ЛАБОРАТОРИЯ КАСПЕРСКОГО
Антивирус Касперского® 4.5 для Linux,
FreeBSD и OpenBSD Mail Servers
РУКОВОДСТВО АДМИНИСТРАТОРА
АНТИВИРУС КАСПЕРСКОГО® ДЛЯ
LINUX, FREEBSD И OPENBSD MAIL SERVERS
ВЕРСИЯ 4.5
Руководство
администратора
ЗАО "Лаборатория Касперского"
Тел. (095)797-87-00 • Факс (095)948-43-31
http://www.kaspersky.ru
Дата редакции: декабрь 2003 года
Содержание
ГЛАВА 1. АНТИВИРУС КАСПЕРСКОГО® ДЛЯ LINUX, FREEBSD И OPENBSD
MAIL SERVERS........................................................................................................... 7
1.1. Что нового в версии 4.5 ...................................................................................... 8
1.2. Политика лицензирования................................................................................. 9
1.3. Аппаратные и программные требования к системе..................................... 10
1.4. Комплект поставки............................................................................................. 11
1.4.1. Лицензионное соглашение........................................................................ 11
1.4.2. Регистрационная карточка........................................................................ 12
1.5. Сервис для зарегистрированных пользователей......................................... 12
1.6. Принятые обозначения..................................................................................... 13
ГЛАВА 2. ТИПИЧНЫЕ СХЕМЫ РАЗВЕРТЫВАНИЯ ПРОДУКТА.......................... 15
2.1. Внутренняя архитектура Антивиру са Касперского®..................................... 16
2.2. Работа на одном сервере с почтовой системой ........................................... 18
2.3. Работа в качестве дополнительного фильтра .............................................. 19
2.4. Работа на выде ленном сервере ..................................................................... 21
2.5. Фильтрация почты внешних почтовых ящиков ............................................. 23
ГЛАВА 3. УСТАНОВКА АНТИВИРУСА КАСПЕРСКОГО®....................................... 25
3.1. Универсальная установка................................................................................ 25
3.1.1. Запуск процедуры инста лляции............................................................... 26
3.1.2. Поиск предыдущей версии........................................................................ 27
3.1.2.1. Архивация (Backup) предыдущего дистрибутива ........................... 27
3.1.2.2. Обновление до версии 4.5 ................................................................. 28
3.1.2.3. Установка параллельно с более ранней версией........................... 28
3.1.3. Копирование файлов ди стрибутива........................................................ 29
3.1.4. Интеграция с почтовой системой............................................................. 30
3.1.5. Установка лицензионного ключа .............................................................. 30
3.1.6. Завершение установки .............................................................................. 31
3.1.7. Отчет о процессе инсталляции ................................................................ 31
3.2. Установка программы на сервер под управлением Linux ........................... 32
4 Антивирус Касперского® для Unix Mail Server
3.3. Установка программы на сервер под управлением FreeBSD или
OpenBSD........................................................................................................... 33
ГЛАВА 4. ПОСТИНСТАЛЛЯЦИОННАЯ НАСТРОЙКА ............................................ 35
4.1. Настройка продукта по умолчанию................................................................. 35
4.2. Установка / обновление антивирусных баз ................................................... 37
4.3. Настройка совместной работы с Webmin ...................................................... 38
4.4. Интеграция продукта с почтовыми системами вручную.............................. 39
4.4.1. Интеграция с почтовой системой sendmail ............................................. 40
4.4.2. Интеграция с почтовой системой qmail ................................................... 40
4.4.3. Интеграция с почтовой системой Postfix................................................. 41
4.4.4. Интеграция с почтовой системой Exim.................................................... 42
4.4.5. Конфигурация Антивируса Касперского® для интеграции с
почтовой системой...................................................................................... 43
4.5. Создание списка защищаемых пользователей............................................ 47
ГЛАВА 5. РАБОТА С АНТИВ ИРУСОМ КАС ПЕРСКОГО®....................................... 51
5.1. Обновление антивирусных баз ....................................................................... 51
5.1.1. Планирование обновлений антивиру сных баз посредством cron....... 53
5.1.2. Разовое обновление антивиру сных баз.................................................. 54
5.2. Антивирусная защита почтового трафика сервера...................................... 56
5.2.1. Доставка только незараженных и вылеченных почтовых
сообщений ................................................................................................... 57
5.2.2. Доставка зараженных сообщений............................................................ 61
5.2.3. Блокирование доставки адресатам сообщений..................................... 64
5.2.4. Дополнительная фильтрация писем по типу вложений ....................... 66
5.2.5. Настройка уведомлений об истечении лице нзии по трафику.............. 72
5.3. Антивирусная защита файловых систем....................................................... 73
5.3.1. Сканирование каталога из командной строки ........................................ 74
5.3.2. Ежедневная проверка каталога по расписанию..................................... 75
5.3.3. Перенос объектов в отдельный каталог (карантин) .............................. 75
5.3.4. Дополнительные возможности: исполь зование скрипт-файлов.......... 77
5.3.4.1. Лечение зараженных объектов в архиве.......................................... 77
5.3.4.2. Отправка администратору уведомления ......................................... 80
5.4. Управление лицензионными ключами........................................................... 81
5.4.1. Просмотр информации о лицензионно м ключе..................................... 82
5.4.2. Продление лицензии.................................................................................. 86
Содержание 5
ГЛАВА 6. ДОПОЛНИТЕЛЬНАЯ НАСТРОЙКА .......................................................... 87
6.1. Настройка антивирусной защиты почтового трафика.................................. 87
6.1.1. Формирование групп по льзователе й....................................................... 89
6.1.2. Режим проверки и лечения сообщений................................................... 91
6.1.3. Действия над почтовым и сообщениями ................................................. 92
6.1.4. Уведомление отправителей, получателей и администраторов .......... 94
6.2. Настройка антивирусной защиты файловых систем сервера.................... 97
6.2.1. Область сканирования............................................................................... 98
6.2.2. Режим проверки и лечения файлов......................................................... 99
6.2.3. Действия над файлами............................................................................ 100
6.3. Настройка работы процесса aveserver......................................................... 101
6.3.1. Перезагрузка aveserver............................................................................102
6.3.2. Принудительное завершение работы aveserver.................................. 103
6.4. Локализация отображаемого формата даты и времени ........................... 103
6.5. Параметры формирования отчета Антивируса Касперского®.................. 104
6.5.1. Формат сообщений о сканировании ...................................................... 106
6.5.2. Формат прочих сообщений......................................................................107
6.5.3. Формат сообщений, выводящихся на консоль..................................... 108
ГЛАВА 7. ВОЗМОЖНЫЕ ВОПРОСЫ ПРИ РАБОТЕ С ПР ОДУКТОМ................. 110
ГЛАВА 8. ДЕИНСТАЛЛЯЦИЯ АНТИВИРУСА КАСПЕРСКОГО®.......................... 115
ПРИЛОЖЕНИЕ A. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ О ПРОДУКТЕ................. 116
A.1. Расположение файлов продукта по каталогам.......................................... 116
A.2. Конфигурационный файл Антивиру са Касперского®................................. 117
A.3. Ключи командной строки компонента kavscanner ...................................... 126
A.4. Коды возврата компонента kavscanner........................................................ 130
A.5. Ключи командной строки компонента aveserver......................................... 131
A.6. Коды возврата компонента aveserver .......................................................... 131
A.7. Ключи командной строки компонента smtpscanner.................................... 132
A.8. Коды возврата компонента smtpscanner ..................................................... 133
A.9. Ключи командной строки компонента licenseviewer...................................133
A.10. Ключи командной строки компонента kavupdater.....................................134
A.11. Коды возврата компонента kavupdater...................................................... 135
A.12. Пример скрипт-файла (vox.sh) для лечения tar- и zip-архивов .............. 135
A.13. Пример конфигурационного файла почтовой программы Postfix
master.cf........................................................................................................... 137
6 Антивирус Касперского® для Unix Mail Server
ПРИЛОЖЕНИЕ B. ВРЕДОНОСНЫЕ ПРОГРАММЫ В UNIX-СРЕДЕ.................. 139
B.1. Вирусы.............................................................................................................. 139
B.2. Троянские программы .................................................................................... 141
B.3. Сетевые черви ................................................................................................ 142
ПРИЛОЖЕНИЕ C. ЗАО "ЛАБОРАТОРИЯ КАСПЕРСКОГО" ................................ 144
C.1. Другие разработки "Лаборатории Касперского" ......................................... 145
C.2. Наши координаты........................................................................................... 149
ПРИЛОЖЕНИЕ D. УКАЗАТЕЛЬ................................................................................ 151
ГЛАВА 1. АНТИВИРУС
КАСПЕРСКОГО® ДЛЯ
LINUX, FREEBSD И
OPENBSD MAIL SERVERS
Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers
(далее также Антивирус Касперского
Unix Mail Servers) предназначен для антивирусной обработки почтового
трафика и файловых систем серверов, работающих под управлением
операционных систем Linux, FreeBSD или OpenBSD и использующих любую
из следующих почтовых программ: sendmail, postfix, qmail, exim.
Программный продукт позволяет:
• проверять на присутствие вирусов все примонтированные файло-
вые системы , а также входящий и исходящий поток почтовых сообщений SMTP-трафика сервера;
• выявлять инфицированные, подозрительные, поврежденные и защищенные паролем файлы, а также файлы, в результате проверки
которых произошла ошибка;
• выполнять антивирусную обработку (лечить) зараженных объектов файловых систем и почтовых сообщений;
• переносить в карантинный каталог инфицированные, подозрительные и поврежденные объекты файловых систем сервера и его
почтового трафика; дополнительно для почтового трафика на карантин можно переносить вылеченные и защищенные паролем файлы,
а также файлы, в результате проверки которых произошла ошибка;
• обрабатывать почтовый трафик в соответствии с правилами, заданными для групп отправителей-получателей;
• организовывать дополнительную фильтрацию почтового потока
сообщений по именам и типам вложенных файлов и применять к отфильтрованным объектам отдельные правила обработки;
• уведомлять отправителя, получателя и администратора группы о
почтовом сообщении, содержащем инфицированный, подозрительный и др. объекты;
®
, Антивирус Касперского® для
8 Антивирус Касперского® для Unix Mail Server
• обновлять антивирусные базы. Ресурсом для обновления баз являются сервера обновлений "Лаборатории Касперского".
Антивирусные базы используются в процессе поиска и лечения зараженных файлов. На основе записей, содержащихся в них, каждый
файл во время проверки анализир уется на присутствие вирусов: код
файла сравнивается с кодом, характерным для того или иного вируса. В случае если файл инфицирован, программа выполняет его лечение.
Необходимо помнить, что каждый день появляются новые
вирусы, поэтому для поддержания продукта в актуальном
состоянии мы рекомендуем обновлять антивирусные базы
ежедневно.
®
• конфигурировать Антивирус Касперского
программы Webmin и конфигурационный файл продукта.
через веб-интерфейс
1.1. Что нового в версии 4.5
В версии Антивируса Касперского® 4.5 по сравнению с версией 4.0
произведены следующие изменения:
• Все компоненты продукта переведены на новое антивирусное ядро,
которое уменьшает нагрузку на рабочие станции или сервера без сокращения функциональности продукта.
• Исправлен ряд недостатков Антивируса Касперского® для Unix версии 4.0, связанных с его архитектурными особенностями.
• Исполняемый файл компонента kavdaemon переименован в aveserver и усовершенствован.
• Компонент kavkeeper переименован в smtpscanner и доработан.
• Компонент веб-конфигурации WebTuner заменен на модуль (plug-in)
к распространенной программе Webmin. При этом функциональность
продукта расширилась.
• Контроль за лицензированием почтового трафика модифицирован:
теперь вы можете отправлять уведомления администраторам при
достижении критического объема лицензионного трафика.
• Конфигурационные файлы всех компонентов объединены в один
kav4mailservers.conf, что позволяет управлять всем проду ктом в целом. В связи с этим выполнен полный переход конфигурации всего
продукта с бинарной базы на текстовую.
Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers 9
• Добавлены возможность конфигурации форматов представления
времени и даты в отчетах о работе компонент программы и в уведомлениях, а также локализация результата проверки почтовых сообщений в уведомлениях на различные языки.
• Расширен набор макросов, используемых в уведомлениях о провер-
ке почтовых сообщений.
• Появилась возможность использовать скрипт-файлы для обработки
объектов с различным статусом (зараженных, поврежденных и т.д.).
• Добавлена возможность автоматического перезапуска резидентных
компонентов программы сразу после успешного обновления антивирусных баз.
• Продукт распространяется в стандартных пакетах для поддерживае-
мых дистрибутивов операционных систем (rpm, deb).
• Изменилась политика лицензирования продукта:
• по окончании действия лицензии Антивирус Касперского®
сохраняет свою функциональность за исключением обновления антивирусных баз;
• без лицензионного ключа Антивирус Касперского
тает.
• Компонент kavucc (Control Centre) удален в связи с упрощением ар-
хитектуры продукта.
• Компоненты kavinspector (Inspector), kavtuner (Tuner) и kavmonitor
(Monitor) удалены из состава продукта.
®
не рабо-
1.2. Политика лицензирования
Политика лицензирования Антивируса Касперского® предполагает систему
ограничений на использование продукта по:
• времени использования продукта (как правило, ограничивается
сроком в один год со дня приобретения продукта).
• количеству пользователей (электронных адресов).
• объему суточного почтового трафика (Mb/сутки).
Вы можете приобрести лицензию как по какому-либо одному типу
ограничения (например, по суточному объему почтового трафика), так и по
совокупности типов (например, по количеству почтовых ящиков на один
год).
10 Антивирус Касперского® для Unix Mail Server
Существуют некоторые особенности настройки продукта исходя типа
приобретенной лицензии на его использование. Так, при ограничении ПО
КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ (электронных адресов) вам необходимо
сформировать список пользователей, на которых будет распространяться
антивирусная защита (см. п. 4.5 на стр. 47). А при ограничении ПО ОБЪЕМУ
ПОЧТОВОГО ТРАФИКА у вас есть возможность настроить уведомление
администратора об истечении действия лицензии в связи с достижением
критического объема лицензированного почтового трафика (см. п. 5.2.5 на
стр. 72).
1.3. Аппаратные и программные
требования к системе
Для работы Антивируса Касперского® необходимо соответствие системы
следующим требованиям:
• Аппаратные требования:
• Процессор класса Pentium.
• Объем оперативной памяти не менее 32 Мб.
• Свободное место на диске не менее 100 Mb.
• Программные требования:
• Одна из следующих операционных систем:
o Linux RedHat (версии 7.3, 8.0 и 9.0), Linux SuSE (версии
8.1 и 8.2) или Linux Debian (версия 3.0)
o FreeBSD версии 4.7 и 5.0
o OpenBSD версии 3.3
• Одна из почтовых систем: sendmail версии 8.x, qmail версии
1.03, Postfix версии не ниже snapshot_20000529, Exim вер-
сии 4.0
• Программа wget (http://gnu.org/software/wget/wget.html
обновления антивирусных баз с помощью kavupdater.
• Программа Webmin (www.webmin.com) – для удаленного
администрирования Антивируса Касперского
• Perl версии 5.0 и выше (www.perl.org
Антивируса Касперского
®
с помощью install.pl.
®
.
) – для установки
) – для
Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers 11
1.4. Комплект поставки
Антивирус Касперского® вы можете приобрести у наших дистрибьюторов
(коробочный вариант), а также в интернет-магазине (www.kaspersky.ru
раздел Купить онлайн).
Если вы приобретаете продукт в коробке, то в комплект поставки
программного продукта входят:
• запечатанный конверт с установочным компакт-диском (или дискетами), на котором записаны файлы программного продукта;
• руководство администратора;
• лицензионный ключ;
• регистрационная карточка (с указанием серийного номера продукта);
• лицензионное соглашение.
