Antivirus & folder action

[avilerner]

Hallo.

Ich bin ganz neu hier und ein Linux-Anfänger. Ich würde gerne so eine Art Antivirenscanner einrichten. Wie man z.B. clamav installiert, habe ich im Netz gefunden.
Ich weiss, unter Windows und Mac OS kann man sowas wie eine Ordnerüberwachung einrichten, die neue oder geänderte Dateien (auch in Unterordnern oder nach dem Entpacken) dann an clamav zum Scannen senden könnte. Wenn etwas gefunden wird, soll eine GUI Meldung erscheinen (mit Ton).

Doch ich weiss wirklich nicht, wie sowas unter Debian (oder überhaupt Linux) aussehen könnte. Im Internet wurde mal incron erwähnt, doch auch da keine Ahnung, wie ich das einrichten soll.

Falls jemand eine Antivirenscannerlösung für Debian erfolgreich installiert und konfiguriert hat, wäre ich für eine etwas detailliertere Anleitung (Anfänger, der ich bin) sehr dankbar.

Vielen Dank.

Liebe Grüsse

Frank

P.S. Die Virendefinitionen kann man ja angeblich mit cron periodisch updaten lassen. Ich schalte meinen Computer aber nie aus, nur in den Standby. Wenn das Update für eine bestimmte Zeit vorgesehen ist, ich den Computer aber erst später aus dem Standby aufwecke, holt cron das Update dann sofort nach? Oder wartet es erst bis zum nächsten geplanten Termin?

[cronoik]

Hi und willkommen im Forum.

Bei den ubuntuusers findest du eine gute Anleitung [1]. Insbesondere den Teil über die Sinnhaftigkeit solltest du dir durchlesen. Die Ordnerüberwachung geht nach meinem Wissensstand nicht mit clamav. Da müsste man etwas basteln. Allerdings halte ich das eher für wenig sinnvoll, weil dann das Problem schon auf der Platte ist. Die Dateien müssen schon beim herunterladen abgefangen werden, siehe Integrationsmöglichkeiten in andere Programme [2]. Für das aktualisieren der Signaturen brauchst du cron nicht. Dafür gibt es freshclam, siehe auch [1]. Dort kannst du den Zeitintervall einstellen. Noch bzgl. cron: cron führt den Job nur zur definierten Zeit aus. Ist der Rechner nicht an, wird der Job erst beim folgenden definierten Zeitpunkt ausgeführt. Um das zu verhindern gibt es anacron


[1] http://wiki.ubuntuusers.de/ClamAV
[2] http://wiki.ubuntuusers.de/ClamAV#Integ ... -Programme

[Radfahrer]

Vor allem dies hier [1] solltest du dir durchlesen.
Brauchst du wirklich einen Virenscanner, weil du z.B. Dateien für Windowsrechner herunterlädst oder einen Mail-Server betreibst oder glaubst du nur, dass du einen brauchst, weil du es von Windows so gewohnt bist?

[1] http://wiki.ubuntuusers.de/Sicherheitsk ... e-Firewall

[uname]

Vielleicht soviel: Um dein Linux zu schützen brauchst du keinen Virenscanner. Ich setze keine Virenscanner unter Linux ein. Aber auch nach Möglichkeit keine Software aus Fremdquellen, was viel wichter ist. Solltest du einen Debian-Fileserver aufbauen (mit vielen Benutzern) könntest du überlegen zum Schutz der Windows-Systeme (und nur dafür) den Virenscanner auf dem Debian-Fileserver zu installieren. Als doppelter Boden für das Windows trotz Windows-Virenscanner. Aber auch hier sehe ich die Notwendigkeit eher nicht, da sich Windows gefälligst selbst um seine Viren kümmern soll. Das Internet hat z.B. auch keinen eigenen Virenscanner. Und haben dein NAS, deine externen USB-Festplatten bzw. deine USB-Sticks eigene Virenscanner? Der beste Schutz gegen Schadcode ist nicht der Virenscanner, sondern der Einsatz eines Nicht-Windows-Betriebssystems. Auch bedeutet jede unnötige Zusatzsoftware ein unnötiges Sicherheitsrisiko. Einen Virenscanner würde ich unter Linux eindeutig als Erhöhung des Sicherheitsrisikos dazuzählen. Nicht weil er generell unsicher ist, sondern weil er meist unnötig ist.

