aktualności

Software
aktualności
Linuxfresh
ClamTk
– ein Antivirus-Scanner
Jean-Pierre Féval
D
er erste Gedanke, der einem
kommt, wenn man die Worte
"Antivirus-Scanner für Linux"
hört, ist: "Wieso? Es gibt doch
kaum Viren für Linux"... Das stimmt, aber
es kommt ziemlich oft vor, dass Linux
als Datei- oder als E-Mail-Server für
Windows-Clients dient. Außerdem kann
Linux mit dem System aus Redmond auf
dem selben Computer koexistieren. In solchen Fällen kann ein Antivirus-Programm
sehr nützlich sein. Das Programm ClamAV
wurde hauptsächlich für das Scannen
durch den E-Mail-Server von eingehenden
E-Mails auf Viren und Internetwürmer
konzipiert. Es kann aber auch zum
Scannen von einzelnen Dateien oder
ganzen Verzeichnissen auf der Festplatte
(einschließlich der Archivinhalte) benutzt
werden. Seine Hauptvorteile sind: der
offene Code, kostenlose Verfügbarkeit
sowie eine ziemlich kurze Reaktionszeit
auf neue Viren (dank des Engagements
von vielen Anwendern). In Bezug darauf,
dass die Nutzung der Befehlszeile nicht für
alle Benutzer komfortabel ist, sind einige
graphische Frontends entstanden, zu denen ClamTk gehört. Dieses Frontend eignet
sich vollkommen für das Aktualisieren der
Virendatenbank (und genauer gesagt der
Virensignaturen) sowie für das Scannen
der Festplatte.
Bei Aurox und ähnlichen LinuxDistributionen bereitet die Installation des
Programms keine Schwierigkeiten, allerdings müssen einige Paketabhängigkeiten
erfüllt werden. Außer dem RPM-Paket,
das vom Autor des Programms selbst
entwickelt wurde, steht Ihnen auch eine Version aus dem DAG-Repository
(http://dag.wieers.com/packages/clamtk/) zur
Verfügung. Selbstverständlich müssen
Sie auch das Programm ClamAV (die
Pakete clamav und clamav-db) installieren.
Diese Pakete können Sie ähnlich wie die
Pakete perl-File-Find-Rule, perl-Number-
48
Linux+ 8/2005
Compare, perl-Text-Glob und perl-Gtk2 aus
dem DAG-Repository herunterladen.
Das Paket perl-Gtk2 wird zwar mit Aurox
mitgeliefert, aber es empfiehlt sich, eine
neuere Version von ihm zu installieren.
Aus dem selben Repository können Sie
das Paket Rar oder Unrar herunterladen,
was dem Scanner ermöglicht, den Inhalt
der RAR-Archive zu analysieren.
Das Frontend ClamTk können Sie sowohl durch Auswahl der entsprechenden
Menüposition als auch durch Ausführung
des Befehls clamtk starten. Falls folgende
Fehlermeldung erscheint: ":locale_h" is not
exported by the POSIX module, ist es am einfachsten, die Datei /usr/bin/clamtk zu editieren und darin die Zeile 11 mit folgendem
Inhalt zu finden:
use POSIX qw/strftime locale_h/;
Damit das Programm einwandfrei gestartet wird, genügt es, die Wörter strftime und
locale_h umzustellen. Endgültig soll diese
Zeile wie folgt aussehen:
use POSIX qw/locale_h strftime/;
Zu Beginn empfiehlt es sich, die
Signaturendatenbank zu aktualisieren.
Zu diesem Zweck sollten Sie ClamTk mit
Administratorrechten starten. Die Option
Signature Date im Menü Help ermöglicht
es, zu überprüfen, von welchem Tag die
aktuell installierte Signaturendatenbank
stammt. Sie kann mit Hilfe der Option
Update Signatures aktualisiert werden.
Für die standardmäßige Arbeit mit dem
Programm genügen die Rechte eines
normalen Benutzers. Es ist jedoch dabei
zu beachten, dass er die Rechte auf das
Scannen von Dateien besitzt. Zu Beginn
sollten Sie prüfen, welche Aktionen
das Programm nach der Erkennung
einer infizierten Datei durchführen soll.