Перед тем, как распечатать конверт с компакт-диском (или с дискетами),
внимательно ознакомьтесь с лицензионным соглашением.
®
При покупке Антивируса Касперского
продукт с веб-сайта "Лаборатории Касперского", в дистрибутив которого
помимо самого продукта включены также лицензионный ключ.
в интернет-магазине вы скачиваете
,
1.4.1. Лицензионное соглашение
Лицензионное соглашение – это юридическое соглашение между вами и
ЗАО "Лаборатория Касперского", в котором указано, на каких условиях вы
можете пользоваться приобретенным вами программным продуктом.
Внимательно прочитайте лицензионное соглашение!
Если вы не согласны с условиями лицензионного соглашения, вы можете
вернуть коробку с Антивирусом Касперского® дистрибьютору, у которого
она была приобретена, и получить назад сумму, уплаченную за подписку.
При этом конверт с установочным компакт-диском (или с дискетами)
должен оставаться запечатанным.
Открывая запечатанный пакет с установочным компакт-диском (или с
дискетами), вы тем самым принимаете все условия лицензионного
соглашения.
12 Антивирус Касперского® для Unix Mail Server
1.4.2. Регистрационная карточка
Пожалуйста, заполните отрывной корешок регистрационной карточки, по
возможности наиболее полно указав свои координаты: фамилию, имя,
отчество (полностью); телефон, адрес электронной почты (если она есть), и
отправьте ее дистрибьютору, у которого вы приобрели программный
продукт.
Если в последствии у вас изменится почтовый/электронный адрес или
телефон, пожалуйста, сообщите об этом в организацию, куда был отослан
отрывной корешок регистрационной карточки.
Регистрационная карточка является документом, на основании которого вы
приобретаете статус зарегистрированного пользователя нашей компании.
Это дает вам право на круглосуточную техническую поддержку в течение
срока подписки. Кроме того, зарегистрированным пользователям,
подписавшимся на рассылку новостей ЗАО "Лаборатория Касперского",
высылается информация о выходе новых программных продуктов и о
появлении новых вирусов.
1.5. Сервис для
зарегистрированных
пользователей
ЗАО "Лаборатория Касперского" предлагает своим легальным
пользователям большой комплекс услуг, позволяющих увеличить
эффективность использования Антивируса Касперского®.
Приобретая подписку, вы получаете статус зарегистрированного
пользователя программы и в течение срока действия подписки получаете
следующие услуги:
• возможность получения ежедневных обновлений антивирусных баз
по электронной почте;
• предоставление новых версий данного программного продукта;
• консультации по вопросам, связанным с установкой, настройкой и
эксплуатацией данного продукта, оказываемые по телефону и электронной почте;
• оповещение о выходе новых продуктов Лаборатории Касперского и о
новых вирусах, появляющихся в мире (данная услуга предоставля-
Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers 13
ется пользователям, подписавшимся на рассылку новостей ЗАО
"Лаборатория Касперского").
Консультации по вопросам функционирования и использования
операционных систем, а также работы различных технологий не
оказываются.
1.6. Принятые обозначения
Текст документации выделяется различными элементами оформления в
зависимости от его смыслового назначения. В расположенной ниже
таблице приведены используемые условные обозначения.
Оформление Смысловое назначение
Жирный шрифт
Примечание.
Внимание!
Чтобы выполнить
действие,
1. Шаг 1.
2. …
Задача, пример
Решение
Название элемента управления –
назначение элемента управления.
Названия меню, пунктов меню, окон,
элементов диалоговых окон и т. п.
Дополнительная информация,
примечания.
Информация, на которую следует
обратить особое внимание.
Описание последовательности
выполняемых пользователем шагов и
возможных действий.
Постановка задачи, примера для
реализации возможностей
программного продукта
Реализация поставленной задачи
Описание дерева настроек.
14 Антивирус Касперского® для Unix Mail Server
Оформление Смысловое назначение
[ключ] – назначение ключа.
Текст командной строки
Текст информационных сообщений
Ключи командной строки.
Текст, вводимый пользователем из
командной строки.
Текст конфигурационных файлов и
информационных сообщений
программы.
ГЛАВА 2. ТИПИЧНЫЕ СХЕМЫ
РАЗВЕРТЫВАНИЯ
ПРОДУКТА
В зависимости от исходной архитектуры почтового сервера мы предлагаем
несколько вариантов развертывания Антивируса Касперского
Servers:
• на один сервер с почтовой системой: такой вариант используется
при наличии на сервере уже установленной и настроенной почтовой
системы sendmail, qmail, postfix или exim (см. п. 2.2 на стр. 18).
• на выделенный сервер в качестве дополнительного фильтра: этот
способ рекомендуется использовать при работе основного почтового
сервера под управлением неподдерживаемых операционной и почтовой систем (см. п. 2.4 на стр. 21).
• на один сервер с почтовой системой в качестве дополнительного
фильтра: этот вариант организации рекомендуется использовать в
том случае, если на почтовом сервере уже установлен некоторый
почтовый фильтр, например, Kaspersky Anti-Spam (см. п. 2.3 на
стр. 19).
• как фильтр для внешних почтовых ящиков: такой способ организации полезно использовать, когда пользователи почтового сервера
имеют почтовые ящики на внешних серверах и необходимо обеспечить антивирусную защиту скачиваемых почтовых сообщений (см.
п. 2.5 на стр. 22).
Во всех перечисленных выше случаях помимо фильтрации почтового
трафика Антивирус Касперского
всех примонтированных файловых систем.
Прежде чем приступить к подробному изучению перечисленных выше
вариантов развертывания, рассмотрим внутреннюю архитектуру
Антивируса Касперского
работы.
®
®
может также выполнять и сканирование
для наиболее полного отражения алгоритма
®
для Unix Mail
16 Антивирус Касперского® для Unix Mail Server
2.1. Внутренняя архитектура
Антивируса Касперского
Важным аспектом в работе с Антивирусом Касперского® является четкое
понимание алгоритма его функционирования.
В данном разделе мы рассмотрим внутреннюю архитектуру продукта в
контексте сканирования именно почтового трафика, поскольку процесс
сканирования файловых систем сервера достаточно прост и не требует
отдельного изучения.
Необходимо отметить, что Антивирус Касперского
для фильтрации
способный принимать почтовый поток и выполнять его маршрутизацию.
Для этого используется почтовая система, установленная на сервере, с
которой интегрируется Антивирус после инсталляции.
Рассмотрим подробнее на примере почтовой системы sendmail алгоритм
внутренней работы Антивируса Касперского
его интеграции с почтовой системой (см. рис. 1).
Напомним, что в процессе интеграции Антивируса с почтовой системой sendmail создается дополнительный конфигурационный
файл sendmail.cf.listen.
При запуске sendmail с использованием этого конфигурационного
файла почтовая система осуществляет прием почтового трафика
сервера и передачу его на обработку Антивирусу Касперского
при запуске с исходным конфигурационным файлом (sendmail.cf) –
доставку почтовых сообщений, переданных Антивирусом.
Итак, предусмотрен следующий алгоритм работы:
1. Почтовый трафик поступает по SMTP-протоколу почтовой системе
sendmail (конфигурационный файл sendmail.cf.listen). Sendmail
создает очередь, где хранит поступающую почту, и передает ее по
протоколу LMTP компоненту smtpscanner на обработку.
2. Компонент smtpscanner обрабатывает почтовый поток в
соответствии с настройками. Процесс сканирования и лечения
выполняется следующим образом:
a. smtpscanner передает имя файла почтового сообщения
b. aveserver выполняет проверку и лечение объекта с помощью
почты на вирусы и не представляет собой почтовый агент,
компоненту aveserver по локальному сокету;
антивирусных баз;
®
предназначен только
®
для Unix Mail Servers после
®
®
, а
Типичные схемы развертывания продукта 17
c. smtpscanner получает от aveserver код возврата,
определяющий статус файла;
d. в соответствии со статусом объекта smtpscanner выполняет
действия над ним на основании настроек конфигурационного
файла.
3. Обработанный почтовый поток с уведомлениями о результатах
проверки и лечения передается по SMTP-протоколу почтовой
системе sendmail (с конфигурационным файлом sendmail.cf),
которая выполняет доставку почтового потока локальным
пользователям или осуществляет маршрутизацию на другие
почтовые сервера.
Рисунок 1. Внутренняя архитектура
Антивируса Касперского
®
для Unix Mail Servers
18 Антивирус Касперского® для Unix Mail Server
2.2. Работа на одном сервере с
почтовой системой
Далее в этом документе, рассматривая работу Антивируса Касперского® и его настройку, мы будем описывать именно такой вариант
работы – на одном сервере с почтовой системой!
Установка и функционирование Антивируса Касперского
с почтовой программой осуществляется только на поддерживаемых
операционных системах (Linux, FreeBSD или OpenBSD).
В качестве почтовой системы могут использоваться следующие программы:
sendmail, qmail, postfix или exim.
Такой вариант работы рекомендуется при средней удельной загрузке почтового сервера.
Рассмотрим подробнее схему работы Антивируса Касперского
приведенных почтовых систем на одном сервере (см. рис. 2). Порядок
работы со входящей и исходящей почтой идентичен и состоит из
следующих этапов:
1. Почтовый поток сообщений поступает с других серверов либо из
локальной сети по SMTP-протоколу.
2. Почтовая система принимает поток сообщений и передает его на
обработку Антивирусу Касперского
3. Антивирус Касперского
соответствии с настройками и возвращает его почтовой системами
с дополнительным набором уведомлений.
4. Почтовая система осуществляет маршрутизацию почтового
трафика либо на внешние сервера, либо в почтовые ящики
локальной сети.
®
обрабатывает почтовый трафик в
®
.
®
на одном сервере
®
и любой из
Типичные схемы развертывания продукта 19
Рисунок 2. Схема работы Антивируса Касперского®
на одном сервере с почтовой системой
Исходя из приведенной схемы работы при установке Антивируса
Касперского
процессе инсталляции либо сразу после нее):
• Установить порт почтового сервера, на котором будет работать Ан-
• Определить порт почтовой системы, на который она будет прини-
®
вам необходимо выполнить следующие настройки (в
®
тивирус Касперского
мать почту от Антивируса Касперского
.
®
после фильтрации.
2.3. Работа в качестве
дополнительного фильтра
Антивирус Касперского® может использоваться как в качестве основного,
так и дополнительного фильтра. Если на момент инсталляции продукта на
вашем почтовом сервере уже был установлен некоторый фильтр почтового
трафика, то вам необходимо определить, какой из почтовых фильтров
(Антивирус Касперского® или уже установленный на сервере) будет
основным, а какой – дополнительным. Критерием выбора является способ
фильтрации.
Основным (условно назовем его MX1) является тот фильтр, который
фильтрует почтовый трафик на основе IP-адреса отправителя. Такой
фильтр устанавливается первым на 25-й порт сервера, принимает почту,
поступающую на сервер, фильтрует ее и потом передает на обработку
дополнительному фильтру. Дополнительный фильтр (условно назовем его
20 Антивирус Касперского® для Unix Mail Server
MX2) инсталлируется на тот же хост, что и основной, но на другой IP-адрес
и порт.
Если на вашем сервере не установлен фильтр, основанный на IP-адресе
отправителя, вы можете ставить Антивирус Касперского
®
основным
фильтром. Если же на сервере установлен фильтр по IP, то инсталлируйте
Антивирус в качестве дополнительного фильтра. Такой порядок обусловлен
тем, что после проверки Антивирусом Касперского
®
весь почтовый поток
выходит с одного IP-адреса. Следовательно, фильтрация по IP после
антивирусной обработки не будет иметь смысла.
Рисунок 3. Схема работы Антивируса Касперского® в качестве дополнительного
фильтра на одно сервере с почтовой системой
Итак, выполните следующие настройки для основного и дополнительного
фильтров:
• Настройки основного фильра (MX1):
Имя хоста, на котором установлен фильтр: mx1.yourhost.domain
IP-адрес фильтра: все доступные
Номер порта, на котором работает фильтр: 25
Имя хоста для пересылки почты: mx2.yourhost.domain:10026
• Настройки дополнительного фильтра (MX2):
Имя хоста, на котором установлен фильтр: mx2.yourhost.domain
IP-адрес фильтра: 127.0.0.1
Номер порта, на котором работает фильтр: 10026
Имя хоста, от которого принимается почта: mx1.yourhost.domain
Типичные схемы развертывания продукта 21
Имена хостов у фильтров MX1 и MX2 должны быть разные, так как
сервер не примет сообщение, если в диалоге helo/ehlo у хостов
будут одинаковые имена. MX2 должен быть доверенным для MX1
и наоборот, иначе доставка будет невозможна.
2.4. Работа на выделенном
сервере
Фильтрацию и антивирусную обработку почтового потока с помощью
Антивируса Касперского
работе вашего почтового сервера под управлением другой операционной
системы, например, Windows.
В такой ситуации Антивирус Касперского® устанавливается на отдельный,
сервер под управлением операционной системы Linux, FreeBSD или
OpenBSD.
Для обеспечения приема трафика и его пересылки почтовому Windowsсерверу параллельно с Антивирусом на выделенный сервер также
устанавливается одна из почтовых систем – sendmail, qmail, postfix или exim
– и выполняется ее интеграция с Антивирусом Касперского
стр. 39).
При такой схеме имеет место следующая последовательность работы
(см. рис. 4):
• Почтовый трафик поступает на сервер под управлением операцион-
ной системы семейства Unix.
• Почтовая система (например, qmail) направляет его на обработку
Антивирусу Касперского
• Проверенная почта с уведомлениями, сформированными Антивирусом, передается обратно почтовой системе, которая в свою очередь
направляет ее на основной почтовый сервер для доставки или дальнейшей маршрутизации.
®
для Unix Mail Servers можно выполнять и при
®
(см. п. 4.4 на
®
по протоколу LMTP.
22 Антивирус Касперского® для Unix Mail Server
Рисунок 4. Схема работы Антивируса Касперского®
на выделенном сервере
В приведенной схеме сервер с Антивирусом Касперского® является
основным сервером, поскольку осуществляет прием почтового потока
сообщений и его пересылку, а сервер с MS Exchange – дополнительным,
выполняющим только доставку.
Если же до установки Антивируса Касперского
®
ваш почтовый сервер
выполнял фильтрацию писем по IP-адресу отправителя, то сервер с
Антивирусом Касперского® необходимо использовать в качестве
дополнительного. Причина состоит в следующем: если сервер с
Антивирусом сделать основным, то все почтовые сообщения на
дополнительный сервер (с IP-фильтрацией) будут поступать с одного IPадреса, соответственно фильтрация станет невозможной.
Если внутри вашей локальной сети есть почтовые сервера, то MXзаписи или параметры пересылки должны указывать на основной
сервер, а не на дополнительный.
• Настройки основного фильра (MX1):
Имя хоста, на котором установлен фильтр: mx1.yourhost.domain
Имя хоста для пересылки почты: mx2.yourhost.domain:25
• Настройки дополнительного фильтра (MX2):
Имя хоста, на котором установлен фильтр: mx2.yourhost.domain
Имя хоста, от которого принимается почта: mx1.yourhost.domain
Типичные схемы развертывания продукта 23
2.5. Фильтрация почты внешних
почтовых ящиков
В настоящее время широкое распространение имеют внешние почтовые
ящики на серверах типа www.mail.ru, www.aport.ru, www.hotmail.com и
других.
Как предотвратить заражение при скачивании инфицированных почтовых
сообщений с таких ящиков? Ведь почта доставляется через POP3протокол, а Антивирус Касперского® проверяет только почтовый трафик по
SMTP-протоколу.