[Radfahrer]

Aber auch hier sehe ich die Notwendigkeit eher nicht, da sich Windows gefälligst selbst um seine Viren kümmern soll.

Genau so sehe ich das auch. Warum sollte ich mir meinen Linuxrechner mit Snakeoil ala Virenscanner ausbremsen, nur um Windowsrechner "zu schützen" mit denen ich gar nichts am Hut habe?

Der beste Schutz gegen Schadcode ist nicht der Virenscanner, sondern der Einsatz eines Nicht-Windows-Betriebssystems.

Genau. Leider wird immer noch häufig von "Computerviren" geredet, obwohl es ja tatsächlich "Windowsviren" sind.

[uname]

Leider wird immer noch häufig von "Computerviren" geredet, obwohl es ja tatsächlich "Windowsviren" sind.

Wobei eigentlich gibt es heute kaum mehr Viren. Es ist sind eher Trojaner bzw. generell Malware.

[Radfahrer]

Das stimmt natürlich.
Aber auch dabei geht es ja hauptsächlich um Windows.

[avilerner]

Vielen Dank für die Antworten. Wenn ich die Wahl hätte, würde ich wohl auch keinen "Virenscanner" installieren. Und wenn ich nicht schon überzeugt gewesen wäre, hätten mich eure Argumente sicher überzeugt.
Doch leider bin ich verpflichtet, sowas wie einen Virenscanner auf meinem Computer laufen zu lassen (fragt lieber nicht!). Damit muss ich mich abfinden. Da wenigstens keine übergenauen Details/Vorschriften zur Art der AVlösung vorgeschrieben sind, dachte ich eben an clamAV (k.A., wie sehr der die Leistung eines Systems negativ beeinflusst).

Die verlinkten Artikel haben mir ganz gut gezeigt, wie clamAV zu installieren ist. Und dass der freshclam daemon sich selbst periodisch updatet. Danke.
(Was passiert eigentlich, wenn so ein daemon (clamd oder freshclamd) mal crasht? Ich nehme an, es gibt keine GUI Meldung? Und startet er von selbst neu?)

Die Frage, die ich noch gerne klären würde, ist: Wie kann ich neben umfassenderen Scans (manuell oder nach Zeit) meinen Internet-Downloadordner im Hintergrund überwachen lassen (so wie oben beschrieben)? Ich weiss, dass dann die Datei schon auf der Platte liegt, aber immerhin...

Gibt es denn sowas wie eine OS Ordnerüberwachung, die bei veränderten oder neuen Dateien in einem Ordner etwas mit denen machen kann, eben z.B. einen Befehl (scannen) ausführen kann?

Auf jeden Fall vielen Dank schon mal für die Hinweise, Argumente und Tips. Und die Nachsicht mit einem Anfänger.

Liebe Grüsse

Frank

[Radfahrer]

Doch leider bin ich verpflichtet, sowas wie einen Virenscanner auf meinem Computer laufen zu lassen (fragt lieber nicht!).

Doch, ich frage trotzdem.

Wer verlangt denn so einen Blödsinn?

[Dimejo]

Die Frage, die ich noch gerne klären würde, ist: Wie kann ich neben umfassenderen Scans (manuell oder nach Zeit) meinen Internet-Downloadordner im Hintergrund überwachen lassen (so wie oben beschrieben)? Ich weiss, dass dann die Datei schon auf der Platte liegt, aber immerhin...

Gibt es denn sowas wie eine OS Ordnerüberwachung, die bei veränderten oder neuen Dateien in einem Ordner etwas mit denen machen kann, eben z.B. einen Befehl (scannen) ausführen kann?

Was du suchst nennt sich im Allgemeinen on-access Scanner. Das wurde zwar in die aktuelle Version eingebaut (siehe Versionsgeschichte in der Wikipedia), ist aber noch immer nicht in der offiziellen Dokumentation angelangt. Früher gab es noch clamfs, das ist aber derzeit leider nicht in Wheezy verfügbar.

ClamAV ist meiner Meinung nach gut geeignet für Server oder Rettungs-CDs, aber für Desktop-Systeme hat es (im Vergleich zu kommerziellen Programmen) noch etwas Nachholbedarf.

[Dimejo]

Wer verlangt denn so einen Blödsinn?

