Dieser Ordner enthält ein Start-Stopp-Skript, das ich nach »/etc/init.d« verschiebe. Den anderen kopiere ich per »cp -r havp/etc/« an seine Wirkungsstätte. Er enthält unter anderem die Konfigurationsdatei »havp.conf«. In ihr muss ich die Zeile

REMOVETHISLINE deleteme

löschen. Diese kleine Schikane hat der HAVP-Autor eingebaut, um sicherzustellen, dass ich mich tatsächlich mit der Konfigurationsdatei beschäftige.

Gruppendruck

Als Nächstes trage ich ein, dass HAVP als Benutzer »havp«, Gruppe »havp« laufen soll. Weiter unten in der Konfigurationsdatei finden sich Einstellungen für mehrere Virenscanner. Ich wähle »libclamav« aus. Die anderen Parameter lasse ich auf ihren Defaults – an ihnen kann ich später noch herumschrauben. Logfiles schreibt HAVP natürlich auch. Also lege ich das Verzeichnis »/var/log/havp« an und mache es für den Benutzer schreibbar:

mkdir /var/log/havp
chown havp /var/log/havp

Jetzt brauche ich noch ein Verzeichnis, in das HAVP während des Scannens seine temporären Daten verfrachtet. In dem Verzeichnis sollte ich eine freie Partition mounten, denn HAVP benötigt ein Filesystem mit so genannten Mandatory Locks, nicht irgendein Verzeichnis. Leider habe ich keine überschüssige Partition, deshalb bleibt vorerst nur eine RAM-Disk. Zum Testen ist das in Ordnung, im echten Betrieb allerdings keine gute Idee, weil jede RAM-Disk irgendwann zu klein wird. Also los:

mkdir /var/tmp/havp
chown havp /var/tmp/havp
mkfs.ext3 /dev/ram0
mount /dev/ram0 /var/tmp/havp -o mand

Jetzt sollte es laufen. Pustekuchen: HAVP erzählt mir beim Start, ich hätte die »havp.conf« nicht editiert. Falsch! Des Rätsels Lösung finde ich im Init-Skript. Dort steht als Pfad zur Konfigurationsdatei »/usr/local/etc/«. Ist diese Macke korrigiert, startet der Proxy.

Nachdem ich meinen Firefox auf Port 8080 konfiguriert habe, kommt die Zeit für einen Test. Und tatsächlich: Den Download des EICAR-Testvirus haut HAVP mir in Abbildung 1 um die Ohren. Recht so! (jk)

Abbildung 1: Gerät der Browser auf eine gefährliche Seite, wirft sich HAVP tapfer wie ein Bodyguard in die Schusslinie.

Abbildung 1: Gerät der Browser auf eine gefährliche Seite, wirft sich HAVP tapfer wie ein Bodyguard in die Schusslinie.

Infos

[1] HAVP: [http://www.server-side.de]

Der Autor


Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ (demilitarisierte Zone). In seiner Freizeit lernt er Japanisch, um endlich die Bedienungsanleitung seiner Mikrowelle lesen zu können.

Copyright © 2002 Linux New Media AG

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben