aktualności
Transcrição
aktualności
Software aktualności Linuxfresh ClamTk – ein Antivirus-Scanner Jean-Pierre Féval D er erste Gedanke, der einem kommt, wenn man die Worte "Antivirus-Scanner für Linux" hört, ist: "Wieso? Es gibt doch kaum Viren für Linux"... Das stimmt, aber es kommt ziemlich oft vor, dass Linux als Datei- oder als E-Mail-Server für Windows-Clients dient. Außerdem kann Linux mit dem System aus Redmond auf dem selben Computer koexistieren. In solchen Fällen kann ein Antivirus-Programm sehr nützlich sein. Das Programm ClamAV wurde hauptsächlich für das Scannen durch den E-Mail-Server von eingehenden E-Mails auf Viren und Internetwürmer konzipiert. Es kann aber auch zum Scannen von einzelnen Dateien oder ganzen Verzeichnissen auf der Festplatte (einschließlich der Archivinhalte) benutzt werden. Seine Hauptvorteile sind: der offene Code, kostenlose Verfügbarkeit sowie eine ziemlich kurze Reaktionszeit auf neue Viren (dank des Engagements von vielen Anwendern). In Bezug darauf, dass die Nutzung der Befehlszeile nicht für alle Benutzer komfortabel ist, sind einige graphische Frontends entstanden, zu denen ClamTk gehört. Dieses Frontend eignet sich vollkommen für das Aktualisieren der Virendatenbank (und genauer gesagt der Virensignaturen) sowie für das Scannen der Festplatte. Bei Aurox und ähnlichen LinuxDistributionen bereitet die Installation des Programms keine Schwierigkeiten, allerdings müssen einige Paketabhängigkeiten erfüllt werden. Außer dem RPM-Paket, das vom Autor des Programms selbst entwickelt wurde, steht Ihnen auch eine Version aus dem DAG-Repository (http://dag.wieers.com/packages/clamtk/) zur Verfügung. Selbstverständlich müssen Sie auch das Programm ClamAV (die Pakete clamav und clamav-db) installieren. Diese Pakete können Sie ähnlich wie die Pakete perl-File-Find-Rule, perl-Number- 48 Linux+ 8/2005 Compare, perl-Text-Glob und perl-Gtk2 aus dem DAG-Repository herunterladen. Das Paket perl-Gtk2 wird zwar mit Aurox mitgeliefert, aber es empfiehlt sich, eine neuere Version von ihm zu installieren. Aus dem selben Repository können Sie das Paket Rar oder Unrar herunterladen, was dem Scanner ermöglicht, den Inhalt der RAR-Archive zu analysieren. Das Frontend ClamTk können Sie sowohl durch Auswahl der entsprechenden Menüposition als auch durch Ausführung des Befehls clamtk starten. Falls folgende Fehlermeldung erscheint: ":locale_h" is not exported by the POSIX module, ist es am einfachsten, die Datei /usr/bin/clamtk zu editieren und darin die Zeile 11 mit folgendem Inhalt zu finden: use POSIX qw/strftime locale_h/; Damit das Programm einwandfrei gestartet wird, genügt es, die Wörter strftime und locale_h umzustellen. Endgültig soll diese Zeile wie folgt aussehen: use POSIX qw/locale_h strftime/; Zu Beginn empfiehlt es sich, die Signaturendatenbank zu aktualisieren. Zu diesem Zweck sollten Sie ClamTk mit Administratorrechten starten. Die Option Signature Date im Menü Help ermöglicht es, zu überprüfen, von welchem Tag die aktuell installierte Signaturendatenbank stammt. Sie kann mit Hilfe der Option Update Signatures aktualisiert werden. Für die standardmäßige Arbeit mit dem Programm genügen die Rechte eines normalen Benutzers. Es ist jedoch dabei zu beachten, dass er die Rechte auf das Scannen von Dateien besitzt. Zu Beginn sollten Sie prüfen, welche Aktionen das Programm nach der Erkennung einer