Для обеспечения антивирусной защиты внешней почты необходимо:
1. Перекрыть порт 110 порт, дать пользователям простой доступ к
внешней почте и организовать работу шлюза как прокси-сервера для
POP3 посредством пакета fetchmail. Этот пакет скачивает почтовые
сообщения с внешних серверов и перекладывает их на локальный
SMTP-порт. Это, собственно, и требуется, так как после поступления
на SMTP-порт их обрабатывает Антивирус Касперского
Для фильтрации почты внешних почтовых ящиков требуется
наличие локального SMTP-сервера и учетной записи локального пользователя на компьютере, где установлен пакет
fetchmail!
Настройка fetchmail очень проста: у каждого пользователя в каталоге
$HOME есть файл .fetcmailrc, как минимум содержащий следующие
строки:
set postmaster "user"
set bouncemail
set no spambounce
set properties ""
poll mail.that.is.free.ru with proto POP3
user 'remote_user' there with password
'pass12345' is 'user' here
poll mail2.that.is.free.ru with proto POP3
user 'remote_user2' there with password
'pass123452' is 'user' here
где:
user – имя пользователя в локальной сети;
®
.
24 Антивирус Касперского® для Unix Mail Server
mail.that.is.free.ru и mail2.that.is.free.ru – имена хостов, с которых
нам надо забирать почту;
remote_user и remote_user2 – имена учетных записей на хостах
mail.that.is.free.ru и mail2.that.is.free.ru, соответственно;
pass12345 и pass123452 – пароли для учетных записей remote_user
и remote_user2.
При такой настройке программа fetchmail будет забирать почтовые
сообщения с хостов mail.that.is.free.ru и mail2.that.is.free.ru и отправлять их на локальный SMTP пользователю user. При этом поля почтовых сообщений (from, to и другие) меняться не будут, появится
только дополнительный заголовок received, оставленный fetchmail.
Пользователь будет получать письма в том же виде, что и при получении обычным образом.
2. Внести команду fetchamail в crontab пользователя на запуск,
например, каждые 10-15 минут.
Для автоматизации процесса настройки программы fetchmail остальным
пользователям, использующим внешние почтовые ящики, нам понадобятся
следующие данные:
• имя внешнего хоста, с которого fetchmail будет забирать почту;
• имя учетной записи на внешнем хосте;
• пароль учетной записи.
Также в домашнем каталоге каждого пользователя должен быть файл
.fetchmailrc следующего вида:
set postmaster "user"
set bouncemail
set no spambounce
set properties ""
Для добавления в него записей о почтовых ящиках можно использовать
скрипт-файл:
#!/bin/bash
echo "poll $1 with proto POP3 " >>$HOME/.fetchmailrc
echo "user '$2' with password '$3' is '$4'
here">>$HOME/.fetchmailrc
Если запустить данный скрипт-файл со следующими параметрами:
pop.mail.ru, dan, secret, admin, то письма для получателя dan@mail.ru будут
пересылаться на адрес admin@your_host.your_domain.
ГЛАВА 3. УСТАНОВКА
АНТИВИРУСА
КАСПЕРСКОГО®
Прежде чем приступить к установке Антивируса Касперского® для Unix Mail
Servers, мы рекомендуем вам выполнить следующую подготовку вашей
системы:
• Убедиться, что система соответствует аппаратным и программным
требованиям для установки Антивируса Касперского
стр. 9). Если не установлены какие-либо из приложений, например,
wget, рекомендуем вам установить их, иначе часть функциональности продукта будет недействительна.
• Сделать резервные копии конфигурационных файлов почтовой сис-
темы, установленной на вашем сервере.
• Настроить интернет-соединение.
• Войти систему под пользователем root или любым другим, имеющим
UID (уникальный идентификационный номер) равным нулю.
®
(см. п. 1.2 на
Рекомендуем вам выполнять инсталляцию продукта в нерабочее
время или тогда, когда поток почтовых сообщений – наименьший!
3.1. Универсальная установка
Такой вариант установки един для всех дистрибутивов операционной cистемы Linux.
Универсальный дистрибутив Антивируса Касперского® для Unix Mail Servers
поставляется в виде архива. Архив содержит дерево каталогов файлов
дистрибутива и инсталляционный скрипт install.pl (далее также
инсталлятор), осуществляющий установку.
Для операционной системы Linux также предусмотрены rpm- и deb-пакеты
дистрибутивов (см. п. 3.2 на стр. 32), для операционной системы FreeBSD и
OpenBSD – tgz-пакеты (см. п. 3.3 на стр. 33).
Инсталляция продукта на сервер состоит из следующих этапов:
26 Антивирус Касперского® для Unix Mail Server
1. Инспекция сервера на предмет установленного Антивируса
Касперского
®
версии 4.0, исходя из которой возможны следующие
сценарии работы инсталлятора:
• более ранняя версия отсутствует – переход к установке
продукта на сервер;
• обнаружен установленный Антивирус Касперского
ранней версии:
o архивирование (backup) обнаруженного дистрибутива и
установка нового;
o обновление до версии 4.5;
o установка продукта версии 4.5 параллельно с более
ранней версией.
Этапы архивирования, обновления до версии 4.5 и
параллельной установки не зависят друг от друга.
2. Копирование файлов дистрибутива на сервер.
3. Интеграция с почтовой системой.
4. Установка лицензионного ключа (только в случае его отсутствия в
составе дистрибутива).
Рассмотрим подробнее шаги инсталляции продукта на сервер.
®
более
3.1.1. Запуск процедуры инсталляции
Для запуска установки Антивируса Касперского® на сервер выполните следующие действия:
1. Скопируйте архив дистрибутива в каталог файловой системы
сервера.
2. Распакуйте архив командой
из архива будут извлечены несколько файлов: инсталлятор и
дерево файлов дистрибутива продукта.
3. Запустите инсталляционный скрипт: install.pl.
tar zxvf <имя архива>. В результате
Установка Антивируса Касперского 27
3.1.2. Поиск предыдущей версии
Сразу после запуска инсталляции производится инспекция системы на
предмет установленного ранее Антивируса Касперского
версии 4.0.
Если на сервере не установлена более ранняя версия продукта,
запускается процесс копирования файлов дистрибутива на сервер (см.
п. 3.1.3 на стр. 29).
Если обнаруживается продукт предыдущей версии, на консоль выводится
сообщение:
Previously installed components of Kaspersky AV
found. Do you want to back them up now?
и администратору предлагается выполнить архивацию предыдущей версии
продукта (см. п. 3.1.2.1 на стр. 27).
Вы можете отказаться от архивации и перейти к обновлению
установленного ранее продукта (см. п. 3.1.2.2 на стр. 28). Если же вы хотите
параллельно работать и со старой и с новой версией продукта, откажитесь
от обновления и переходите непосредственно к копированию файлов
дистрибутива продукта на сервер (см. п. 3.1.2.3 на стр. 28).
®
для Unix
3.1.2.1. Архивация (Backup) предыдущего
дистрибутива
Итак, при обнаружении более ранней версии продукта администратору
будет предложено заархивировать ранее установленный Антивирус
Касперского® (выполнить его backup) и затем удалить его дистрибутив.
Архив более ранней версии Антивируса Касперского
для последующего восстановления, если, например, вы решите вернуться к
его использованию.
®
может пригодиться
Задача по восстановлению предыдущей версии Антивируса Касперского® возлагается на администратора.
Для архивации дистрибутива необходимо указать путь к файлу архива:
Where do you want to save backup file?
Enter absolute path to file without .tgz extension
[/tmp/oldkav].
Если предложенный по умолчанию файл уже существует, на консоль будет
выведено сообщение с предложением его перезаписи.
28 Антивирус Касперского® для Unix Mail Server
При отказе от значения по умолчанию необходимо указать полный путь к
файлу архива без расширения.
После успешной архивации продукта администратору предлагается
удалить прежнюю версию и перейти к ее обновлению до версии 4.5.
3.1.2.2. Обновление до версии 4.5
Процедура обновления версии (upgrade) заключается в конвертации
прежних настроек Антивируса (файл defUnix.prf) в конфигурационный файл
для версии 4.5:
Do you want to convert old settings to new config
file? [yes]
Для запуска конвертации ответьте утвердительно. Процесс создания
конфигурационного файла для версии 4.5 с параметрами, справедливыми
для более ранней версии, будет запущен.
Вы можете указать созданный файл в качестве используемого по
умолчанию. Для этого ответьте утвердительно на следующий вопрос
инсталлятора:
Do you want to make generated file as a default config file?
Конфигурационный файл, включенный в поставку продукта, будет
переименован (/etc/kav/4.5/kav4mailservers.conf.copy) и сохранен в том же
каталоге. Новому сконвертированному файлу будет присвоено имя
конфигурационного файла Антивируса Касперского
(/etc/kav/4.5/kav4mailservers.conf.).
Если вы не хотите заменять включенный в поставку конфигурационный
файл созданным, ответьте отрицательно. В этом случае новый файл будет
сохранен в одном каталоге с основным (/etc/kav/4.5/kav4mailservers.conf.4.0)
и при необходимости вы сможете использовать его в работе Антивируса
Касперского
®
.
®
версии 4.5
3.1.2.3. Установка параллельно с более
ранней версией
Функционирование на сервере сразу двух версий Антивируса Касперского®
для Unix Mail Servers тоже возможно, однако стоит помнить, что лишь одна
из них будет осуществлять антивирусную обработку почтового трафика.
Что касается компонентов, осуществляющих сканирование файловой
системы, то они могут функционировать независимо друг от друга.
Установка Антивируса Касперского 29
Компонент же, отвечающий за сканирование почтового потока
(smtpscanner), интегрируется с почтовой системой. Интеграция для новой и
более ранней версий идентична, следовательно, может быть выполнена
только для одной из них.
®
Для установки Антивируса Касперского
версии 4.5 параллельно с более
ранней вам необходимо:
1. Отказаться от архивации (см. п. 3.1.2.1 на стр. 27).
2. Отказаться от обновления (см. п. 3.1.2.2 на стр. 28).
3. Перейти к копированию файлов дистрибутива Антивируса
Касперского
®
версии 4.5 на сервер.
3.1.3. Копирование файлов дистрибутива
На этом этапе установки продукта запускается интерактивный процесс
инсталляции, который заключается в копировании файлов дистрибутива
Антивируса Касперского® на ваш сервер.
Файлы пакета разбиты на несколько категорий в соответствии с их
назначением, например: бинарные файлы, файлы конфигурации, скрипты
инициализации и т.д. Каждую категорию инсталлятор предлагает
скопировать в соответствующий каталог. Например, для бинарных файлов
это каталог /opt/kav/bin:
Installing the content of the package.
In which directory do you want to install the binary
files? [/opt/kav/bin]:
Полные пути к каталогам для различных дистрибутивов отличаются. Так,
например, бинарные файлы дистрибутива для операционной системы
FreeBSD будут скопированы в каталог /usr/local/kav/bin.
Вы можете указать свои каталоги, но не забудьте после установки
внести соответствующие изменения в конфигурацию продукта!
На основании полученных ответов осуществляется создание необходимых
каталогов и копирование файлов.
®
Поскольку в дистрибутив Антивируса Касперского
включен модуль
удаленного администрирования к пакету Webmin, в процессе копирования
файлов выполняется поиск установленного на сервере Webmin.
Если инсталлятор не обнаруживает его по стандартному пути
расположения (например, /etc/Webmin), на консоль выводится
соответствующее сообщение с просьбой указать путь к каталогу хранения
30 Антивирус Касперского® для Unix Mail Server
конфигурационного файла Webmin. В случае отсутствия установленного
пакета на вашем сервере модуль удаленного администрирования
Антивируса Касперского® инсталлирован не будет. Однако необходимые
файлы для его установки содержатся в архиве дистрибутива Антивируса
Касперского®, и позже вы можете самостоятельно установить модуль к
Webmin средствами данного пакета (подробнее см. документацию к
программе Webmin).
3.1.4. Интеграция с почтовой системой
Во время инсталляции продукта производится его автоматическая
интеграция с почтовой системой.
На данном шаге установки продукта вам необходимо выбрать название
почтовой системы, установленной на сервере, из предложенного
инсталлятором списка: sendmail, qmail, Postfix или Exim. После этого
интеграция с почтовой системой будет выполнена автоматически.
Если на момент инсталляции продукта ни одна из приведенных
почтовых систем не была установлена на сервере, установка Антивируса Касперского
Если вы хотите внести некоторые коррективы в совметсную работу
Антивируса и почтовой системы, выполните это вручную (см. п. 4.4
на стр. 39).
По завершении установки Антивируса Касперского
sendmail и Exim необходимо в скриптах автоматического запуска процессов
(start-up) указать запуск данных почтовых систем со вторым
конфигурационным файлом, создаваемым при установке Антивируса
Касперского® (sendmail.cf.listen и exim.conf.listen).
®
будет прервана!
®
для почтовых систем
3.1.5. Установка лицензионного ключа
На данном этапе инсталляции в текущем каталоге выполняется поиск
лицензионного ключа – файла, необходимого для работы Антивируса
Касперского® (файл с расширением key). Этот файл определяет тип
лицензии и позволяет приступить к использованию продукта. До тех пор
пока вы не установите лицензионный ключ, работа с Антивирусом
Касперского
Если лицензионный ключ обнаружен, то инсталлятор выводит
соответствующую информацию на консоль и переходит к следующему
этапу – установке антивирусных баз (см. п. 4.2 на стр. 37).
®
будет невозможна.
Установка Антивируса Касперского 31
Если лицензионный ключ не обнаружен, инсталлятор предлагает указать
полный путь к нему. В случае отсутствия ключа у администратора
(например, продукт приобретен через интернет, и лицензионной ключ еще
не получен по электронной почте), необходимо отказаться от указания пути
к лицензионному ключу (выбрать ответ [cancel]) и продолжить процесс
инсталляции продукта.
Как только лицензионный ключ будет получен, его необходимо будет
копировать в каталог хранения ключей, путь к которому определяется
параметров LicensePath конфигурационного файла Антивируса
Касперского
Если обнаружен лицензионный ключ, не соответствующий данному
продукту (например, ключ к Антивирусу Касперского® для Unix File Server),
то с таким ключом программа после установки будет осуществлять только
сканирование файловой системы сервера.
®
(см. п. A.2 на стр. 117).
3.1.6. Завершение установки
Если все описанные выше шаги инсталляции завершились успешно, то на
консоль будет выведено соответствующее сообщение. Конфигурационный
файл, входящий в поставку продукта, содержит все необходимые настройки
для начала работы. Ряд параметров файла определяются в процессе
установки продукта, такие как:
• имя хоста, на котором будет работать Антивирус Касперского®;
• тип лицензии (по пользователям или по трафику).
Остальные параметры заданы по умолчанию (см. п. 4.1 на стр. 35). Однако
администратору необходимо выполнить некоторые настройки для того,
чтобы приступить к работе с Антивирусом Касперского®. Например, одна из
важнейших настроек – это интеграция продукта с почтовой системой, без
чего не будет проверяться почтовый трафик. Подробнее обо всех
настройках до начала использования продукта см. Глава 4 на стр. 35.
Если какой-либо этап установки не был выполнен (например, на момент
установки антивирусных баз отсутствовал доступ к ним), его можно
повторить в другое время.
3.1.7. Отчет о процессе инсталляции
Информация обо всех действиях в процессе инсталляции записывается в
текстовый файл /etc/kav/4.5/locations.
32 Антивирус Касперского® для Unix Mail Server
Этот файл необходим для обновления продукта (patch), дополнительной
установки каких-либо компонентов, которые не были инсталлированы, а
также для удаления продукта.
Формат строк отчета различается в зависимости от событий, которые они
фиксируют:
• Создание в системе каталога или копирование файла дистрибутива
фиксируется строкой:
<file | dir> <path> [size]
где:
• file или dir – идентификатор файла или каталога;
• path – полное имя файла или каталога;
• size – размер файла (для каталога данный параметр стро-
ки отсутствует).
