为Linux服务器部署高效防毒软件(下)
时间:2007-05-23 来源:kulezhaizhuren
为Linux服务器部署高效防毒软件(下)
一、 修改相关参数
f-prot主要用于文件服务器(NFS和Samba)和邮件服务器(sendmail、postfix、Qmail)。 对于文件服务器(NFS和Samba)可以直接使用,而邮件服务器(sendmail、postfix、Qmail)需要作相应修改,这里笔者以Postfix邮件服务器为例。Postfix 邮件服务器使用MailScanner 调用f-prot 与SpamAssassin, MailScanner配置比较直观简单。
1. 安装、配置MailScanner
# tar xzf MailScanner-4.48.4-2.rpm.tar.gz
# cd MailScanner-4.48.4-2
# ./install.sh
2. 修改 /etc/MailScanner/MailScanner.conf
Run As User = postfix
Run As Group = postfix
Incoming Queue Dir = /var/spool/postfix/hold
Outgoing Queue Dir = /var/spool/postfix/incoming
MTA = postfix
Virus Scanners = f-prot
Always Include SpamAssassin Report = yes
Use SpamAssassin = yes
Required SpamAssassin Score = 4
SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin
SpamAssassin Install Prefix = /usr/bin
SpamAssassin Local Rules Dir = /etc/MailScanner
3. 让Postfix 调用MailScanner,在/etc/postfix/main.cf 加入以下一行
header_checks = regexp:/etc/postfix/header_checks
4. 编辑/etc/postfix/header_checks 为以下内容
/^Received:/ HOLD
5. 修正权限
# chown postfix.postfix /var/spool/MailScanner/incoming
# chown postfix.postfix /var/spool/MailScanner/quarantine
二、 f-prot命令行参数
f-prot是基于命令行下的工具,配合一些参数可以更有效查杀Linux、Windows病毒。
格式:f-prot [drive, file or directory] [options]
[options]主要参数见图-1:
| 图1 |
应用说明:目前的防病毒产品普遍应用了一种被称为启发式扫描的技术,这是一种基于人工智能领域启发式( heuristic )搜索技术和行为分析手段的病毒检测技术。启发式扫描能够发现一些应用了已有机制或行为方式的病毒,根据“图灵试验”所获得的理论基础来分析,完全防御未知病毒是不可能的,只有当计算机拥有了超越人类的智能才可能检测出所有的未知病毒。智能主动防御可以有效防御针对未知的威胁及网络攻击;启发式扫描技术主要针对未知的病毒。这两种技术是可以并存的。
[drive, file or directory] 方便代表驱动器名称、文件名称或者目录名称。
三、 测试f-prot
您可以从网址(http://www.eicar.org/anti_virus_test_file.htm )下载一个测试感染文件 http://www.eicar.org/download/eicar_com.zip 将其放在一个临时目录中。使用f-prot扫描该目录。然后查看结果,如果出现图2 界面表示安装fprot安装工作成功。
|
|
|
| 图2 |
从图2 我们可以看到f-port程序版本、扫描引擎版本。病毒库版本:“VIRUS SIGNATURE FILES”包括:SIGN.DEF、SIGN2.DEF、MARCO.DEF 以及生成日期。
四、 应用实例
例如需要可以检查系统加载的Windows分区,如果要检查C盘:使用命令(扫描结果见图-2):
#f-prot /mnt/winc -report=cjh
上面这个命令还会生成一个名称cjh是报表文件。如果你能确认你的电子邮件服务器支持8—bit的字节,可以直接用命令发送报表到管理员邮箱 :
cat <附件文件名> | mail <邮件地址>
cat(“concatenate”的缩写)命令是将几个文件处理成一个文件并将这种处理的结果保存到一个单独的输出文件,这里我们用它来合并邮件的文本。
cat cjh | mail Roger
上面的命令表示把内容为cjh文件内容的邮件给用户Roger。
五、 升级软件
f-prot是依赖当前信息来防止计算机受到新的安全威胁。通过在线升级可以给您的f-prot提供这些新信息,将程序更新和防护更新下载到您的计算机。f-prot安装目录包含一个tools子目录,进入这个目录执行一个perl语言脚步会自动连接到updates.f-prot.com:80端口进行系统的扫描引擎版本和病毒库版本升级,操作如下:
#./check-updates.pl
升级过程如图3 。
| 图3 f-prot升级过程 |
目前,f-prot杀毒软件平均五到七天升级一次。
六、 定时启动f-prot方法
在 Linux 中,任务可以被配置在指定的时间段、指定的日期、或系统平均载量低于指定的数量时自动运行。Linux 随带几个自动化任务的工具:cron、at。
1. 使用cron命令定时启动f-prot
cron 是一个可以用来根据时间、日期、月份、星期的组合来调度对重复任务的执行的守护进程。cron 假定系统持续运行。如果当某任务被调度时系统不在运行,该任务就不会被执行。要使用 cron 服务,你必须安装了 vixie-cron RPM 软件包,而且必须在运行 crond 服务。要判定该软件包是否已安装,使用 rpm -q vixie-cron 命令。要判定该服务是否在运行,使用 /sbin/service crond status 命令。如果没有打开可以运行命令:ntsysv,打开窗口在crond服务选项加上*(用空格键),然后重新启动系统,这样系统会启动cron服务。cron 的主配置文件是 /etc/crontab,/etc/crontab 文件中的每一行都代表一项任务,它的格式是:
minute hour day month dayofweek command
• minute — 分钟,从 0 到 59 之间的任何整数。
• hour — 小时,从 0 到 23 之间的任何整数。
• day — 日期从 1 到 31 之间的任何整数(必须是该月份的有效日期)。
• month — 月份,从 1 到 12 之间的任何整数(或使用月份英文简写如 jan)。
• dayofweek — 星期从 0 到 7 之间的任何整数(或使用星期的英文简写如 sun等)。
• command — 要执行的命令。
应用实例:
首先建立定时器设置文件,文件名称mytype(名称自己设定):
#crontab -e
文件内容:
19 00 * * * /usr/local/f-prot/f-prot /mnt/winc -report=/root/.xfprot/xfprot.log -dumb -archive -noserver
用vi或其他编辑器存盘退出。使用 crontab命令添加到任务列表中:
#crontab -u mytype
这样用户在每天的19点00分会自动对目录/mnt/wic进行病毒扫描并且产生一个报表文件xfprot.log。
2. 使用at命令定时启动f-prot
cron 被用来调度重复的任务,at 命令被用来在指定时间内调度一次性的任务。要使用 at 命令,你必须安装了 at RPM 软件包,并且 atd 服务必须在运行。要判定该软件包是否被安装了,使用 rpm -q at 命令。要判定该服务是否在运行,使用 /sbin/service atd status 命令。
配置 at 作业方法:
要在某一指定时间内调度一项一次性作业,键入 at time 命令。这里的 time 是执行命令的时间。time 参数可以是下面格式中任何一种:
HH:MM 格式 — 譬如,04:00 代表 4:00AM。如果时间已过它就会在第二天的这一时间执行。
midnight — 代表 12:00AM。
noon — 代表 12:00PM。
teatime — 代表 4:00PM。
英文月名 日期 年份 格式— 譬如,January 15 2002 代表 2002 年 1 月 15 日。年份可有可无。
MMDDYY、MM/DD/YY、或 MM.DD.YY 格式 — 譬如,011502 代表 2002 年 1 月 15 日。
now + 时间 — 时间以 minutes、hours、days、或 weeks 为单位。譬如,now + 5 days 代表命令应该在 5 天之后的此时此刻执行。
键入了 at 命令和它的时间参数后,at> 提示就会出现。键入要执行的命令,按 [Enter] 键,然后键入 Ctrl-D。你可以指定多条命令,方法是键入每一条命令后按 [Enter] 键。键入所有命令后,按 [Enter] 键转入一个空行,然后再键入 Ctrl-D。或者,你也可以在提示后输入 shell 脚本,在脚本的每一行后按 [Enter] 键,然后在空行处键入 Ctrl-D 来退出。
应用实例:
at 19:00
at> /usr/local/f-prot/f-prot /mnt/winc -report=/root/.xfprot/xfprot.log -dumb -archive -noserver
at> <EOT>
job 1 at 2007-03-09 19:00
这样在今天的19点00分会自动对目录/mnt/wic进行病毒扫描并且产生一个报表文件xfprot.log。
七、安装图形化界面
大家可能觉得命令行的方式不太友好,所以这里介始一个和f-prot相配的图形化界面xfprot(官方网址:http://web.tiscali.it/sharp/xfprot/ )。xfprot是用perl语言写的,可以运行在任何X-Windows环境下面,比如KDE或Gnome等。
1. 系统要求:
由于开发者使用perl语言和 GTK +(GIMP Tool Kit,GIMP工具包是一个用于创造图形用户接口的库)开发的,所以安装前请检查系统gtk+模块的perl编译器版本。
# rpm –qa | grep perl
# rpm –qa | grep gtk+
硬件: 中央处理器:兼容 Intel X86处理器Pentium 200 以上 ,32 兆(推荐64兆)内存,100兆硬盘空间 ,显示内存4兆。
软件: 内核版本 2.2以上 ,KDE 3.0以上或GNOME 2.0以上,桌面分辨率至少为640×480 ,桌面颜色至少6万5千色(16位元)。
2. 软件下载安装
#wegt http://web.tiscali.it/sharp/xfprot/xfprot-1.18.tar.gz
#gunzip xfprot-1.18.tar.gz;tar vxf xfprot-1.18.tar
#cd xfprot-1.18
#./configure
Checking for bash.....OK
Writing default values to config.h
Setting install and binaries directory prefix to : /usr/local
You can override this with: --with-install-dir=/somedir
Setting xfprot binary directory to: /usr/local/xfprot
Checking for su.....OK
Using default values for f-prot's install directory: /usr/local/f-prot
If you experience problems with the default settings try
the --autodetect switch or change them by editing manually config.h.