infizierten Datei durchführen soll. Standardmäßig unternimmt es keine Abbildung 1. Das Scannen einer großen Anzahl von Dateien kann ziemlich viel Zeit in Anspruch nehmen FRESH Aktionen, es zeigt nur entsprechende Informationen im Hauptfenster an. Dies kann jedoch im Menü Take This Action geändert werden. Sie können eine infizierte Datei in die Quarantäne (Quarantine) verschieben oder sie löschen (Delete). Die letztere Option müssen Sie mit besonderer Vorsicht nutzen, denn unabhängig davon, wie gut das Antivirus-Programm wäre, kann es jederzeit einen falschen Alarm schlagen. Es besteht auch die Möglichkeit, Informationen über durchgeführte Scans zu speichern. Leider werden nur das Scandatum, die Signaturenanzahl, die Anzahl der gescannten Dateien sowie Informationen über erkannte Viren gespeichert. Es fehlen dagegen Informationen darüber, welche Verzeichnisse gescannt wurden. Um das Einloggen einzuschalten, genügt es, die [F1]-Taste zu drücken oder die entsprechende Option im Menü Scan Options auszuwählen. Die Log-Dateien werden im Verzeichnis ~/.clamtk/history/ gespeichert – ihre Namen entsprechen den Scandaten. Sie können sie später mit Hilfe der Option View–>View Histories betrachten. Falls Sie sie nicht mehr benötigen, können Sie sie mit Hilfe der Option View–>Delete Histories löschen. Außer dem Einloggen stehen Ihnen auch zwei Scanoptionen zur Verfügung. Es handelt sich hier um das Scannen von versteckten Dateien (also Dateien, deren Namen mit einem Punkt beginnen), das mit der [F2]-Taste eingeschaltet wird, sowie das Anzeigen im Programmhauptfenster aller gescannten Dateien, nicht nur infizierte Dateien (die mit der [F3]-Taste angezeigt werden). Zur Auswahl stehen Ihnen drei Scanoptionen. Sie können eine einzelne Datei (mit der Tastenkombination [Ctrl]+[F]), ein Verzeichnis (mit [Ctrl]+[D]) oder ein Verzeichnis rekursiv (mit [Ctrl]+[R]) scannen. Bei der Auswahl eines Verzeichnisses zum Scannen sollten Sie darauf aufpassen, dass Sie nicht in dieses Verzeichnis wechseln – falls darin irgendwelche Unterverzeichnisse enthalten sind, wird nur das ausgewählte untergeordnete Verzeichnis gescannt. Rekursives Scannen von größeren Verzeichnissen kann ziemlich viel Zeit beanspruchen. Sie sollten sich aber keine Sorgen machen, wenn das Programm manchmal “eingefroren” zu sein scheint – solange das Festplattenlämpchen blinkt, bedeutet das, dass das Programm ge- Abbildung 2. Es empfiehlt sich eindringlich, Virensignaturen zu aktualisieren, denn jeden Tag kommen neue Viren in Umlauf rade ein Archiv analysiert. Im Falle der Erkennung einer virenverseuchten Datei sind die von ClamTk durchzuführenden Aktionen von den vorhergehend genannten Optionen abhängig. Standardmäßig beschränkt sich das Programm auf die Benachrichtigung des Benutzers mit einer im Hauptfenster angezeigten Meldung. Falls die Quarantäne als Standardaktion ausgewählt wurde, wird die infizierte Datei außer der Benachrichtigung in das Verzeichnis ~/.clamtk/viruses/ verschoben und an ihren Namen wird die Endung .VIRUS angehängt. Die in die Quarantäne verschobenen Dateien kann man durch Auswahl der Option Quarantine–>Status einsehen. Sollte sich herausstellen, dass die Verschiebung irgendwelcher Datei in die Quarantäne ein falscher Alarm war, legen Sie diese Datei in das ursprüngliche Verzeichnis von Hand zurück – leider verfügt ClamTk nicht über diese Funktionalität. Die