• Действия, связанные с ответами пользователя на вопросы инсталлятора, записываются строкой:
<answer> <var> <reply>
где:
• answer – идентификатор запроса инсталлятора в процессе
установки;
• var – имя переменной, соответствующей заданному запросу;
• reply – значение переменной, введенное в качестве ответа на запрос.
3.2. Установка программы на
сервер под управлением Linux
Для дистрибутивов операционной системы Linux RedHat и Linux SuSE
предусмотрен также rpm-пакет Антивируса Касперского
Servers.
Для запуска установки Антивируса Касперского
командной строке введите:
rpm –i <имя_файла_дистрибутива>
®
для Unix Mail
®
из rpm-пакета в
Установка Антивируса Касперского 33
Установка Антивируса Касперского® будет выполняться автоматически в
соответствии с настройками, выбранными по умолчанию для операционной
системы.
Поиск предыдущей версии Антивируса Касперского
Антивирус Касперского
инсталляции продукта версии 4.5 его наличие на сервере будет
проигнорировано. Следовательно, после установки Антивируса
Касперского
компонентом именно этой версии.
Во время инсталляции продукта администратору необходимо будет указать
почтовую систему (sendmail, qmail, Postfix или Exim), после чего вам нужно
будет запустить скрипт /opt/kav/contrib/config.pl. При его выполнении будет
произведена установка лицензионного ключа (если он включен в поставку)
и интеграция с почтовой системой.
Если какой-либо файл не будет обнаружен инсталлятором в местах их
расположения по умолчанию (например, лицензионный ключ или
конфигурационный файл Webmin), на консоль будет выведен запрос
администратору указать расположение данных файлов.
Для дистрибутива Linux Debian также предусмотрен специальный debпакет.
®
версии 4.5 фильтрация почтового трафика будет выполняться
Если вы хотите внести какие-либо коррективы в совместную работу
Антивируса и почтовой системы, выполните это вручную сразу после установки продута (см. п. 4.4 на стр. 39).
®
4.0 установлен на вашем сервере, во время
®
не выполняется. Если
®
Для запуска установки Антивируса Касперского
командной строке введите:
dpkg –i <имя_файла_дистрибутива>
Порядок установки аналогичен инсталляции из rpm-пакета, за исключением
того, что скрипт /opt/kav/contrib/config.pl будет запущен автоматически.
из deb-пакета в
3.3. Установка программы на
сервер под управлением
FreeBSD или OpenBSD
Для серверов, работающих под управлением операционной системы
FreeBSD или OpenBSD, дистрибутив Антивируса Касперского
поставляется в tgz-пакете.
®
также
34 Антивирус Касперского® для Unix Mail Server
®
Для запуска установки Антивируса Касперского
командной строке введите:
из tgz-пакета в
pkg_add <имя_пакета>
Порядок установки аналогичен инсталляции из rpm-пакета, за исключением
того, что скрипт автоматической интеграции с почтовой системой и
установки лицензионного ключа /usr/local/share/kav/contrib/config.pl будет
запущен автоматически.
ГЛАВА 4.
ПОСТИНСТАЛЛЯЦИОННАЯ НАСТРОЙКА
В процессе инсталляции выполняется анализ системы, на которую
устанавливается Антивирус Касперского
конфигурации определяются автоматически. Ряд параметров
конфигурационного файла продукта определен по умолчанию как наиболее
удобный для работы с Антивирусом (см. п. 4.1 на стр. 35).
Прежде чем приступить к работе с продуктом ,мы рекомендуем вам
установить или обновить антивирусные базы, если это не было
сделано во время инсталляции, а также просканировать файловые
системы сервера на предмет вирусов!
Однако для начала работы с продуктом этого недостаточно. Вам нужно:
• выполнить интеграцию Антивируса Касперского® с почтовой системой, установленной на вашем сервере;
• сформировать список лицензированных пользователей, почта от и
для которых будет анализироваться на присутствие вирусов и лечиться;
Так же рекомендуем вам настроить совместную работу Антивируса
Касперского® с пакетом Webmin.
В данной главе мы рассмотрим, какие же установки Антивируса
Касперского
необходимую для работы с продуктом конфигурацию.
®
приняты по умолчанию, а также подробно изучим
®
, и некоторые параметры его
4.1. Настройка продукта по
умолчанию
Все параметры функционирования Антивируса Касперского® для Unix Mail
Servers хранятся в файле kav4mailservers.conf. Этот файл является
конфигурационным файлом, используемым по умолчанию.
36 Антивирус Касперского® для Unix Mail Server
Вы можете создавать собственные конфигурационные файлы и
использовать их как при выполнении текущей задачи, так и в качестве конфигурационного файла по умолчанию.
Рассмотрим подробнее, какие параметры заданы в данном файле по
умолчанию. Исходя из информации данного раздела вы сможете
определить, нуждается ли Антивирус Касперского
®
в дополнительной
конфигурации (см. Глава 6 на стр. 87) для наиболее полного его
использования в условиях вашего предприятия.
АНТИВИРУСНАЯ ЗАЩИТА ФАЙЛОВЫХ СИСТЕМ СЕРВЕРА
®
По умолчанию конфигурация Антивируса Касперского
выполнена
таким образом, что при запуске соответствующего компонента
(kavscanner) без дополнительных ключей командной строки осуще-
ствляется антивирусная проверка каталогов и файловых систем
сервера, начиная с текущего.
При обнаружении инфицированных, подозрительных или поврежденных файлов на консоль и в файл отчета выводятся соответствующие сообщения.
Обратите внимание на то, что ПО УМОЛЧАНИЮ НЕ ВЫПОЛНЯЕТСЯ ЛЕЧЕНИЕ обнаруженных инфицированных
файлов!
АНТИВИРУСНАЯ ЗАЩИТА ПОЧТОВОГО ТРАФИКА СЕРВЕРА
До интеграции Антивируса Касперского
мой антивирусная защита почтового трафика НЕВОЗМОЖ-
НА. Здесь мы рассмотрим настройки, которые определяют
®
с почтовой систе-
работу продукта по умолчанию при условии выполненной
интеграции.
Секция [smtpscan.group:default] конфигурационного файла
kav4mailservers.conf определяет наличие группы default, справедливой для всех защищаемых пользователей почтового сервера. В
группе зафиксированы следующие правила антивирусной проверки
почтового трафика:
• Проверяется входящие и исходящие почтовые сообщения.
• При обнаружении зараженных почтовых сообщений выпол-
няется их лечение.
Вылеченные почтовые сообщения доставляются адресатам
и администратору группы (postmaster@localhost) и сопро-
вождаются уведомлениями о том, что сообщения были инфицированы вирусами и успешно вылечены. Аналогичные
уведомления будут отправлены и авторам сообщений.
Постинсталляционная настройка 37
Если сообщение вылечить не удалось, оно удаляется, а отправителю, администратору группы и получателю направляется соответствующее уведомление.
Все уведомления, касаемые проверки почтовых
сообщений, их лечения и других действий с почтой (удаления, отправки в карантин и т.д.), по
умолчанию отправляются с адреса MAILER-
DAEMON@localhost.
• Если в процессе антивирусного анализа почтового трафика
обнаруживаются подозрительные, поврежденные, защищенные паролем файлы, а также почтовые сообщения, в
результате проверки которых произошла ошибка, они удаляются. Отправителю, получателю и администратору группы отправляются соответствующие уведомления.
• Все действия программы фиксируются в файле отчета.
4.2. Установка / обновление
антивирусных баз
Сразу после установки продукта на сервер мы рекомендуем вам
установить/обновить антивирусные базы.
Для этого вам нужно запустить компонент kavupdater. В командной строке
введите:
/путь/к/кavupdater
Антивирусные базы будут скопированы с серверов обновлений
Лаборатории Каспеского и размещены в специальном каталоге, указанном
в конфигурационном файле.
Рекомендуем вам ЕЖЕДНЕВНО обновлять антивирусные базы,
поскольку каждый день в мире появляются новые вирусы, и необходимо поддерживать продукт в актуальном состоянии. Подробнее
о вариантах организации обновлений см.в пп. 5.1.1 - 5.1.2 на стр.
51 - 54.
38 Антивирус Касперского® для Unix Mail Server
4.3. Настройка совместной работы
с Webmin
Если предполагается удаленная конфигурация Антивируса Касперского®,
то рекомендуем вам настроить его совместную работу с пакетом Webmin.
Например, средствами Webmin можно ограничить доступ к работе с
программой, организовав систему паролей для пользователей (подробнее
о настройке программы Webmin см. документацию по данному продукту).
Далее при описании закладок Webmin, содержащих параметры
работы Антивируса Касперского®, мы будем приводить путь к каждой закладке. Путь будет приводиться перед рисунком с закладкой
в следующем формате:
Other (пункт меню Webmin) ! KAV for Mail Servers ! имя окна или
!
закладки
По умолчанию все настройки, выполненные посредством программы
Webmin, сохраняются в конфигурационном файле kav4mailservers.conf,
используемом по умолчанию.
Если вы хотите создать альтернативный конфигурационный
файл с помощью программы Webmin, вам необходимо:
и т.д.
1. указать имя альтернативного файла на закладке Configuration
(см. рис. 5) в поле ввода параметра Full path to KAV config.
2. задать необходимые параметры антивирусной защиты почты и
файловых систем на соответствующих закладках.
Постинсталляционная настройка 39
Other ! KAV for Mail Servers ! Закладка "Module configure"
Рисунок 5. Общие параметры конфигурации Антивируса Касперского®
для Unix Mail Servers
4.4. Интеграция продукта с
почтовыми системами
вручную
Процесс интеграции вручную состоит из трех этапов:
1. Редактирование конфигурации почтовой системы на
совместную работу с Антивирусом.
2. Внесение корректив в конфигурацию Антивируса Касперского
направленных на работу с почтовой системой.
3. Запуск почтовой системы с новой конфигурацией.
Пользователи, из-под которых запускается и работает почтовая система, должны обладать правами
на чтение конфигурационных файлов соответствующей почтовой системы.
Рассмотрим подробнее интеграцию Антивируса Касперского
системами вручную.
®
с почтовыми
®
,
40 Антивирус Касперского® для Unix Mail Server
4.4.1. Интеграция с почтовой системой
sendmail
Чтобы интегрировать Антивирус Касперского® с почтовой системой sendmail,
1. Откорректируйте 98-е правило в созданном при инсталляции
файле sendmail.cf.listen следующим образом:
SParseLocal=98
R$* $#smtpscanner[символ_табуляции]$@ $1 $: $1
2. Далее в файле приведите описание smtpscanner:
Msmtpscan, P=/opt/kav/bin/smtpscanner, F=PCXmnz9,
S=EnvFromSMTP, R=EnvToSMTP, E=\r\n, L=2040,
T=SMTP,
A=smtpscanner
3. Выполните необходимую конфигурацию Антивируса
Касперского® (см. п. 4.4.5 на стр. 43).
4. Добавьте в скрипты автоматического запуска процессов (startup) два процесса:
/usr/sbin/sendmail –bd –q10m –C
/etc/mail/sendmail.cf.listen
/usr/sbin/sendmail –q10m –C /etc/mail/sendmail.cf
Если вы используете почтовую систему sendmail версии 8.12
или выше в конфигурации с submit.cf, то добавьте в скрипты
автоматического запуска три процесса:
/usr/sbin/sendmail –bd –q10m
–C /etc/mail/sendmail.cf.listen
/usr/sbin/sendmail -q10m
-C /etc/mail/sendmail.cf
/usr/sbin/sendmail –q10m –C /etc/mail/submit.cf
4.4.2. Интеграция с почтовой системой
qmail
Компонент smtpscanner Антивируса Касперского® при интеграции с
почтовой системой qmail подменяет собой программу qmail-queue. Для
Постинсталляционная настройка 41
отправки сообщений и помещения их в очередь компонент smtpscanner
вызывает оригинальную программу qmail-queue.
Чтобы интегрировать Антивирус Касперского® с почтовой системой qmail,
1. В директории /var/qmail/bin/
qmail-que.
2. Скопируйте файл qmail-queue из каталога
переименуйте файл qmail-queue в
/opt/kav/bin/smtpscanner/ в каталог /var/qmail/bin или создайте на
этот файл символическую ссылку.
3. Задайте для файлов qmail-queue и qmail-que следующие права
доступа:
16 -rws—x—x 1 qmailq qmail 12688 Mar 24
13:56 qmail-que
316 –rwx—x—x 1 qmailq qmail 315612 Apr
14 11:29 qmail-queue
4. Выполните необходимую конфигурацию Антивируса
Касперского
5. Перезапустите почтовую систему.
®
(см. п. 4.4.5 на стр. 43).
4.4.3. Интеграция с почтовой системой
Postfix
Чтобы интегрировать Антивирус Касперского® с почтовой системой Postfix,
1. Проверьте номер версии вашей почтовой системы Postfix.
Версия должна быть более новая, чем snapshot_20000529. Если
это не так, то загрузите версию с веб-сайта программы Postfix
(www.postfix.org
2. Добавьте в конфигурационный файл почтовой системы Postfix
main.cf следующую строку:
content_filter = lmtp:localhost:10025
3. Добавьте в конфигурационный файл почтовой системы Postfix
master.cf следующие строки:
localhost:10025 inet n n n 10 spawn user=filter
argv=/opt/kav/bin/smtpscanner
localhost:10026 inet n - n -
).
42 Антивирус Касперского® для Unix Mail Server
10 smtpd -o content_filter= -o
myhostname=localhost
4. Создайте пользователя filter
создайте для него домашний каталог
mkdir /var/spool/filter
groupadd filter
useradd filter –s /bin/false –d /var/spool/filter
–g filter
chown filter.filter /var/spool/filter
Пример конфигурационного файла программы Postfix приведен в п. A.13 на стр. 137.
5. Выполните необходимую конфигурацию Антивируса
Касперского® (см. п. 4.4.5 на стр. 43).
6. Перезапустите почтовую систему.
, включите его в группу filter и
:
4.4.4. Интеграция с почтовой системой
Exim
Чтобы интегрировать Антивирус Касперского® с почтовой системой Exim,
1. Скопируйте конфигурационный файл, например, exim.conf, в
файл exim.conf.listen.
2. Откорректируйте файл exim.conf:
• в секцию TRANSPORT CONFIGURATION добавьте следующие строки:
kav_lmtp_transport:
driver = lmtp
command = /opt/kav/bin/smtpscanner
Внесение данных строк НЕОБХОДИМО, иначе конфигурация exim.conf.listen
• в секции ROUTERS CONFIGURATION
определите параметры локальной доставки почты:
localuser:
driver=accept
transport=kav_lmtp_transport
задайте параметры удаленной доставки почты:
Постинсталляционная настройка 43
lookuphost:
driver=dnslookup
transport=kav_lmtp_transport
3. Выполните необходимую конфигурацию Антивируса
Касперского® (см. п. 4.4.5 на стр. 43).
4. Добавьте в скрипты автоматического запуска процессов (startup) два процесса:
exim -q10m -bd –C /etc/exim/exim.conf.listen
exim -q10m –C /etc/exim/exim.conf
Если Вы хотите запускать компонент smtpscanner под другим пользователем, скомпилируйте почтовую систему Exim с
определенными переменными EXIM_GID и EXIM_UID (подробнее
см. документацию по почтовой системе Exim).
4.4.5. Конфигурация Антивируса
Касперского
®
для интеграции с
почтовой системой
Неотъемлемой частью в интеграции Антивируса Касперского® с почтовыми
системами является и его собственная конфигурация.
Вы можете ее выполнить непосредственно в конфигурационном файле
программы, а также удаленно с помощью пакета Webmin.