Zumindest aus Firmensicht ist besser für ein paar Euro pro Jahr eine Antivirus-Software zu kaufen, als im Nachhinein für teures Geld einen Techniker zu bezahlen, der den PC säubert. Ob die Antivirus-Software unter Linux sinnvoll ist oder nicht spielt dabei eher eine geringe Rolle.

[avilerner]

Firma trifft es schon. Na ja...

Dimejo, vielen Dank für die hilfreichen Hinweise. Ich habe versucht den OnAccess-Scanner mit den entsprechenden Einträgen in der clamd.conf-Datei zu starten.
Es funktioniert noch nicht und im Log sind folgende Einträge zu finden:

ScanOnAccess: fanotify_init failed: Operation not permitted
ScanOnAccess: clamd must be started by root

clamd als root laufen zu lassen, ist laut Webrecherche ein grosses Risiko (Ich weiss allerdings nicht mal, wie ich das in diesem Fall machen sollte, kann also es leider nicht mal ausprobieren.)
Oder habe ich bei der Installation etwas falsch gemacht?

Liebe Grüsse

Frank

[uname]

Wenn die Firmenpolitik es verlangt muss man wohl sinnloserweise den Virenscanner auf Linux bringen. Die eigentlichen Gefahren sehe ich im übrigen heute viel mehr in der mobilen Welt. Welchen Virenscanner setzt ihr auf dem IPhone bzw. Android ein? Die Sinnhaftigkeit kann man dort auch entsprechend hinterfragen. Ich denke der appStore und PlayStore scannen wohl schon selbst genug und unsichere Fremdquellen sollte man natürlich nicht verwenden. Eigentlich ist es bei Debian genauso im Gegensatz zu Windows.

[Dimejo]

ScanOnAccess: fanotify_init failed: Operation not permitted
ScanOnAccess: clamd must be started by root

clamd als root laufen zu lassen, ist laut Webrecherche ein grosses Risiko (Ich weiss allerdings nicht mal, wie ich das in diesem Fall machen sollte, kann also es leider nicht mal ausprobieren.)
Oder habe ich bei der Installation etwas falsch gemacht?

Normalerweise wird bei der Installation der Benutzer clamav angelegt, unter dem ClamAV dann auch läuft. Du kannst sudo benutzen, um Dir kurzzeitig root-Rechte zu verschaffen, und den Daemon zu starten.

PS: Mit dem Paket clamav-unofficial-sigs kannst Du Dir die SaneSecurity-Siganturen installieren, die meiner Meinung nach eine gute Ergänzung zu den Standard-Signaturen sind.

Die eigentlichen Gefahren sehe ich im übrigen heute viel mehr in der mobilen Welt.

Die größte Gefahr geht meiner Meinung nach von Phishing-Mails und XSS aus. Das sind Dinge die man nur sehr schwer mit Technik erschlagen kann.

Welchen Virenscanner setzt ihr auf dem IPhone bzw. Android ein? Die Sinnhaftigkeit kann man dort auch entsprechend hinterfragen. Ich denke der appStore und PlayStore scannen wohl schon selbst genug und unsichere Fremdquellen sollte man natürlich nicht verwenden. Eigentlich ist es bei Debian genauso im Gegensatz zu Windows.

Wenn ein Gerät weder gejailbreakt (gibt es dafür einen deutschen Begriff?) ist, noch einen alternativen App Store benutzt, sind die Möglichkeiten es zu infizieren wohl sehr gering. Wie vor kurzem bekannt wurde muss selbst FinSpy händisch auf den Mobil-Geräten installiert werden. Da würde ich mir mehr Sorgen um die Datensammelwut mancher Apps machen.

[avilerner]

Also mit clamav scannen, kann ich jetzt, manuell und zu best. Zeitpunkten. Das ist sehr gut.

Doch diese Ordnerüberwachung bzw. ScanOnAccess für einen Ordner läuft leider nicht. Wenn ich clamd mit sudo starte, erhalte trotzdem die oben genannten Fehlermeldungen.

Ich würde als einzige ständig laufende Hintergrundaufgabe gerne nur den Internet-Download-Ordner überwachen, wohin der Browser alles herunterlädt (pdfs, gifs, Fotos, YouTube Videos...).
Natürlich würde ich gerne die "eingebaute" Funktion von clamav dafür benutzen (wenn es denn schon mal eine mitbringt).

Eine Idee, wie ich das Problem lösen kann? Vielen Dank.

Liebe Grüße

Frank