Antivirus Perfil Servidor
De Wiki Linkat
(→Instal·lació del programa antivirus ClamAV en servidors Linkat 3 i 4:) |
(→Instal·lació del programa antivirus ClamAV en servidors Linkat 3 i 4:) |
||
| Línia 53: | Línia 53: | ||
Per instal·lar la darrera versió del programa ClamAV es recomana afegir els repositoris [http://en.opensuse.org/openSUSE:Evergreen Evergreen]següents en funció de la versió del servidor Linkat de centre. | Per instal·lar la darrera versió del programa ClamAV es recomana afegir els repositoris [http://en.opensuse.org/openSUSE:Evergreen Evergreen]següents en funció de la versió del servidor Linkat de centre. | ||
| + | <br> | ||
Per a '''Linkat 3''' (basada en openSuSE 11.1):<br> | Per a '''Linkat 3''' (basada en openSuSE 11.1):<br> | ||
Revisió de 15:10, 8 ago 2012
Contingut |
Virus informàtics i entorns GNU/Linux:
Segons la wikipedia un virus informàtic és:
"... un programa que es copia automàticament per alterar el funcionament normal de l'ordinador, sense el permís o el coneixement de l'usuari. Encara que opularment s'inclou el "malware" dins dels virus, en el sentit estricte d'aquesta ciència els virus són programes que es repliquen i s'executen per si mateixos. Els virus, habitualment, reemplacen arxius executables per uns altres, infectats amb el codi del virus. Els virus poden destruir, de manera intencionada, les dades emmagatzemades en un ordinador, encara que també n'existeixen altres més benignes, que només es caracteritzen pel fet de ser molestos.
Els virus informàtics tenen, bàsicament, la funció de propagar-se, replicant-se, però alguns contenen a més una càrrega maligna (payload) amb diferents objectius, des d'una simple broma fins a realitzar danys importants en els sistemes, o blocar les xarxes informàtiques generant trànsit inútil. El funcionament d'un virus informàtic és conceptualment simple. S'executa un programa que està infectat, en la majoria de les ocasions, per desconeixement de l'usuari. El codi del virus queda resident (allotjat) a la memòria RAM de la computadora, encara que el programa que el contenia hagi acabat d'executar-se. El virus pren llavors el control dels serveis bàsics del sistema operatiu i infectant posteriorment arxius executables que siguin cridats per a la seva execució. Finalment s'afegeix el codi del virus al del programa infectat i es grava al disc, amb la qual cosa es completa el procés de replicació."
Malware a GNU/Linux:
Tal i com es recull a la wikipedia, els sistems GNU/Linux estan protegits contra els virus informàtics:
"El sistema operatiu GNU/Linux, Unix i altres derivats generalment són qualificats com que estan protegits contra els virus informàtics. Actualment, no es coneix l'existència de cap amenaça de l'anomenat programari maliciós, malware, en Linux que s'hagi expandit a un nivell si més no similar a les amenaces existents en el sistema operatiu Microsoft Windows.
Això s'atribuïx en gran part al fet que el malware no aconsegueix els permisos per a realitzar activitats nocives a dins del sistema i a les ràpides actualitzacions davant de vulnerabilitats que s'eliminen diàriament en Linux, pròpies del model de programari lliure.
Alguns factors addicionals per al reforç de la seguretat en Linux, són la major cultura informàtica difosa entre els usuaris de sistemes GNU/Linux i la manca d'incentius per a un programador a l'hora d'escriure malware per a aquest sistema, a causa de la seua relativament baixa quota de mercat (90% Windows vs 1% Linux). A més, un sistema amb Linux instal·lat, en general, no s'assembla a un altre: diferents versions del nucli Linux, diferent programari instal·lat, opcions de configuració i característiques de seguretat diferents, etcètera. La qual cosa dificulta en gran mesura la labor d'un atacant. La quantitat de programari maliciós disponible a GNU/Linux, incloent virus, trojans i altre programari escrit específicament per a GNU/Linux s'ha incrementat en els últims anys, duplicant-se durant 2005 a causa de l'explosió del sistema operatiu en entorns d'usuari final i ingrés al mercat de les computadores d'escriptori."
Recursos per saber-ne més sobre virus i entorns GNU/Linux
Linux y virus: no sólo cuestión de popularidad
Virus en GNU/Linux: ¿Realidad o Mito?
Mitos y realidades Linux y los virus
Antivirus en GNU/Linux: ClamAV
Tot i que els sistemes GNU/Linux són robustos i immunes als virus informàtics, les distribucions GNU/Linux incorporen l'antivius ClamAV. ClamAV és un antivirus que té llicència PL per a GNU/Linux que utilitza la base de dades d'OpenAntivirus. ClamAV està dissenyat per detectar Troians, virus, malware, etc, i s'utilitza molt en pasarel·les de correu electrònic. Podeu trobar-ne més informació sobre aquest antivirus al manual d'ús de l'antivirus ClamAV
Configuració de l'antivirus al servidor de centre Linkat
El perfil servidor de centre Linkat ofereix a la xarxa les unitats compartides: treball (T), programari (S), professorat (P) i gestió (G). En cas que el servidor Linkat es trobi en un entorn heterogeni, amb ordinadors windows contaminats per virus informàtics, aquestes unitats poden emmagatzemar els fitxers contaminats que provenen d'aquests ordinadors. Aquests fitxers no afecten de cap manera al servidor de centre però poden esdevenir un punt d'infecció per a d'altres ordinadors windows de la xarxa. Així doncs, de forma complementària als antivirus locals dels ordinadors amb windows, es pot configurar el servidor de centre per tal que examini els fitxers que es desen en aquestes unitats de xarxa.