®
Чтобы настроить Антивирус Касперского
товой системой:
В конфигурационном файле Антивируса Касперского® выполните
следующие настройки:
• Укажите адрес, с которого буду отправляться уведомления:
NotifyFromAddress=admin@yourhostname.ru
• Задайте идентификатор почтовой системы в секции
[smtpscan.general]. Идентификатор почтовой системы
имеет следующий вид: протокол:хост:порт
для работы с поч-
, где:
протокол – имя протокола, по которому будет осуществ-
ляться передача почты (
smtp или lmtp);
хост – имя хоста или его IP-адрес, с которого будет отправ-
ляться почта, или имя почтовой программы;
44 Антивирус Касперского® для Unix Mail Server
Имя почтовой программы указывается в круглых скобках и с любыми ключами.
порт – номер порта (по умолчанию это 25-й порт).
Например, строка может иметь следующий вид:
smtp:localhost.tu:1100 или lmtp:(local.mail –l)
o Для sendmail:
ForwardMailer=smtp:(/usr/sbin/sendmail –bs
–C /etc/mail/sendmail.cf
o Для qmail:
ForwardMailer=qmail:(/var/qmail/bin/qmailque)
o Для postfix:
ForwardMailer=smtp:localhost:10026
o Для exim:
ForwardMailer=smtp:(exim –bs
-C/etc/exim/exim.conf)
• Для группы пользователей в секции конфигурационного
файла [smtpscan.group:default] укажите:
AdminAddress=admin@yourhostname.ru
)
AdminNotify=yes
• Задайте максимальное время ожидания ответа от процесса
aveserver (в секундах) на выполнение операции в секции
[smtpscan.limits]. Например:
MaxCheckTime=60
или:
На закладке Config edit программы Webmin (см. рис. 6) выполните
аналогичные настройки.
Постинсталляционная настройка 45
Other ! KAV for Mail Servers ! Config edit
Рисунок 6. Закладка Config edit
или:
1. На закладке Core settings (см. рис. 7) программы Webmin
задайте значения для следующих параметров:
• Forward mailer – идентификаторы почтовых систем, используемые для отправки сообщений отправителям, получателям и администраторам групп:
Для sendmail: smtp:(/usr/sbin/sendmail –bs
–C /etc/mail/sendmail.cf)
Для qmail: qmail:(/var/qmail/bin/qmail-que)
Для postfix
Для exim
: smtp:localhost:10026
: smtp:(exim -C/etc/exim/exim.conf)
• AV engine timeout – максимальное количество секунд, в
течение которых aveserver проверяет на присутствие вирусов и лечит почтовое сообщение. Например: 60. Если в качестве значения задать 0, то это означает отсутствие лимита по времени.
46 Антивирус Касперского® для Unix Mail Server
Other ! KAV for Mail Servers ! AV Mail Check !Core settings
Рисунок 7. Закладка Core settings
2. Укажите электронный адрес администратора группы для
группы пользователей default на закладке Main settings
(см. рис. 8) в поле Group administrator address.
Постинсталляционная настройка 47
Other ! KAV for Mail Servers ! AV Mail Check ! Groups ! Группа
!
+Properties
Main settings
Рисунок 8. Закладка Main settings
4.5. Создание списка
защищаемых пользователей
Список защищаемых пользователей определяет пользователей Антивируса
Касперского
приобрели.
Если вы приобрели Антивирус Касперского® с типом лицензирования ПО
КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ, то в данный список необходимо внести
количество, не превышающее лицензированное. Без наличия данного
списка программа не будет функционировать.
Если число введенных вами пользователей больше зафиксированного
лицензией, то для пользователей сверх лимита не будет выполняться
антивирусная обработка почтового трафика. Количество защищаемых
пользователей считается с начала списка.
®
и тесно связан с типом лицензирования продукта, который вы
48 Антивирус Касперского® для Unix Mail Server
Число пользователей, на которых распространяется лицензия, вы
можете посмотреть в ключевом файле посредством компонента
licenseviewer или удаленно при помощи программы Webmin (см.
п. 5.4.1 на стр. 82)!
Если тип лицензирования приобретенного вами продукта – ПО ОБЪЕМУ
ПОЧТОВОГО ТРАФИКА, то список защищаемых пользователей
игнорируется.
Сформировать список защищаемых Антивирусом Касперского
пользователей вы можете в любом текстовом файле и затем указать его
полное имя в конфигурационном файле в качестве значения параметра
UserFile секции [path]. Список пользователей формируется в соответствии
со следующими правилами:
• В качестве идентификатора пользователя указывается его электрон-
ный адрес.
• Каждый пользователь фиксируется на отдельной строке файла.
Если пользовать обладает несколькими почтовыми адресами,
укажите все адреса на одной строке через пробел.
Для удаленного формирования, а также редактирования списка
воспользуйтесь программой Webmin.
Имя файла со списком лицензированных пользователей определяется на
закладке Kaspersky Anti-Virus в поле ввода параметра File with users list
(см. рис. 9).
®
Постинсталляционная настройка 49
Other ! KAV for Mail Servers ! General
Рисунок 9. Закладка Kaspersky Anti-Virus
Удаленное заполнение списка лицензированных пользователей Антивируса
Касперского
®
для Unix Mail Servers выполняется на закладке User list
(см. рис. 10).
50 Антивирус Касперского® для Unix Mail Server
Other ! KAV for Mail Servers ! AV Mail Check !Userst
Рисунок 10. Закладка Group list
ГЛАВА 5. РАБОТА С
АНТИВИРУСОМ
КАСПЕРСКОГО®
Посредством Антивируса Касперского® вы можете организовать полную
антивирусную защиту вашего сервера: от отдельного файла, хранящегося
на сервере, до входящего и исходящего почтового трафика, включая почту
внешних почтовых ящиков.
Функциональность продукта складывается из задач, которые может
выполнить с его помощью администратор. Все задачи, реализуемые
посредством Антивируса Касперского
1. Обновление антивирусных баз, используемых для поиска
вирусов и лечения инфицированных объектов.
2. Антивирусная защита почтового потока сообщений сервера.
3. Антивирусная защита файловых систем сервера.
Каждая такая группа включает более конкретные задачи, реализующие ту
или иную функциональность продукта. В этой главе мы подробно
рассмотрим наиболее интересные задачи. В рамках конкретного
предприятия администратор может комбинировать и усложнять их.
Где это возможно, будут рассмотрены настройка и запуск задачи как
локально из командной строки, так и удаленно через программу Webmin.
®
, можно разделить на три группы:
Во всех приведенных ниже задачах предполагается, что администратор выполнил постинсталляционную настройку (см. Глава 4 на
стр. 35).
Прежде чем запускать задачи, связанные с антивирусной проверкой почты,
необходимо запустить процесс aveserver, если он не загрузился при старте
операционной системы.
5.1. Обновление антивирусных баз
Неотъемлемым фактором полноценной антивирусной защиты является
обновление антивирусных баз. Источником обновлений антивирусных баз,
используемых Антивирусом Касперского® в процессе поиска и лечения
52 Антивирус Касперского® для Unix Mail Server
инфицированных файлов, являются сервера обновлений "Лаборатории
Касперского". Например, такие как:
http://downloads1.kaspersky-labs.com/updates/
http://downloads2.kaspersky-labs.com/updates/
ftp://downloads1.kaspersky-labs.com/updates/
и другие.
Список адресов, с которых можно скачивать обновления, приведен в файле
servers.lst, включенном в поставку продукта. Формат этого файла прост:
каждый сервер обновления фиксируется на новой строке, завершающейся
переводом строки. Сервер обновлений должен быть либо http://, либо ftp://,
либо полным путем Unix (в этом случае обновление производится из
каталога).
Обновление антивирусных баз выполняется посредством компонента
kavupdater. В процессе обновления компонент обращается к данному
списку, выбирает адрес (по порядку или случайным образом) и пытается
скачать с сервера антивирусные базы. Если выполнить обновление с
выбранного адреса невозможно, то программа обращается по следующему
адресу и вновь пытается обновить базы.
Вы можете корректировать список серверов обновлений, устанавливая,
например, первым в списке адрес наиболее часто используемого сервера
или удаляя адреса серверов, которые вы не используете по тем или иным
причинам.
Все настройки компонента kavupdater сгруппированы в опциях [up-
dater.*] конфигурационного файла kav4mailservers.conf (см. п. A.2
на стр. 117).
Если структура вашей локальной сети достаточно сложная, мы
рекомендуем один раз в день скачивать обновление антивирусных баз с
серверов обновлений, размещать их в некоторой сетевой папке и для
локальных компьютеров сети настроить скачивание баз из этой папки.
Настоятельно рекомендуем обновлять антивирусные базы ежедневно и настроить компонент kavupdater на автоматический перезапуск процесса aveserver сразу после обновления.
Обновление может быть организовано при помощи cron (см. п. 5.1.1 на
стр. 53) или же из командной строки (см. п. 5.1.2 на стр. 54).
Работа с Антивирусом Касперского 53
5.1.1. Планирование обновлений
антивирусных баз посредством
cron
Вы можете спланировать регу лярное автоматическое обновление
антивирусных баз при помощи программы cron.
Задача: задать автоматическое обновление антивирусных баз
ежедневно в 07.00. Установить случайный выбор сервера обновлений. Включить режим автоматического перезапуска процесса
aveserver сразу после обновления баз. В системном журнале фиксировать только ошибки при работе программы. Вести общий журнал по всем запускам задачи, на консоль никакой информации не
выводить.
Решение: для реализации поставленной задачи выполните следующие действия:
1. Выполните следующую конфигурацию на закладке Kasperksy
Anti-Virus KeepUp2Date (см. рис. 11) программы:
Keep silent – не выводить на экран информацию о работе
программы.
Random server order – выбирать сервер обновлений из
списка существующих случайным образом.
Reload application – перезапустить процесс aveserver сразу
после обновления антивирусных баз.
Report level – уровень детализации отчета о результатах ра-
боты компонента. Из раскрывающегося списка выберите
значение Errors.
Append – добавлять результаты работы программы в конец
уже существующего файла отчета (в данном случае системного журнала).
Отсутствие значения в поле ввода параметра
Report file name означает фиксирование результатов работы программы в системном журнале.
или:
В конфигурационном файле kav4mailservers.conf в секции
[updater.options] задайте соответстующие значения,
например:
[updater.options]
54 Антивирус Касперского® для Unix Mail Server
KeepSilent=yes
RandomServerOrder=yes
ReloadApplication=yes
Append=yes
ReportLevel=1
!
Other
KAV for Mail Servers ! KeepUp2Date
Рисунок 11. Закладка Kasperksy Anti-Virus KeepUp2Date
2. Отредактируйте файл, задающий правила работы процесса
crontab –e).
cron (
3. Введите следующую строку:
0 7 * * * /opt/kav/bin/kavupdater
5.1.2. Разовое обновление антивирусных
баз
В любой момент времени вы можете запустить обновление антивирусных
баз из командной строки.
Задача: запустить обновление антивирусных баз, сохранив результаты работы в файле /tmp/updatesreport.log.
Работа с Антивирусом Касперского 55
Решение: для реализации поставленной задачи в командной строке введите:
kavupdater –l /tmp/updatesreport.log
Если вам необходимо обновить антивирусные базы на нескольких
компьютерах, удобнее вместо многократного получения баз через интернет
получить базы с серверов обновлений один раз, записать их в некоторый
каталог, а затем обновлять базы из этого каталога.
Задача: организовать обновление антивирусных баз из сетевого
каталога
/home/bases, а если этот каталог недоступен или пуст, то
обновлять c серверов Лаборатории Касперского. Результаты работы вывести в файл отчета.
Решение: для реализации поставленной задачи выполните следующие действия:
1. Отредактируйте файл /etc/kav/4.5/servers.lst, содержащий
список серверов обновлений, указав первым в списке полный
путь к сетевому каталогу /home/bases, где хранятся базы.
2. Отключите случайный выбор серверов обновлений, сняв
флажок Random server order на закладке Kaspersky Anti-
Virus KeepUp2Date программы Webmin (см. рис. 11), если он
был установлен.
3. Укажите необходимые параметры формирования отчета
(см. рис. 11):
Report file name – полный путь к файлу отчета о работе про-
граммы. В поле ввода параметра укажите /tmp/report.txt
Report level – уровень детализации отчета о результатах ра-
боты компонента. Из раскрывающегося списка выберите
значение Errors.
Append – добавлять результаты работы программы в конец
уже существующего файла отчета.
Все изменения конфигурации, вносимые посредством программы
Webmin, сохраняются в конфигурационном файле
kav4mailservers.conf, используемом по умолчанию. Создание альтернативного файла описано в п. 4.2 на стр. 37.
4. Запустите обновление антивирусных баз, нажав на закладке
Run Kaspersky Anti-Virus component (см. рис. 12) на кнопку
Start для компонента Kaspersky Anti-Virus KeepUp2Date.
56 Антивирус Касперского® для Unix Mail Server
Other ! KAV for Mail Servers ! AV Run
Рисунок 12. Закладка Run Kaspersky Anti-Virus component
или:
1. Отредактируйте файл /etc/kav/4.5/servers.lst, содержащий
список серверов обновлений, указав первым в списке полный
путь к сетевому каталогу /home/bases, где хранятся базы.
2. Отключите случайный выбор серверов обновлений, установив
в конфигурационном файле RandomServerOrder=no.
3. В командной строке введите:
kavupdater –s /etc/kav/4.5/server2.lst
–o /tmp/report.txt
5.2. Антивирусная защита
почтового трафика сервера
Антивирусная фильтрация почтового трафика, будь то входящий,
исходящий или транзитный поток сообщений, является основной задачей
Антивируса Касперcкого для Unix Mail Servers, реализуемой при помощи
компонента smtpscanner.
С его помощью вы можете обеспечить защиту ваших пользователей от
инфицированных писем, организовать им доставку незараженных и
вылеченных сообщений с уведомлениями о результатах проверки каждого
письма.
Реализация дополнительной фильтрации по типам вложенных файлов
позволит вам снизить нагрузку на сервер в процессе антивирусной
обработки почтового потока. И это лишь частичная функциональность
Работа с Антивирусом Касперского 57
продукта. Более широкие возможности Антивируса Касперского® раскрыты
в изложенных далее задачах по защите почтового трафика.
Все настройки компонента smtpscanner сгруппированы в опциях
[smtpscan.*] конфигурационного файла kav4mailservers.conf (см.
п. A.2 на стр. 117).
Далее мы рассмотрим наиболее типичные задачи, реализующие
антивирусную защиту почтового трафика.
5.2.1. Доставка только незараженных и
вылеченных почтовых сообщений
Такой способ конфигурации Антивируса Касперского® осуществляется в
том случае, если не предполагается разделения пользователей на группы
отправителей-получателей. Это удобно, например, в ситуации, когда
необходимо настроить доставку всем адресатам сервера только
незараженных и вылеченных почтовых сообщений.
Задача:
• проверять весь почтовый трафик сервера на присутствие
вирусов и лечить все зараженные почтовые сообщения;
• удалять инфицированные почтовые сообщения, которые не
удалось вылечить;
• доставлять вылеченные сообщения адресатам;
• уведомлять отправителей, получателей и администраторов
о вылеченных, удаленных, подозрительных и поврежденных
почтовых сообщениях, а также об объектах, в результате
проверки которых произошла ошибка; к уведомлениям
администратора прикреплять инфицированные объекты без
изменений;
• фиксировать результаты работы в файле /tmp/report.log.
Решение: для реализации поставленной задачи выполните следующие действия:
1. Выберите группу default на закладке Groups list программы
Webmin (см. рис. 13) и нажмите на кнопку Properties.
58 Антивирус Касперского® для Unix Mail Server
Other ! KAV for Mail Servers ! AV Mail Check ! Groups
Рисунок 13. Закладка Groups list
2. Сформируйте группу и задайте режим лечения ее сообщений.
