Antivirus Perfil Servidor
De Wiki Linkat
(→Virus informàtics i entorns GNU/Linux:) |
|||
| Línia 1: | Línia 1: | ||
= Virus informàtics i entorns GNU/Linux: = | = Virus informàtics i entorns GNU/Linux: = | ||
| - | <br> | + | [[Image:/home/jdegra/Escriptori/virus.png]]<br> |
| + | |||
| + | |||
Segons la [http://ca.wikipedia.org/wiki/Virus_inform%C3%A0tic wikipedia] un virus informàtic és: | Segons la [http://ca.wikipedia.org/wiki/Virus_inform%C3%A0tic wikipedia] un virus informàtic és: | ||
Revisió de 15:14, 13 juny 2012
Contingut |
Virus informàtics i entorns GNU/Linux:
Imatge:/home/jdegra/Escriptori/virus.png
Segons la wikipedia un virus informàtic és:
"... un programa que es copia automàticament per alterar el funcionament normal de l'ordinador, sense el permís o el coneixement de l'usuari. Encara que opularment s'inclou el "malware" dins dels virus, en el sentit estricte d'aquesta ciència els virus són programes que es repliquen i s'executen per si mateixos. Els virus, habitualment, reemplacen arxius executables per uns altres, infectats amb el codi del virus. Els virus poden destruir, de manera intencionada, les dades emmagatzemades en un ordinador, encara que també n'existeixen altres més benignes, que només es caracteritzen pel fet de ser molestos.
Els virus informàtics tenen, bàsicament, la funció de propagar-se, replicant-se, però alguns contenen a més una càrrega maligna (payload) amb diferents objectius, des d'una simple broma fins a realitzar danys importants en els sistemes, o blocar les xarxes informàtiques generant trànsit inútil. El funcionament d'un virus informàtic és conceptualment simple. S'executa un programa que està infectat, en la majoria de les ocasions, per desconeixement de l'usuari. El codi del virus queda resident (allotjat) a la memòria RAM de la computadora, encara que el programa que el contenia hagi acabat d'executar-se. El virus pren llavors el control dels serveis bàsics del sistema operatiu i infectant posteriorment arxius executables que siguin cridats per a la seva execució. Finalment s'afegeix el codi del virus al del programa infectat i es grava al disc, amb la qual cosa es completa el procés de replicació."
Malware a GNU/Linux:
Tal i com es recull a la wikipedia, els sistems GNU/Linux estan protegits contra els virus informàtics:
"El sistema operatiu GNU/Linux, Unix i altres derivats generalment són qualificats com que estan protegits contra els virus informàtics. Actualment, no es coneix l'existència de cap amenaça de l'anomenat programari maliciós, malware, en Linux que s'hagi expandit a un nivell si més no similar a les amenaces existents en el sistema operatiu Microsoft Windows.
Això s'atribuïx en gran part al fet que el malware no aconsegueix els permisos per a realitzar activitats nocives a dins del sistema i a les ràpides actualitzacions davant de vulnerabilitats que s'eliminen diàriament en Linux, pròpies del model de programari lliure.
Alguns factors addicionals per al reforç de la seguretat en Linux, són la major cultura informàtica difosa entre els usuaris de sistemes GNU/Linux i la manca d'incentius per a un programador a l'hora d'escriure malware per a aquest sistema, a causa de la seua relativament baixa quota de mercat (90% Windows vs 1% Linux). A més, un sistema amb Linux instal·lat, en general, no s'assembla a un altre: diferents versions del nucli Linux, diferent programari instal·lat, opcions de configuració i característiques de seguretat diferents, etcètera. La qual cosa dificulta en gran mesura la labor d'un atacant. La quantitat de programari maliciós disponible a GNU/Linux, incloent virus, trojans i altre programari escrit específicament per a GNU/Linux s'ha incrementat en els últims anys, duplicant-se durant 2005 a causa de l'explosió del sistema operatiu en entorns d'usuari final i ingrés al mercat de les computadores d'escriptori."
Recursos per saber-ne més sobre virus i entorns GNU/Linux
Linux y virus: no sólo cuestión de popularidad
Virus en GNU/Linux: ¿Realidad o Mito?