Instal·lació del programa antivirus ClamAV en servidors Linkat 3 i 4:
Per instal·lar la darrera versió del programa ClamAV es recomana afegir els repositoris Evergreensegüents en funció de la versió del servidor Linkat de centre.
Per a Linkat 3 (basada en openSuSE 11.1):
zypper ar http://download-linkat.xtec.cat/mirror/evergreen/11.1/standard/ Evergreen_11.1
Per a Linkat 4 (basada en openSuSE 11.2):
zypper ar http://download-linkat.xtec.cat/mirror/evergreen/11.2/standard/ Evergreen_11.2
Un cop afegits els repositoris corresponents, cal instal·lar els paquets: clamav i clamav-db. Un cop instal·lats, cal executar freshclam manualment perquè es descarreguin les definicions de virus més actuals.
3- Cal instal·lar el paquet: dazuko. Aquest paquet instal·la, a més a més, el mòdul de kernel dazuko-kmp-{tipus de kernel} (si s'executa l'ordre uname -r s'obté com a resposta la versió i el tipus de kernel).
4- Cal carregar-lo en memòria: /etc/sysconfig/kernel -> MODULES_LOADED_ON_BOOT="dazuko"
5- No cal modificar els permisos del mòdul dazuko ja que el daemon clamdscan funcionarà sota l’usuari root (línia User root del fitxer /etc/clamd.conf)
6- Modificació del fitxer: /etc/clamd.conf
Els canvis més significatius que es realitzen a nivell de fitxer de configuració es troben recollits al requadre següent:
Fitxer: /etc/clamd.conf:
LogFile /var/log/clamd.log xtendedDetectionInfo yes LogTime yes LogFacility LOG_LOCAL6 TemporaryDirectory /tmp VirusEvent /usr/local/bin/elimina_virus.sh User root LeaveTemporaryFiles yes DetectPUA yes DetectBrokenExecutables yes HeuristicScanPrecedence yes ExtendedDetectionInfo yes ScanArchive yes ClamukoScanOnAccess yes ClamukoScannerCount 10 ClamukoScanOnOpen yes ClamukoScanOnClose yes ClamukoScanOnExec yes ClamukoIncludePath /srv/exports/T OLE2BlockMacros yes
7- Modificació del fitxer: /etc/freshclam.conf
Els canvis més significatius que es realitzen a nivell de fitxer de configuració es troben recollits al requadre següent:
Fitxer: /etc/freshclam.conf
UpdateLogFile /var/log/freshclam.log LogTime yes LogFacility LOG_LOCAL6 DatabaseMirror db.es.clamav.net Checks 12 SubmitDetectionStats /etc/clamd.conf DetectionStatsCountry ES SafeBrowsing yes
8- Script elimina_virus.sh:
Clamav és capaç d'executar una acció concreta en el moment que detecta que hi ha un fitxer contaminat. Així doncs Clamav executarà l'script elimina_virus.sh en el moment de detectar un fitxer contaminat. L'script mourà el fitxer dins d'una carpeta de quarantena per tal que el fitxer pugui ser examinat posteriorment.
8.1- Creació del directori de quarantena:
El directori de quarantena el crearem des de consola i com a root, amb l'ordre següent:
mkdir -p /srv/exports/quarantena chmod 770 /srv/exports/quarantena
8.2 Codi de l'script elimina_virus.sh:
L'script el desarem a la carpeta /usr/local/bin amb el nom elimina_virus.sh.El fitxer haurà de tenir permís d'execució per la qual cosa es recomana executar l'ordre:
chmod 755 /usr/local/bin/elimina_virus.sh
El codi de l'script es descriu a continuació:
#!/bin/bash
FITXER=$(tail -n 1 /var/log/clamd.log | awk -F ': ' '{print $2}')
#
# L'script mou dins de la carpeta "quarantena" el fitxer contaminat
#
QUARANTENA="/srv/exports/quarantena"
mv "$FITXER" $QUARANTENA
echo "Fitxer $FITXER mogut al directori $QUARANTENA" >> /var/log/messages
9- Inici dels serveis clamav i freshclam en el moment d'arrencar el servidor Linkat:
Aquests dos serveis es poden iniciar des de consola executant les ordres:
chkconfig clamd on chkconfig freshclam on
Nota: els fitxers de configuracio clamd.conf, freshclam.conf i l'script elimina_virus.sh es poden descarregar des de: http://download-linkat.xtec.cat/d83/Clam_Antivirus_Servidors_Linkat3_4/clamav_linkat_3_4.tar.gz
La descompressio del fitxer tar.gz s'ha de fer des la forma seguent:
tar -zxvf clamav_linkat_3_4.tar.gz --directory=/
Aquesta ordre copia els fitxers de configuracio clamd.conf i freshclam al directori /etc i l'script elimina_virus.sh al directori /usr/local/bin
Nota: Per escriure aquesta guia s'ha fet servir la informació extreta de:
http://ubuntuforums.org/showthread.php?t=52385