Standardmäßig unternimmt es keine
Abbildung 1. Das Scannen einer großen Anzahl von Dateien kann ziemlich viel Zeit
in Anspruch nehmen
FRESH
Aktionen, es zeigt nur entsprechende
Informationen im Hauptfenster an. Dies
kann jedoch im Menü Take This Action geändert werden. Sie können eine infizierte
Datei in die Quarantäne (Quarantine)
verschieben oder sie löschen (Delete). Die
letztere Option müssen Sie mit besonderer Vorsicht nutzen, denn unabhängig
davon, wie gut das Antivirus-Programm
wäre, kann es jederzeit einen falschen
Alarm schlagen.
Es besteht auch die Möglichkeit,
Informationen über durchgeführte Scans
zu speichern. Leider werden nur das
Scandatum, die Signaturenanzahl, die
Anzahl der gescannten Dateien sowie
Informationen über erkannte Viren gespeichert. Es fehlen dagegen Informationen
darüber, welche Verzeichnisse gescannt
wurden. Um das Einloggen einzuschalten,
genügt es, die [F1]-Taste zu drücken oder
die entsprechende Option im Menü Scan
Options auszuwählen. Die Log-Dateien
werden im Verzeichnis ~/.clamtk/history/
gespeichert – ihre Namen entsprechen
den Scandaten. Sie können sie später mit
Hilfe der Option View–>View Histories
betrachten. Falls Sie sie nicht mehr benötigen, können Sie sie mit Hilfe der Option
View–>Delete Histories löschen.
Außer dem Einloggen stehen Ihnen
auch zwei Scanoptionen zur Verfügung.
Es handelt sich hier um das Scannen von
versteckten Dateien (also Dateien, deren
Namen mit einem Punkt beginnen), das
mit der [F2]-Taste eingeschaltet wird, sowie
das Anzeigen im Programmhauptfenster
aller gescannten Dateien, nicht nur infizierte Dateien (die mit der [F3]-Taste angezeigt
werden).
Zur Auswahl stehen Ihnen drei
Scanoptionen. Sie können eine einzelne Datei (mit der Tastenkombination
[Ctrl]+[F]), ein Verzeichnis (mit [Ctrl]+[D])
oder ein Verzeichnis rekursiv (mit
[Ctrl]+[R]) scannen. Bei der Auswahl eines
Verzeichnisses zum Scannen sollten Sie
darauf aufpassen, dass Sie nicht in dieses
Verzeichnis wechseln – falls darin irgendwelche Unterverzeichnisse enthalten sind,
wird nur das ausgewählte untergeordnete
Verzeichnis gescannt.
Rekursives Scannen von größeren
Verzeichnissen kann ziemlich viel Zeit
beanspruchen. Sie sollten sich aber keine
Sorgen machen, wenn das Programm
manchmal “eingefroren” zu sein scheint
– solange das Festplattenlämpchen blinkt,
bedeutet das, dass das Programm ge-
Abbildung 2. Es empfiehlt sich
eindringlich, Virensignaturen zu
aktualisieren, denn jeden Tag kommen
neue Viren in Umlauf
rade ein Archiv analysiert. Im Falle der
Erkennung einer virenverseuchten Datei
sind die von ClamTk durchzuführenden
Aktionen von den vorhergehend genannten Optionen abhängig. Standardmäßig
beschränkt sich das Programm auf die
Benachrichtigung des Benutzers mit einer
im Hauptfenster angezeigten Meldung.
Falls die Quarantäne als Standardaktion
ausgewählt wurde, wird die infizierte
Datei außer der Benachrichtigung in das
Verzeichnis ~/.clamtk/viruses/ verschoben
und an ihren Namen wird die Endung
.VIRUS angehängt. Die in die Quarantäne
verschobenen Dateien kann man durch
Auswahl der Option Quarantine–>Status
einsehen. Sollte sich herausstellen, dass
die Verschiebung irgendwelcher Datei in
die Quarantäne ein falscher Alarm war,
legen Sie diese Datei in das ursprüngliche
Verzeichnis von Hand zurück – leider verfügt ClamTk nicht über diese Funktionalität.