restlichen Dateien können Sie mit Hilfe der Option Quarantine–> Empty entfernen. Bei Nutzung von Antivirensoftware ist zu beachten, dass es kein ideales Programm gibt. Einen viel effizienteren Schutz bietet die Verwendung von zwei unabhängigen Antivirus-Scannern. Dies gilt vor allem für E-Mail-Server, ist aber auch eine gute Lösung für PCs. Die wichtigste Änderung, die die neueste Version des Programms ClamTk mit sich bringt, ist das Testen der Internetverbindung bevor der Aktualisierungsvorgang der Virensignaturen gestartet wird. Dies lässt ein längeres Einfrieren des Programms verhindern, obwohl bei Problemen mit der Verbindung sowieso eine Minute Wartezeit unvermeidlich ist. Ansonsten wurden in das Programm ein paar kleine Korrekturen eingeführt. News Logwatch 6.1 Logwatch ist eines der Programme, die Systemlogs analysieren und Reports generieren. Aktiviert in bestimmten Zeitabständen liefert Logwatch Reports, die für jeden System-Administrator sehr nützlich sein können. In der neuesten Version wurden jede Menge Korrekturen und Verbesserungen vorgenommen. Verbessert wurde die Option –range, hinzugefügt wurden neue Dienste: audit, sonicwall und zz-network sowie die Option –numeric, mit deren Hilfe einige DNSAnfragen blockiert werden können. http://freshmeat.net/projects/logwatch/ Gujin 1.1 Eine interessante Alternative zu den populären Programmen LILO oder GRUB kann Gujin sein. Dieser Bootmanager (boot loader) versucht, die auf Ihrem Rechner verfügbaren bootfähigen Partitionen (nicht nur Linux- sondern auch BSD-, MS-DOS-, Windows- und andere Partitionen) selbstständig zu analysieren, und zeigt ein graphisches Menü an, in dem das zu startende Betriebssystem ausgewählt werden kann. Der Vorteil dieses Programms ist, dass er die im Verzeichnis /boot befindlichen Kernel-Images von selbst erkennt. Nach der Installation eines neuen Kernels brauchen Sie also nicht die Konfiguration des Bootloaders zu ändern. Die neueste Version enthält vor allem Korrekturen von gefundenen Fehlern. http://freshmeat.net/projects/gujin/ TCP/IP Connection Cutter 1.03 Jeder Netzwerk-Administrator sollte dieses interessante Programm zu seinem Toolkit hinzufügen. Das Programm erlaubt es, TCP/IP-Verbindungen, die durch eine IPtables-basierte Firewall durchkommen, zu schließen. Interessant dabei ist, dass beim Schließen einer Verbindung jede der Kommunikationsseiten glaubt, dass die Verbindung durch die andere Seite geschlossen wurde. Dieses Tool soll selbstverständlich nicht verwendet werden, um jemandem die Nutzung des Internets schwer zu machen, sondern nur in begründeten Fällen. In der neuen Version wurde der im Verzeichnis /proc/net/ enthaltene Mechanismus zur Dateianalyse erweitert. Dadurch kann das Programm mit mehreren Versionen des Kernels und der Option conntrack zusammenarbeiten. http://freshmeat.net/projects/tcpipcutter/ Blueflops 2.0.10 Blueflops ist eine zwei Disketten große Linux-Distribution, die über den Webbrowser Links und den einfachen IRC-Client Tirc verfügt. Der Kernel enthält die meisten NetzwerkkartenTreiber, die als Module kompiliert sind, sowie die PPP-Unterstützung. In der neuesten Version finden Sie auch die niederländische Übersetzung. Die Kernel-Version wurde auf 2.6.11.9 und Syslinux auf 3.08-pre11 aktualisiert. http://freshmeat.net/projects/blueflops/ http://freshmeat.net/projects/clamtk/ www.lpmagazine.org 49