Для этого выберите группу опций Main settings в открывшемся
окне (см. рис. 14) и задайте на соответствующей закладке
(см. рис. 8) приведенную ниже конфигурацию:
Check this group – проверять почтовые сообщения получа-
телей данной группы.
• Group administrator address – адрес (алиас) администратора группы.
• Укажите электронные адреса или маски адресов отправителей и получателей, почтовые сообщения которых будут
обрабатываться по правилам группы default в секциях
Sender mask и Recipient mask.
Если в секциях Sender mask и Recipient mask не
указаны адреса (маски адресов) отправителей и
получателей, то правила данной группы справедливы для всех почтовых сообщений сервера.
Работа с Антивирусом Касперского 59
Other ! KAV for Mail Servers ! AV Mail Check ! Groups !
Группа+Properties
Рисунок 14. Опции для группы
3. Настройте действия над объектами и правила уведомлений.
Для этого выберите группу опций Notify rules на закладке
опций для группы (см. рис. 14) и задайте на соответствующей
закладке (см. рис. 15) приведенную ниже конфигурацию:
• Снимите флажки для всех типов объектов в графе
Quarantine.
• Задайте следующие правила уведомлений администратора
группы в графе Administrator rules:
o Установите флажок напротив каждого объекта в графе
Notify.
o Выберите значение Unchanged в графе Actions из
раскрывающегося списка напротив каждого типа объекта.
• Установите флажок для всех типов объектов в графе
Sender rules / Notify.
• Задайте следующие правила уведомлений получателей
группы в графе User rules:
o Установите флажок напротив каждого объекта в графе
Notify.
o Установите флажок В графе Attach report для типа
объекта Cured, для всех остальных типов снимите
флажки.
o В графе Actions напротив типа объекта Cured из рас-
крывающегося списка выберите аналогичное значение,
для всех остальных типов объектов выберите значение
Remove.
60 Антивирус Касперского® для Unix Mail Server
Other ! KAV for Mail Servers ! AV Mail Check ! Groups ! Группа
!
+Properties
Notify rules
Рисунок 15. Закладка Notify rules
4. Определите параметры формирования отчета на закладке
Core settings (см. рис. 7) в секции Report settings:
o Report file name – полное имя файла отчета. В поле
ввода параметра введите /tmp/report.log
Если поле ввода параметра Report file
name пустое, то результаты работы продукта фиксируются в системном журнале.
o Report file permission – права доступа к файлу отчета.
В поле ввода параметра задайте, например, значение
060.
ReportOK – выводить в отчет информацию о незара-
женных объектах.
или:
1. Задайте настройки конфигурации для группы
[smtpscan.group:default]:
[smtpscan.group:default]
Работа с Антивирусом Касперского 61
Check=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=no
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
Параметры Sender*, Recipient* и Admin* определяют пра-
вила работы с объектами всех типов, кроме Clear. Любое
задание правил для конкретного объекта является более
приоритетным. Например, в данном примере все типы объектов будут удаляться из письма получателя
(RecipientAction=remove), кроме объекта Cured
(CuredRecipientAction=cured).
2. Настройте запись отчета о результатах работы компонента в
файл /tmp/report.log:
[smtpscan.report]
ReportOk=yes
ReportFileName=/tmp/report.log
ReportFilePermission=060
5.2.2. Доставка зараженных сообщений
Возможно возникновение таких ситуаций, когда определенной группе
получателей необходимо доставлять любые сообщения, в том числе и
инфицированные.
Задача
:
• проверять весь почтовый поток сообщений на присутствие
вирусов;
62 Антивирус Касперского® для Unix Mail Server
• для всех получателей, кроме входящих в группу urgent, лечить все зараженные сообщения;
• почтовые сообщения, которые не удалось вылечить, а также подозрительные и поврежденные письма переносить в
карантинный каталог для всех получателей, кроме входящих в группу urgent;
• отправлять уведомления отправителям, получателям и администраторам о заблокированных, вылеченных, удаленных, подозрительных и поврежденных почтовых сообщениях, а также об объектах, в результате проверки которых
произошла ошибка; к уведомлениям администратора прикреплять инфицированные объекты без изменений;
• получателям группы urgent доставлять все письма, в том
числе и инфицированные, с обязательным уведомлением о
возможности их заражения вирусом.
Для реализации поставленной задачи выполните следующие действия:
1. Выберите группу default на закладке Groups list (см. рис. 13)
программы Webmin и выполните для нее настройки,
аналогичные описанным в п. 5.2.1 на стр. 57.
2. Дополнительно для группы включите режим блокирования
объектов в карантине. Для этого:
• создайте карантинный каталог, задав полный путь к нему в
поле ввода параметра Quarantine path на закладке Main
settings (см. рис. 8).
• настройте перенос в него всех объектов, кроме Cured, установив для них флажки в графе Quarantine на закладке
Notify rules (см. рис. 15).
3. Создайте новую группу urgent на закладке Groups list
(см. рис. 13)
4. Выберите группу urgent в списке групп пользователей и
нажмите на кнопку Properties.
5. Сформируйте группу и задайте режим лечения ее сообщений.
Для этого выберите группу опций Main settings на закладке
опций для группы (см. рис. 14) и задайте приведенную ниже
конфигурацию на соответствующей закладке (см. рис. 8):
Check this group – проверять почтовые сообщения отпра-
вителей-получателей данной группы.
Работа с Антивирусом Касперского 63
• Group administrator address – адрес (алиас) администратора группы.
• Укажите электронные адреса или маски адресов отправителей и получателей, почтовые сообщения которых будут
обрабатываться по правилам группы urgent в секциях
Sender mask и Recipient mask.
6. Настройте действия над объектами и правила уведомлений.
Для этого выберите группу опций Notify rules на закладке
опций для группы (см. рис. 14) и задайте приведенную ниже
конфигурацию на соответствующей закладке (см. рис. 15):
• Снимите флажки для всех типов объектов в графе
Quarantine.
• Задайте следующие правила уведомлений администратора
группы в графе Administrator rules:
o Установите флажок напротив каждого объекта, кроме
Cured, в графе Notify.
o В графе Actions из раскрывающегося списка напротив
каждого типа объекта выберите значение Unchanged.
• Установите флажок для всех типов объектов, кроме Cured
в графе Sender rules / Notify.
• Задайте следующие правила уведомлений получателей
группы в графе User rules:
o Установите флажок напротив каждого объекта, кроме
Cured, в графе Notify.
o Установите флажки для всех типов объектов, кроме
Cured, в графе Attach report.
o В графе Actions из раскрывающегося списка напротив
каждого типа объекта выберите значение Unchanged.
или:
1. Выполните следующие настройки конфигурации для группы
[smtpscan.group:default]:
[smtpscan.group:default]
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
64 Антивирус Касперского® для Unix Mail Server
CorruptedQuarantine=yes
ErrorQuarantine=yes
ProtectedQuarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=no
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
2. Настройте конфигурацию группы [smtpscan.group:urgent]
следующим образом:
[smtpscan.group:urgent]
Check=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=unchanged
5.2.3. Блокирование доставки адресатам
сообщений
Обычно администратору необходимо блокировать поступление некоторых
сообщений для получателей.
Работа с Антивирусом Касперского 65
Например, рассмотрим такую ситуацию: почтовое сообщение
подозревается на заражение вирусом, но содержит важные данные,
которые необходимо сохранить. В процессе лечения данные могут быть
потеряны. В такой ситуации лучше изолировать почтовое сообщение и,
например, отправить его на исследование специалистам "Лаборатории
Касперского".
Задача
:
• проверять весь почтовый трафик сервера на присутствие
вирусов и лечить все зараженные почтовые сообщения;
• блокировать доставку инфицированных, подозрительных,
поврежденных и защищенных паролем почтовых
сообщений, а также сообщений, в результате проверки
которых произошла ошибка;
• доставлять адресатам только вылеченные сообщения;
• уведомлять отправителей, получателей и администраторов
о заблокированных, вылеченных, удаленных,
подозрительных и поврежденных почтовых сообщениях, а
также об объектах, в результате проверки которых
произошла ошибка; к уведомлениям администратора
прикреплять инфицированные объекты без изменений.
Решение: для реализации поставленной задачи выполните следующие действия:
1. выберите группу default на закладке Groups list (см. рис. 13)
программы Webmin и выполните для нее настройки,
аналогичные описанным в п. 5.2.1 на стр. 57.
2. включите режим блокирования объектов в карантине. Для
этого:
• создайте карантинный каталог, задав полный путь к нему в
поле ввода параметра Quarantine path на закладке Main
settings (см. рис. 8).
• настройте перенос в него всех объектов, кроме Cured, установив для них флажки в графе Quarantine на закладке
Notify rules (см. рис. 15).
или:
В конфигурационном файле kav4mailservers.conf произведите
следующие настройки:
[smtpscan.group:default]
66 Антивирус Касперского® для Unix Mail Server
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
ProtectedQuarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=no
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
5.2.4. Дополнительная фильтрация
писем по типу вложений
Зачастую почтовые сообщения содержат файлы, которые имеют большую
вероятность наличия вируса (например, exe-файлы). Во избежание
заражения мы предлагаем организовать фильтрацию почтового трафика по
имени и/или типу таких объектов и блокировать их в отдельном каталоге
для дальнейшего изучения.
Существуют и такие объекты, которые не могут быть инфицированы. Для
снижения нагрузки на сервер при выполнении антивирусной обработки
почтовых сообщений мы рекомендуем заранее определить типы и/или
имена таких вложенных файлов и отсеивать их при проверке почты.
Задача
:
Работа с Антивирусом Касперского 67
• для группы пользователей users:
o проверять почтовые сообщения группы на присутствие
вирусов;
o фильтровать почту по вложенными exe-файлам;
отфильтрованные сообщения блокировать в
карантинном каталоге;
o лечить зараженные почтовые сообщения; если попытка
лечения объекта не удалась – удалять его из письма
получателя, но доставлять в неизменном виде
администратору группы;
o уведомлять о блокированных объектах только
администратора группы и получателей;
o отправлять уведомления об удаленных,
инфицированных, поврежденных, защищенных
паролем объектах, а также почтовых сообщениях, в
результате проверки которых произошла ошибка,
администратору, получателям и отправителям.
• для всех остальных получателей:
o проверять весь почтовый трафик сервера на присутст-
вие вирусов и лечить все зараженные почтовые сообщения;
o блокировать в карантинном каталоге инфицированные
объекты, которые не удалось вылечить, а также
подозрительные, поврежденные письма и объекты, в
результате проверки которых произошла ошибка;
o доставлять вылеченные сообщения адресатам;
o доставлять получателю защищенные паролем файлы с
уведомлением о возможности их заражения вирусом;
o уведомлять отправителей, получателей и
администратора о удаленных, инфицированных,
поврежденных, блокированных, а также почтовых
сообщениях, в результате проверки которых произошла
ошибка; к уведомлениям администратора прикреплять
все виды объектов без изменений.
Для выполнения поставленной задачи необходимо:
1. Создайте новую группу users на закладке Groups list
(см. рис. 13).
68 Антивирус Касперского® для Unix Mail Server
2. Выберите группу users в списке групп пользователей и
нажмите на кнопку Properties.
3. Сформируйте группу, задайте режим лечения ее сообщений и
включите режим блокирования отфильтрованных объектов.
Для этого выберите группу опций Main settings на закладке
опций для группы (см. рис. 14) и на соответствующей закладке
(см. рис. 8) задайте приведенную ниже конфигурацию:
Check this group – проверять почтовые сообщения отпра-
вителей-получателей данной группы.
• Group administrator address – адрес (алиас) администратора группы.
• Quarantine path – полный путь к карантинному каталогу.
• Укажите электронные адреса или маски адресов отправи-
телей и получателей, почтовые сообщения которых будут
обрабатываться по правилам группы urgent в секциях
Sender mask и Recipient mask.
4. Определите объекты фильтрации. Для этого выберите группу
опций Filter rules на закладке опций для группы (см. рис. 14) и
в секции Filter rules на соответствующей закладке (см. рис. 16)
укажите маску *.exe в качестве значения параметра By file.
Работа с Антивирусом Касперского 69
Other ! KAV for Mail Servers ! AV Mail Check ! Groups ! Группа
!
+Properties
Filter rules
Рисунок 16. Закладка Filter settings
5. Настройте действия над объектами и правила уведомлений.
Для этого выберите группу настроек Notify rules на закладке
опций для группы (см. рис. 14) и на соответствующей закладке
(см. рис. 15) задайте приведенную ниже конфигурацию:
• Установите флажок только для типа объекта Filtered в графе Quarantine.
• Задайте следующие правила уведомлений администратора
группы в графе Administrator rules:
o Установите флажок напротив каждого объекта в графе
Notify.
o В графе Actions из раскрывающегося списка напротив
каждого типа объекта выберите значение Unchanged.
• Установите флажок для всех типов объектов, кроме
Filtered, в графе Sender rules / Notify.
• Задайте следующие правила уведомлений получателей
группы в графе User rules:
o Установите флажок напротив каждого объекта, кроме
Cured, в графе Notify.
70 Антивирус Касперского® для Unix Mail Server
o снимите флажки для всех типов объектов, кроме Cured,
в графе Attach report.
o В графе Actions из раскрывающегося списка напротив
каждого типа объекта, кроме Cured, выберите значение
Unchanged; для объекта Cured выберите одноименное
значение списка.
6. Выберите группу default на закладке Groups list (см. рис. 13) и
выполните для нее настройки, аналогичные описанным в
п. 5.2.1 на стр. 57.
7. Дополнительно установите флажки для типов объектов
Infected, Suspicious, Corrupted и Errors на закладке Notify
rules (см. рис. 15) в графе Quarantine.
8. Для типа объекта Protected в графе User rules установите
следующие флажки:
Notify;
Attach report;
в раскрывающемся списке выберите значение Unchanged.
или:
1. Выполнить следующие настройки конфигурации для группы
[smtpscan.group:users]:
[smtpscan.group:default]
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=no
RecipientAction=remove
FilterName="*.exe"
Работа с Антивирусом Касперского 71
FilteresQuarantine=yes
FilteredRecipientNotify=yes
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
2. Выполнить следующие настройки конфигурации для группы
[smtpscan.group:default]:
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
AdminAddress=admin2@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=no
RecipientAction=remove
ProtectedRecipientNotify=yes
ProtectedRecipientAttachReport=yes
ProtectedRecipientAction=unchanged
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
72 Антивирус Касперского® для Unix Mail Server
5.2.5. Настройка уведомлений об
истечении лицензии по трафику
Рекомендуем вам также выполнить настройку уведомления об истечении
срока действия лицензии на использование Антивируса Касперского
Такое уведомление отправляется администратору сервера (по умолчанию
адрес администратора: postmaster@localhost).
Настройка уведомления включает определение следующих параметров:
• Тип лицензирования продукта: ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА.
• Адрес, на который будет отправляться уведомление. Целесообразно
отправлять данное уведомление администратору сервера.
• Критический объем почтового трафика, при достижении которого
отправляется уведомление. Это значение отражает остаток
почтового трафика до истечения лимита по трафику.
Вы можете выполнить настройку непосредственно в конфигурационном
файле программы, а также удаленно с помощью пакета Webmin.
Чтобы настроить уведомление администратора об истечении
срока действия лицензии на использование Антивируса Каспер-
или:
®
,
ского
В конфигурационном файле kav4mailservers.conf для параметров
секции [smtpscan.license] задайте соответствующие значения.
Например:
[smtpscan.license]
LicenseType=traffic
LicenseWarningNotifyAddress=admin@localhost.ru
LicenseWarningNotifySize=900
На закладке Core settings (см. рис. 7) программы Webmin задайте
значения для следующих параметров:
• Type – тип лицензирования для приобретенного продукта.