Mitos y realidades Linux y los virus
Antivirus en GNU/Linux: ClamAV
Tot i que els sistemes GNU/Linux són robustos i immunes als virus informàtics, les distribucions GNU/Linux incorporen l'antivius ClamAV. ClamAV és un antivirus que té llicència PL per a GNU/Linux que utilitza la base de dades d'OpenAntivirus. ClamAV està dissenyat per detectar Troians, virus, malware, etc, i s'utilitza molt en pasarel·les de correu electrònic. Podeu trobar-ne més informació sobre aquest antivirus al manual d'ús de l'antivirus ClamAV
Configuració de l'antivirus al servidor de centre Linkat
El perfil servidor de centre Linkat ofereix a la xarxa les unitats compartides: treball (T), programari (S), professorat (P) i gestió (G). En cas que el servidor Linkat es trobi en un entorn heterogeni, amb ordinadors windows contaminats per virus informàtics, aquestes unitats poden emmagatzemar els fitxers contaminats que provenen d'aquests ordinadors. Aquests fitxers no afecten de cap manera al servidor de centre però poden esdevenir un punt d'infecció per a d'altres ordinadors windows de la xarxa. Així doncs, de forma complementària als antivirus locals dels ordinadors amb windows, es pot configurar el servidor de centre per tal que examini els fitxers que es desen en aquestes unitats de xarxa.
Instal·lació del programa antivirus ClamAV en servidors Linkat 3 i 4:
Per instal·lar la darrera versió del programa ClamAV (v 0.97.2) es recomana afegir els repositoris Evergreen següents en funció de la versió del servidor Linkat de centre.
Per a Linkat 3 (basada en openSuSE 11.1):
zypper ar http://download-linkat.xtec.cat/mirror/evergreen/11.1/standard/ Evergreen_11.1
Per a Linkat 4 (basada en openSuSE 11.2):
zypper ar http://download-linkat.xtec.cat/mirror/evergreen/11.2/standard/ Evergreen_11.2
Un cop afegits els repositoris corresponents, cal instal·lar els paquets: clamav i clamavdb. Un cop instal·lats, cal executar freshclam manualment perquè es descarreguin les definicions de virus més actuals.
3- Cal instal·lar el paquet: dazuko i dazuko-kmp-{default, pae, xen,.....} que correspongui amb el kernel instal·lat (amb uname -a se sap)
4- Cal carregar-lo en memòria: /etc/sysconfig/kernel -> MODULES_LOADED_ON_BOOT="dazuko"
5- No cal modificar els permisos del mòdul dazuko ja que el daemon clamdscan funcionarà sota l’usuari root (línia User root del fitxer /etc/clamd.conf)
6- Modificar el fitxer: /etc/clamd.conf
Nota: el símbol -> representa els canvis que s’han realitzat
LogFile /tmp/clamd.log -> LogFile /var/log/clamd.log User root ExtendedDetectionInfo yes TemporaryDirectory /var/tmp -> TemporaryDirectory /tmp MaxConnectionQueueLength 30 MaxThreads 20 LeaveTemporaryFiles yes DetectPUA yes ClamukoScanOnAccess yes ClamukoScanOnOpen yes ClamukoScanOnClose yes ClamukoScanOnExec yes ClamukoScannerCount 10 ClamukoIncludePath /srv/exports/T ClamukoIncludePath /srv/exports/P DetectBrokenExecutables yes OLE2BlockMacros yes HeuristicScanPrecedence yes ClamukoScannerCount 10 ClamukoMaxFileSize 10M #VirusEvent /usr/local/bin/send_sms 123456789 "VIRUS ALERT: %v" VirusEvent /usr/local/bin/elimina_virus.sh&
L’script elimina_virus.sh (executable amb permisos 755) conté:
#!/bin/bash
FITXER=$(tail -n 1 /var/log/clamd.log | awk -F ': ' '{print $2}')
#
# L'script definitiu, en compes d'eliminar els fitxers contaminats els mourà a una carpeta independent.
#
rm $FITXER
echo "Eliminat $FITXER" >> /var/log/messages
NOTA: Info extreta de:
http://ubuntuforums.org/showthread.php?t=52385
Sobre l’arxiu freshclam.conf (actualitza les bases de dades de l’antivirus):
LogFacility LOG_LOCAL6
Checks 24 (1 cada hora)
DetectionStatsCountry ES
SafeBrowsing yes
DatabaseMirror db.es.clamav.net
Nota: La DatabaseMirror es de la forma: db.XX.clamav.net (on XX és el codi de país: ES per al cas espanyol).
Segon el fitxer de configuració: SafeBrowsing:
- This option enables support for Google Safe Browsing. When activated for
- the first time, freshclam will download a new database file (safebrowsing.cvd)
- which will be automatically loaded by clamd and clamscan during the next
- reload, provided that the heuristic phishing detection is turned on. This
- database includes information about websites that may be phishing sites or
- possible sources of malware. When using this option, it's mandatory to run
- freshclam at least every 30 minutes.
- Freshclam uses the ClamAV's mirror infrastructure to distribute the
- database and its updates but all the contents are provided under Google's
- terms of use. See http://code.google.com/support/bin/answer.py?answer=70015
- and http://safebrowsing.clamav.net for more information.
NOTA: Important!!! Cal assegurar-se que clamav i freshclam s'inicïin en el moment d'arrencar el sistema (chkconfig o a través del YaST).