Die restlichen Dateien können Sie mit Hilfe
der Option Quarantine–> Empty entfernen.
Bei Nutzung von Antivirensoftware ist
zu beachten, dass es kein ideales Programm
gibt. Einen viel effizienteren Schutz bietet
die Verwendung von zwei unabhängigen
Antivirus-Scannern. Dies gilt vor allem
für E-Mail-Server, ist aber auch eine gute
Lösung für PCs.
Die wichtigste Änderung, die die neueste Version des Programms ClamTk mit sich
bringt, ist das Testen der Internetverbindung
bevor der Aktualisierungsvorgang der
Virensignaturen gestartet wird. Dies lässt
ein längeres Einfrieren des Programms
verhindern, obwohl bei Problemen mit der
Verbindung sowieso eine Minute Wartezeit
unvermeidlich ist. Ansonsten wurden in
das Programm ein paar kleine Korrekturen
eingeführt.
News
Logwatch 6.1
Logwatch ist eines der Programme, die
Systemlogs analysieren und Reports
generieren. Aktiviert in bestimmten
Zeitabständen liefert Logwatch Reports,
die für jeden System-Administrator sehr
nützlich sein können. In der neuesten
Version wurden jede Menge Korrekturen
und Verbesserungen vorgenommen.
Verbessert wurde die Option –range,
hinzugefügt wurden neue Dienste: audit,
sonicwall und zz-network sowie die Option
–numeric, mit deren Hilfe einige DNSAnfragen blockiert werden können.
http://freshmeat.net/projects/logwatch/
Gujin 1.1
Eine interessante Alternative zu den populären Programmen LILO oder GRUB
kann Gujin sein. Dieser Bootmanager
(boot loader) versucht, die auf Ihrem
Rechner verfügbaren bootfähigen
Partitionen (nicht nur Linux- sondern
auch BSD-, MS-DOS-, Windows- und
andere Partitionen) selbstständig zu
analysieren, und zeigt ein graphisches
Menü an, in dem das zu startende
Betriebssystem ausgewählt werden
kann. Der Vorteil dieses Programms
ist, dass er die im Verzeichnis /boot
befindlichen Kernel-Images von selbst
erkennt. Nach der Installation eines neuen Kernels brauchen Sie also nicht die
Konfiguration des Bootloaders zu ändern.
Die neueste Version enthält vor allem
Korrekturen von gefundenen Fehlern.
http://freshmeat.net/projects/gujin/
TCP/IP Connection Cutter 1.03
Jeder Netzwerk-Administrator sollte
dieses interessante Programm zu seinem
Toolkit hinzufügen. Das Programm erlaubt es, TCP/IP-Verbindungen, die durch
eine IPtables-basierte Firewall durchkommen, zu schließen. Interessant dabei ist,
dass beim Schließen einer Verbindung
jede der Kommunikationsseiten glaubt,
dass die Verbindung durch die andere
Seite geschlossen wurde. Dieses Tool
soll selbstverständlich nicht verwendet
werden, um jemandem die Nutzung des
Internets schwer zu machen, sondern
nur in begründeten Fällen. In der neuen
Version wurde der im Verzeichnis
/proc/net/ enthaltene Mechanismus zur
Dateianalyse erweitert. Dadurch kann
das Programm mit mehreren Versionen
des Kernels und der Option conntrack
zusammenarbeiten.
http://freshmeat.net/projects/tcpipcutter/
Blueflops 2.0.10
Blueflops ist eine zwei Disketten große
Linux-Distribution, die über den
Webbrowser Links und den einfachen
IRC-Client Tirc verfügt. Der Kernel
enthält die meisten NetzwerkkartenTreiber, die als Module kompiliert
sind, sowie die PPP-Unterstützung. In
der neuesten Version finden Sie auch
die niederländische Übersetzung. Die
Kernel-Version wurde auf 2.6.11.9 und
Syslinux auf 3.08-pre11 aktualisiert.
http://freshmeat.net/projects/blueflops/
http://freshmeat.net/projects/clamtk/
www.lpmagazine.org
49