Из раскрывающегося списка выберите значение traffic.
• Notify size – объем остаточного почтового трафика в Mb
(сколько осталось до конца лимита), при достижении кото-
рого будет отправляться уведомление. В поле ввода параметра укажите соответствующее значение.
®
.
Работа с Антивирусом Касперского 73
• Notify to address – адрес, на который будет отправляться
уведомление сразу после достижения значения параметра
Notify size.
В результате администратор будет получать уведомление со следующим
содержанием (см. рис. 17):
Рисунок 17. Уведомление администратора об истечении
срока действия лицензии
5.3. Антивирусная защита
файловых систем
Антивирусная защита файловых систем сервера выполняется при помощи
компонента kavscanner, который сканирует файлы сервера на присутствие
вирусов и выполняет обработку зараженных и подозрительных объектов в
соответствии с настройками. Обработка объектов может носить как сугубо
информационный характер (вывод информации в отчет и на консоль
сервера, уведомления администратора), так и приводить к изменению
объекта (лечение, перенос на карантин, удаление).
74 Антивирус Касперского® для Unix Mail Server
Все настройки компонента kavscanner сгруппированы в опциях
[scanner.*] конфигурационного файла kav4mailservers.conf (см.
п. A.2 на стр. 117).
Сканирование файловых систем вашего сервера может быть выполнено
разово из командной строки, либо по расписанию с помощью стандартной
утилиты cron. Вы можете задавать проверку как всех файловых систем
сервера, так и отдельного каталога или файла.
Далее мы подробно рассмотрим наиболее типичные задачи антивирусной
защиты файловых систем сервера.
Процесс проверки на присутствие вирусов всего сервера – очень
ресурсоемкая процедура. Следует помнить, что при ее запуске
скорость работы будет замедлена, следовательно, не рекомендуется параллельно запускать какие-либо процессы. Во избежание
таких проблем рекомендуем вам сканировать отдельные каталоги.
5.3.1. Сканирование каталога из
командной строки
Одной из задач, решаемых посредством Антивируса Касперского®,
является проверка на присутствие вирусов и лечение отдельного каталога
сервера.
Задача: запустить рекурсивное сканирование каталога /tmp с автоматическим лечением всех обнаруженных инфицированных
объектов. Эвристический анализатор кода не использовать. Все
объекты, вылечить которые не удалось, – удалить.
В этом же каталоге создать файлы infected.lst, suspicion.lst,
corrupted.lst и warning.lst, в которых сохранить имена всех обнаруженных в результате проверки зараженных, подозрительных или
поврежденных объектов, соответственно.
Результаты работы компонента (дату запуска, информацию о всех
файлах, кроме незараженных, с детализацией) выводить только в
файл-отчет kavscanner-текущая_дата-pid.log, который сохранить
в том же каталоге.
Решение: чтобы реализовать поставленную задачу, в командной
строке введите:
#kavscanner -rlq -pi /tmp/infected.lst
-ps /tmp/suspicion.lst –pc /tmp/corrupted.lst
-pw /tmp/warning.lst -o /tmp/kavscanner-`date
"%Y-%m-%d-$$"`.log -i3 -ePASBMe –j3 -mCn /tmp
Работа с Антивирусом Касперского 75
5.3.2. Ежедневная проверка каталога по
расписанию
В операционных системах семейства Unix запуск программ по расписанию ,
в том числе и задач Антивируса Касперского
утилиты cron.
Задача
присутствие вирусов каталога /home; использовать параметры
сканирования, заданные в конфигурационном файле
/etc/kav/scanhome.conf
Решение: для реализации поставленной задачи выполните следующие действия:
1. Создайте конфигурационный файл /etc/kav/scanhome.conf, где
2. Отредактируйте файл, задающий правила работы процесса
: каждый день в 0 часов 00 минут запускать проверку на
укажите все необходимые параметры сканирования
(подробнее см. п. 6.2 на стр. 97).
cron (
crontab –e): dведите следующую строку:
* 0 * * * /path/to/kavscanner -c
/etc/kav/scanhome.conf /home
®
, осуществляется с помощью
5.3.3. Перенос объектов в отдельный
каталог (карантин)
Вы можете организовать работу Антивируса Касперского® таким образом,
что он будет переносить все инфицирова нные объекты файловой системы
сервера в отдельный каталог.
Например, такая возможность может быть использована, когда в процессе
антивирусной проверки каталога был обнаружен зараженный файл,
содержащий важные данные. При лечении часть данных может быть
потеряна. Решением в такой ситуации может быть изолирование
зараженного объекта в отдельном каталоге для, например, последующей
его отправки в Лабораторию Касперского на экспертизу. Возможно,
экспертам удастся вылечить файл и сохранить целостность содержащихся
в нем данных.
Если каталог с изолированными объектами предполагается хранить в
структуре файловой системы сервера, рекомендуем исключить его из
области сканирования для последующих проверок, указав полный путь к
76 Антивирус Касперского® для Unix Mail Server
нему в качестве значения параметра ExcludeDir конфигурационного
файла.
Задача
: проверить на присутствие вирусов все объекты, перечисленные в файле /tmp/download.lst, и перенести обнаруженные инфицированные объекты с полными путями к ним в каталог
/tmp/infected. Использовать эвристический анализатор кода; рекурсию отключить. Информацию о зараженных, а также подозрительных и поврежденных объектах вывести в файл отчета.
Решение: для реализации поставленной задачи выполните следующие действия:
1. Задайте перенос объектов на карантин, введя приведенную
ниже строку в поле ввода параметра On infected секций Object
action и Container action на закладке Kasperksy Anti-Virus
Scanner программы Webmin (см. рис. 18):
movePath /tmp/infected
2. Включите эвристический анализатор кода, но отключите
рекурсивную проверку и лечение объектов. Для этого
выполните приведенные ниже настройки в секции Scan
settings:
Cure – отключить лечение инфицированных объектов.
Use heuristic – включить эвристический анализатор кода.
Recirsion – отключить рекурсивное сканирование каталогов.
3. В командной строке введите:
#kavscanner –@/tmp/download.lst
или:
1. В качестве действий над инфицированными объектами в
секциях [object] и [container] конфигурационного файла
укажите следующую строку:
OnInfected=movePath /tmp/infected
2. Отключите режим лечения (Cure=no), если от был включен.
3. В командной строке введите:
#kavscanner –@/tmp/download.lst –ePASBME –rq
–i0 -o /tmp/report.log –j3 –mCn
Теперь усложним задачу, задав требование ограничения доступа к файлам
каталога /tmp/infected только возможностью их чтения и записи. Это
достигается с помощью стандартных инструментов Unix (команда chmod).
Работа с Антивирусом Касперского 77
Следовательно, в схему реализации задачи необходимо внести следующие
изменения:
1. На закладке Kaspersky Anti-Virus Scanner программы Webmin
(см. рис. 18) в секциях Object action и Container action в поле
ввода параметра On infected введите строку:
exec mv %FULLPATH%/%FILENAME%
/tmp/infected/%FILENAME%; chmod –x
/tmp/infected/%FILENAME%
или:
1. В секциях [object] и [container] конфигурационного файла
/etc/kav/kavscanner.conf в качестве правила обработки
инфицированных объектов укажите следующую строку:
OnInfected=exec mv %FULLPATH%/%FILENAME%
/tmp/infected/%FILENAME%; chmod –x
/tmp/infected/%FILENAME%
5.3.4. Дополнительные возможности:
использование скрипт-файлов
Антивирус Касперского® предоставляет возможность дополнительной
обработки объектов, прошедших антивирусный анализ, путем
использования различных стандартных команд Unix, а также скриптфайлов. При помощи таких средств опытные администраторы могут
самостоятельно определять действия над объектами различных статусов и,
таким образом, расширять функциональность Антивируса Касперского
®
.
5.3.4.1. Лечение зараженных объектов в
архиве
Антивирус Касперского® не лечит инфицированные файлы, запакованные в
архивы, он лишь обнаруживает в них подозрительные и зараженные
объекты. Однако такая возможность может быть реализована посредством
дополнительного скрипт-файла. В настоящем документе приводится
пример лечения архивов типа tar и zip при помощи скрипт-файла vox.sh (см.
п. A.5 на стр. 131). Данный скрипт включен в поставку Антивируса
Касперского®.
78 Антивирус Касперского® для Unix Mail Server
Задача
и с помощью скрипта vox.sh попытаться вылечить все
обнаруженные внутри архива инфицированные объекты. В
: проверить все доступные на сервере архивы типа tar и zip,
качестве конфигурационного файла использовать
/etc/kav/kavscanner.conf.in, где предварительно указать
использование скрипт-файла для лечения архивов. Использовать
эвристический анализатор кода.
Список всех инфицированных объектов с полными путями к ним
привести в файле /tmp/infected_archive.lst. Отчет о работе компонента вывести только в файл /tmp/logfile.log.
Решение: для реализации поставленной задачи выполните
следующие действия:
1. Задайте действия над зараженными объектами-контейнерами,
введя указанную ниже строку в поле ввода параметра On
infected в секции Container action на закладке Kaspersky
Anti-Virus Scanner программы Webmin (см. рис. 18):
exec /tmp/kavscanner/test/vox.sh \
%FULLPATH%/%FILENAME%
2. Запустите сканирование файловой системы сервера с
выполненными настройками, нажав на кнопку Start для
компонента Kaspersky Anti-Virus On-Demand Scanner на
закладке Run Kaspersky Anti-Virus component (см. рис. 12).
3. Ограничьте при необходимости область сканирования, указав
путь к каталогу, с которого начнется проверка, в поле ввода
параметра Scan path окна Startup options (см. рис. 19)
нажмите на кнопку Start.
Работа с Антивирусом Касперского 79
Other ! KAV for Mail Servers ! AV File Check
Рисунок 18. Закладка Kaspersky Anti-Virus On-Demand Scanner
Other ! KAV for Mail Servers ! AV Run+Start
Рисунок 19. Закладка для определения
области сканирования
или:
80 Антивирус Касперского® для Unix Mail Server
1. Создайте альтернативный файл kavscanner.conf.in.
2. В качестве правила обработки инфицированных объектов в
секции [container] данного файла задайте строку:
OnInfected=exec /tmp/kavscanner/test/vox.sh
%FULLPATH%/%FILENAME%
3. В командной строке введите:
# kavscanner –c kavscanner.conf.in –ePASE –qR
–o /tmp/logfile.log –j3
–pi /tmp/infected_archive.lst /
5.3.4.2. Отправка администратору
уведомления
Посредством Антивируса Касперского® с использованием стандартных
средств Unix вы можете настроить уведомление администратора сервера
об обнаружении в примонтированных файловых системах
инфицированных, подозрительных и поврежденных файлов.
Задача: настроить уведомление администратора при обнаружении
в примонтированных файловых системах инфицированных файлов
и архивов при каждой проверке сервера, выполняемой в соответствии с параметрами конфигурационного файла
kav4mailservers.conf.
Решение: для реализации поставленной задачи выполните
следующие действия:
Задайте следующие правила обработки простых объектов и контейнеров в конфигурационном файле kav4mailservers.conf
[scanner.object]
OnInfected=exec echo %FULLPATH%/%FILENAME% is
infected by %VIRUSNAME% |
mail -s kavscanner admin@localhost.ru
[scanner.container]
OnInfected=exec echo archive %FULLPATH%/%FILENAME% is
infected, viruses list is in the attached file %LIST%
| mail -s kavscanner -a %LIST% admin@localhost.ru
или:
Работа с Антивирусом Касперского 81
1. Задайте действия над зараженными простыми файлами, введя
указанную ниже строку в поле ввода параметра On infected в
секции Object action на закладке Kaspersky Anti-Virus Scan-
ner программы Webmin (см. рис. 18):
exec echo %FULLPATH%/%FILENAME% is
infected by %VIRUSNAME% | mail -s kavscanner
admin@localhost.ru
2. Определите действия над зараженными объектамиконтейнерами, введя указанную ниже строку в поле ввода параметра On infected в секции Container action на закладке
Kaspersky Anti-Virus Scanner программы Webmin
(см. рис. 18):
exec echo archive %FULLPATH%/%FILENAME% is
infected, viruses list is in the attached file
%LIST% | mail -s kavscanner -a %LIST%
admin@localhost.ru
5.4. Управление лицензионными
ключами
Лицензионный ключ дает вам право на использование продукта и содержит
всю необходимую информацию, связанную с лицензией, которую вы
приобрели, такую как: тип лицензии, дата окончания срока действия
лицензии, количество защищаемых пользователей или объем
лицензионного трафика (зависит от типа лицензии), информацию о
дистрибьюторах и т.д.
Помимо прав на использование продукта в течение срока действия
лицензии вы приобретаете следующие возможности:
• круглосуточную техническую поддержку;
• ежедневное обновление антивирусных баз;
• обновление продукта (patch);
• получение новых версий продукта (upgrade);
• своевременное информирование о новых вирусах.
По окончании срока действия лицензии вы автоматически лишаетесь
приведенных выше возможностей. Антивирус Касперского
будет осуществлять антивирусную обработку файловых систем сервера и
почтового трафика, но только с использованием антивирусных баз,
актуальных на дату окончания срока действия лицензии. Администратору
®
по-прежнему
82 Антивирус Касперского® для Unix Mail Server
сервера будут направляться уведомления об окончании действия
лицензии. Функция обновления антивирусных баз будет не доступна.
Поэтому крайне важно регулярно просматривать информацию,
приведенную в лицензионном ключе и отслеживать дату истечения срока
его действия.
5.4.1. Просмотр информации о
лицензионном ключе
Вы можете просматривать информацию об установленных лицензионных
ключах в отчетах о работе компонентов kavscanner, kavupdater и aveserver,
поскольку при старте каждый из этих компонентов загружает информацию о
ключах.
Помимо этого в Антивирусе Касперского
компонент licenseviewer, позволяющий вам просматривать не только более
полную информацию о ключах, но и получать некоторые аналитические
данные.
Так, если вы приобрели Антивирус Касперского
ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА, то компонент licenseviewer позволяет
отслеживать, какой объем трафика уже исчерпан, сколько Mb
лицензированного почтового трафика осталось на текущую дату.
Вы можете также просматривать информацию об объеме обработанного в
течение суток (по часам) трафика, и, таким образом, оценивать пики
нагрузки. Данная информация может пригодиться, например, для отправки
в Службу технической поддержки, если возникнут проблемы с работой
продукта.
При покупке Антивируса с типом лицензирования ПО КОЛИЧЕСТВУ
ПОЛЬЗОВАТЕЛЕЙ вы можете просматривать общее количество
лицензированных пользователей, соответствующее приобретенной
лицензии.
Вся перечисленная выше информация может быть выведена на консоль
сервера или просмотрена удаленно с любого компьютера вашей сети,
имеющего доступ для работы с программой Webmin.
®
предусмотрен специальный
®
с типом лицензирования
Чтобы просмотреть информацию о всех лицензионных ключах,
выберите Key Info на закладке Kaspersky Anti-Virus for Mail Servers программы Webmin. В открывшемся окне (см. рис. 20) из
Работа с Антивирусом Касперского 83
раскрывающегося списка Display выберите keys information и
нажмите на кнопку Show.
Other ! KAV for Mail Servers ! Key Info
Рисунок 20. Информация о лицензии
или:
В командной строке введите:
licenseviewer –s
На консоль сервера или закладку Kaspersky Anti-Virus license info будет
выведена следующая информация:
Kaspersky license viewer Version 4.5
Copyright (C) Kaspersky Lab. 1998-2003.