Setting xfprot private directory to: ~.xfprot
Running Linux Kernel: 2.6
Checking for konsole.....OK
Found Gtk+ libs version 2.4.13 #检查Gtk库版本#
Using Gtk+ 2.4.13 libs
Build with debug statements?
[1] Yes
[2] No
[1/2]> #选择1 ,建立调试信息#
Adding debug statements to Makefile.in
Setting language to en_GB, you can override this with: --with-lang=xx_XX
Supported languages are:
de_DE
en_GB
es_ES
fr_FR
it_IT
pl_PL
pt_BR
#make
这样就会在/usr/local/xfprot 目录下产生可以执行文件xfprot-gtk。在桌面建立快捷方式:单击鼠标右键选择“Link To Application”在执行菜单内加入/usr/local/xfropt/xfrot-gtk。
3. 软件使用方法
打开一个终端运行命令:“xfprot”即可启动程序,说明如果您使用root权限运行这个命令首先会出现安全警告如图4 。
| 图4 安全警告 |
说明:在Linux操作系统中,root的权限是最高的,也被称为超级权限的拥有者。普通用户无法执行的操作,root用户都能完成,所以也被称之为超级管理用户。超级用户是系统最高权限的拥有者,是系统管理唯一的胜任者;由于权限的超级并且达到无所不能的地步,如果管理不擅,必会对系统安全造成威胁。 应当尽可能的避免用直接用超级用户root登录系统。由于超级权限在系统管理中的不可缺少的重要作用,为了完成系统管理任务,我们必须用到超级权限;在一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成,root用户只是被用来管理和维护系统之用;比如系统日志的查看、清理,用户的添加和删除,在不涉及系统管理的工作的环境下,普通用户足可以完成。
选择“No”退出系统,然后切换到普通用户身份重新运行命令:xfprot,第一次运行该命令首先会重新“协议许可”界面如图5 。
| 图5 协议许可界面 |
在“I agree,don’t show it again”前打钩,点击“Ok”按钮即可。进入主工作界面。如图6 。
| 图6 xfport主工作界面 |
xfport主工作界面一共包括6 大选项27 子选项。实际上对应于表1 的命令选项。
xfport工作界面包括6个重要的快捷键,这样可以提高工作效率:
F1 :扫描目标目录。
F2 :升级软件。(说明这里升级f-port的程序文件、扫描病毒引擎和病毒库,而不是xfropt本身。)。
F3 :查看当前报表文件内容。
F4 :测试扫描,清除病毒。
F5 :查看程序版本信息。(说明这里查看的是f-port的程序文件、扫描病毒引擎和病毒库信息,而不是xfropt本身版本信息)
F6 :查看可以查杀的病毒列表。如图7 。
| 图7 可以查杀的病毒列表 |
从图7 可以看到f-port可以查杀的病毒数量405700个,其中Linux 、Unix病毒619个。
您仔细对照表1 就可以开始使用XFROPT进行工作,在Path to scan 一栏:设置扫描路径即可开始实时工作如图 8 。
| 图 8 Xfprot 实时工作界面 |
总结:
与Windows的病毒相比,从数量(619种Unix 和linux病毒)上看,Linux的病毒几乎可以忽略不计,为了整体的安全,在Linux系统中也需要能查找和杀除Windows病毒。这就需要使用一些专门的反病毒软件。现在,已经有一些开放源码软件和商业软件可供用户选择了,而且其数量正在逐渐增加。作为开源软件f-port for Linux的升级速度还是比较快的。该软件在TopTenREVIEWS(http://toptenreviews.com/ )发布的2007年度的世界杀毒软件排名中位列14名。本文中笔者使用Linux 版本是:centos 4.4。经测试在RH5下也好用
相关阅读 更多 +
排行榜 更多 +