License file 0003D3EA.key, serial 0038-0004190003D3EA, "Kaspersky Anti-Virus for Personal Linux",
expires 04-07-2003 in 28 days
License file 0003E3E8.key, serial 011E-0004130003E3E8, "Kaspersky Anti-Virus for Linux Mail Srv
(licence per e-mail address)", expires 25-01-2004 in
234 days
84 Антивирус Касперского® для Unix Mail Server
Чтобы просмотреть информацию о конкретном ключе,
в командной строке введите, например, такую строку:
licenseviewer –k 0003D3EA.key
Наконсоли отразится следующая информация:
Kaspersky license viewer Version 4.5
Copyright (C) Kaspersky Lab. 1998-2003.
Serial 0038-000419-0003D3EA, "Kaspersky Anti-Virus
for Personal Linux", expires 04-07-2003 in 28 days
Для получения информации по лицензированному почтовому
трафику или количеству защищаемых пользователей
выберите Key Info на закладке Kaspersky Anti-Virus for Mail Servers программы Webmin. В открывшемся окне (см. рис. 21) из
раскрывающегося списка Display выберите license inforrmation и
нажмите на кнопку Show.
или:
в командной строке введите:
licenseviewer –i
На консоль сервера или закладку Kaspersky Anti-Virus license info будет
выведена следующая информация:
• при типе лицензирования ПО КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ:
Kaspersky license viewer Version 4.5
Copyright (C) Kaspersky Lab. 1998-2003.
License email address units: 1500
• при типе лицензирования ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА:
Kaspersky license viewer Version 4.5
Copyright (C) Kaspersky Lab. 1998-2003.
Daily traffic statistic(Bytes):
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0
License traffic units: 10 (MB)
Traffic units used: 0 (MB)
Traffic units left: 10 (MB)
Работа с Антивирусом Касперского 85
Other ! KAV for Mail Servers ! Key Info
Рисунок 21. Информация о ключе
Для Антивируса Касперского® с типом лицензирования ПО КОЛИЧЕСТВУ
ПОЛЬЗОВАТЕЛЕЙ мы предоставляем дополнительную возможность в
любой момент работы с программой проверить, является ли тот или иной
пользователь защищаемым, то есть пользователем, почтовые сообщения
от и для которого проходят антивирусную обработку.
Это может быть полезно, например, в случае, когда лицензия приобретена
на большое количество и, прежде чем вносить в список лицензированных
некоторого пользователя, необходимо проверить, не включен ли уже
данный пользователь в список защищаемых.
Чтобы проверить, является ли пользователь sergey@localhost.ru лицензированным,
в командной строке введите
licenseviewer–u sergey@localhost.ru
В результате на консоль будет выведена, например, следующая
информация:
Kaspersky license viewer for smtpscanner,
Copyright(C) Kaspersky Lab. 1998-2003.
86 Антивирус Касперского® для Unix Mail Server
Version 4.5
User sergey@localhost.ru is licensed
5.4.2. Продление лицензии
Продление лицензии на использование Антивируса Касперского® дает вам
право на восстановление полной функциональности продукта – обновления
антивирусных баз. Кроме того, возобновляются дополнительные услуги,
приведенные в п. 5.3.4 на стр. 77.
Срок действия лицензии зависит от типа лицензирования, который вы
выбрали, приобретая продукт.
Чтобы продлить лицензию на использование Антивируса Касперского
связаться с компанией, у которой вы купили продукт, и приобрести
продление лицензии на использование Антивируса Касперского®.
или:
продлить лицензию непосредственно в Лаборатории Касперского,
написав в Отдел продаж (sales@kaspersky.com) или заполнив
соответствующую форму на нашем сайте (www.kaspersky.ru
разделе Купить онлайн ! Для пользователей систем Linux. По
факту оплаты вам будет отправлен лицензионный ключ по
электронной почте, адрес которой был указан вами в форме
заказа.
Регулярно Лаборатория Касперского проводит акции, позволяющие
продлить лицензии на использование наших продуктов со значительными скидками. Следите за акциями на сайте Лаборатории
Касперского в разделе Информация ! Акции.
Приобретенный лицензионный ключ необходимо установить. Для этого
скопируйте его в каталог хранения ключей (параметр LicensePath
конфигурационного файла) и перезапустите сервер.
После этого рекомендуем вам обновить антивирусные базы (см. п. 5.1 на
стр. 51).
®
для Unix Mail Servers, вам необходимо:
) в
ГЛАВА 6. ДОПОЛНИТЕЛЬНАЯ
НАСТРОЙКА
В данном разделе мы наиболее подробно остановимся на дополнительных
настройках функциональности Антивируса Касперского
необходимых настроек (см. Глава 4 на стр. 35), без выполнения которых
использование продукта невозможно, дополнительные настройки
осуществляются по усмотрению администратора. Они направлены на
расширение функциональности продукта и его настройки под условия
использования в рамках конкретного предприятия.
®
. В отличие от
6.1. Настройка антивирусной
защиты почтового трафика
При сканировании почтового трафика на присутствие вирусов основным
критерием при выборе правил обработки каждого почтового сообщения
являются адреса отправителя и получателя и параметры группы, в состав
которой они входят. Поэтому крайне важно отнести адреса в нужную
группу.
Принадлежность почтового сообщения к конкретной группе определяется
наличием в этой группе как адреса отправителя, так и адреса получателя.
Программа просматривает список адресов группы и ищет в нем тот и
другой адрес. Как только в исследуемой группе обнаруживается
комбинация адресов "отправитель-получатель", к сообщению применяются
правила обработки, определенные параметрами этой группы.
®
Антивирус Касперского
соответствии с настройками конфигурационного файла
kav4mailservers.conf. Вы можете отредактировать файл как локально, так и удаленно с помощью программы Webmin.
Проверка наличия строки с адресом сообщения в группе
происходит в соответствии с POSIX regex (подробнее о стандарте
см. man 7 regex).
По умолчанию конфигурационный файл включает группу
[smtpscan.group:default], в которой описаны правила обработки почтовых
сообщений. Поскольку группа изначально не содержит имен отправителей
и получателей, то правила, описанные в группе, применяются ко всем
сообщениям. Вы можете изменить параметры группы default, а также
создать новые группы.
выполняет антивирусную фильтрацию в
88 Антивирус Касперского® для Unix Mail Server
Если вы внесли в конфигурационный файл другие группы (см. п. 6.1.1 на
стр. 89), то последовательность обработки почтового сообщения будет
следующая:
1. Программа проверяет наличие адресов сообщения в группах,
введенных администратором. Если адреса сообщения входят в
какую-либо группу адресов пользователей, то к сообщению
будут применены правила обработки, определенные
параметрами данной группы.
Если адреса отправителя и получателя обрабатываемого сообщения попадают в интервал адресов
нескольких групп, программа будет использовать
параметры первой из них.
2. Если адреса не входят ни в одну из групп адресов, введенных
администратором, то к сообщению будут применены действия
программы, описанные в группе default.
Графическое представление последовательности действий Антивируса
Касперского
®
с полученным почтовым сообщением изображено на рис. 22.
Дополнительная настройка 89
Рисунок 22. Обработка почтового сообщения программой Keeper
6.1.1. Формирование групп
пользователей
По умолчанию в конфигурационном файле Антивируса Касперского® есть
группа [smtpscan.group:default], справедливая для всех отправителейполучателей сервера. Она содержит следующие правила обработки
почтовых сообщений:
• Проверять все почтовые сообщения.
• Лечить обнаруженные инфицированные письма.
• Доставлять адресатам только незараженные и вылеченные
почтовые сообщения.
90 Антивирус Касперского® для Unix Mail Server
• Письма, которые вылечить не удалось, а также подозрительные, поврежденные, защищенные письма и почтовые сообщения, в результате проверки которых произошла ошибка, доставлять только администратору группы.
• Отправителей, получателей и администратора группы уведомлять о
зараженных, вылеченных, подозрительных, поврежденных,
защищенных письмах и почтовых сообщениях, в результате
проверки которых произошла ошибка.
Если вы хотите, чтобы для различных получателей-отправителей
Антивирус Касперского
®
обрабатывал почтовые сообщения по отдельным
правилам, вам необходимо создать группы.
Чтобы создать новую группу адресов пользователей,
1. В конфигурационном файле создайте секцию
[smtpscan.group:имя_группы].
2. Определите адреса (маски адресов) отправителей и
получателей группы, перечислив их через запятую в качестве
значений параметров Senders и Recipients.
При задании масок используется стандарт POSIX
regex.
Если Вы не определите значения параметра
Recipients
.*@.*
как
ИЛИ Senders, то оно будет определено
Если НИ параметр Recipient mask, НИ параметр
Sender mask не определены, то ни одно почтовое
сообщение не будет проверяться по правилам данной группы. Вы можете использовать такой режим,
когда хотите исключить некоторую группу из процесса сканирования без ее фактического удаления из
списка групп. В любой момент она может быть вновь
добавлена путем определения масок адресов отправителей и получателей.
или:
1. Создайте новую группу на закладке Groups list программы
Webmin (см. рис. 13). Выберите имя созданной группы в списке
групп пользователей и нажмите на кнопку Properties.
2. Укажите электронные адреса или маски адресов отправителей
и получателей, почтовые сообщения которых будут
Дополнительная настройка 91
обрабатываться по правилам группы, в секциях Sender mask и
Recipient mask на закладке Main settings (см. рис. 8).
6.1.2. Режим проверки и лечения
сообщений
Для того чтобы выполнялась антивирусная проверка почтового трафика
конкретной группы отправителей-получателей, администратору сервера
необходимо в параметрах группы включить соответствующий режим.
Для этого в конфигурационном файле kav4mailservers.conf для группы
задайте параметр Check=yes, а при удаленной настройке через программу
Webmin на закладке Main settings (см. рис. 8) установите для группы
флажок
При включенном режиме проверки все почтовые сообщения, отнесенные по
критерию отправитель-получатель к данной группе, проверяются
Антивирусом Касперского® на присутствие вирусов. Однако лечение
обнаруженных инфицированных почтовых сообщений выполняться не
будет.
Для ВКЛЮЧЕНИЯ РЕЖИМА ЛЕЧЕНИЯ зараженных писем необходимо в
группе указать хотя бы один параметр для вылеченных (Cured) объектов.
Например, если в группе помимо других параметров вы укажете:
это будет означать, что:
• все почтовые сообщения для отправителей-получателей группы ac-
• обнаруженные зараженные объекты будут подвергаться лечению;
• о вылеченных объектах получатели будут получать
Check this group.
[smtpscan.group:account]
Check=yes
CuredRecipientNotify=yes
count буду проверяться на присутствие вирусов;
соответствующее уведомление.
Чтобы включить режим лечения инфицированных объектов удаленно,
на закладке Notify list (см. рис. 15) установите хотя бы один фла-
жок для типа объекта Cured или в раскрывающемся списке графы
Action выберите нужное значение.
92 Антивирус Касперского® для Unix Mail Server
6.1.3. Действия над почтовыми
сообщениями
Действия, выполняемые над объектами почтовых сообщений,
определяются двумя факторами:
• во-первых, статусом объектов, присвоенном после проверки (см. п.
6.2.2 на стр. 99);
• во-вторых, непосредственно действием для конкретного статуса
объекта, указанном в конфигурационном файле.
Статус объекту присваивается процессом aveserver сразу после проверки
его на присутствие вирусов, а вот действие, выполняемое над объектом
после проверки, определяется администратором сервера.
Антивирус Касперского
ектами почтовых сообщений, которые будут доставляться получателю и администратору группы. Для отправителей почтовых сообщений можно настроить ТОЛЬКО уведомление.
Вы можете задать для объектов почтовых сообщений одно из следующих
действий:
Remove – удалять объект из почтового сообщения.
Unchanged – не изменять объект.
Cured – доставлять только вылеченный объект (только для объекта ти-
па Cured).
Вы можете определить единые действия над всеми типами объектов или
задать для каждого типа свое.
®
позволяет определить действия над объ-
Чтобы задать для всех типов объектов единые действия,
Установите соответствующие значения для параметров
AdminAction и ReсipientAction. Эти параметры определяют действия для всех типов объектов. Например:
AdminAction=unchanged
RecipientAction=remove
Все почтовые сообщения группы будут доставляться администратору неизменными, а из почтовых сообщений получателя будут
удаляться.
или:
Дополнительная настройка 93
на закладке Notify list (см. рис. 15) программы Webmin в графах
Administrator rules/ Action и User rules/ Action из раскрывающих-
ся списков для всех объектов выберите одно значение.
Если вы хотите для каждого типа объекта задать свое
действие,
укажите соответствующие значения для параметров
<тип_объекта>AdminAction и <тип_объекта>RecipientAction.
Если Например,
AdminAction=unchanged
RecipientAction=remove
CuredRecipientAction=cured
В данном случае все почтовые сообщения независимо от типа
объекта будут доставлены администратору группы неизменными, а
получатель будет получать только вылеченные письма. Все остальные типы объектов будут удалены из почтовых сообщений получателя.
Дополнительно к перечисленным выше действиям над объектами
предусмотрено блокирование объекта в карантинном каталоге.
Чтобы переносить объект почтового сообщения в карантинный
каталог,
В конфигурационном файле для группы задайте следующие параметры:
QuarantinePath=/var/db/Quarantine
Quarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
или:
1. Задайте полный путь к карантинному каталогу в поле ввода
параметра Quarantine path на закладке Main settings
(см. рис. 8) программы Webmin.
2. установите флажки для тех типов объектов, которые предпола-
гается блокировать, в графе Quarantine на закладке Notify
rules (см. рис. 15).
94 Антивирус Касперского® для Unix Mail Server
6.1.4. Уведомление отправителей,
получателей и администраторов
Антивирус Касперского® позволяет вам настроить уведомления (режим их
отправки, параметры формирования и текст) отправителей почтовых
сообщений, их получателей и администраторов групп об объектах любого
из возможных статусов (подозрительные, зараженные, вылеченные,
поврежденные и т.д.). Отправка уведомлений регулируется следующими
параметрами конфигурации:
• RecipientNotify – отправка уведомления получателю почтового сообщения;
• SenderNotify – отправка уведомления отправителю почтового сообщения;
• AdminNotify – отправка уведомления администратору группы.
Такие параметры определяют отправку уведомлений для объектов всех
статусов. Если вы хотите назначить отправку уведомлений для объектов
конкретных статусов, то включите режимы:
• <статус_объекта>RecipientNotify;
• <статус_объекта>SenderNotify;
• <статус_объекта>AdminNotify.
В таком случае уведомление будет отправлено адресату только по объекту
указанного статуса.
Например, при указании в группе следующих настроек:
InfectedRecipientNotify=yes
CuredRecipientNotify=yes
CorruptedRecipientNotify=yes
SenderNotify=yes
AdminNotify=yes
Уведомления администратору и отправителю будут отправляться по
объектам всех статусов, а получателю – только по зараженным,
вылеченным и поврежденным объектам.
Для отправки уведомлений также необходимо указать адрес с которого они
будут отсылаться (параметр NotifyFromAddress секции
[smtpscan.general]).
Дополнительная настройка 95
По умолчанию Антивирус Касперского® включает уведомление для
объектов каждого статуса; все они содержат универсальный текст,
основанный на шаблоне /etc/kav/4.5/template_notify_main, включенном в
поставку продукта.
Если вы хотите отредактировать текст уведомления, вы можете:
• Отредактировать текст шаблона, включенного в поставку.
• Создать новый файл шаблона и указать полный путь к нему в
качестве значения параметра Template секции [smtpscan.notify].
В тексте шаблона вы можете использовать следующие макросы, которые
автоматически будут заменяться программой на соответствующее
значение на основании ответов процесса aveserver:
®
%VERSION% – версия Антивируса Касперского
.
%SENDER% – почтовый адрес отправителя сообщения.
%RECIPIENT% – список всех получателей сообщения,
разделенных переводом строки.
%MSGID% – идентификационный номер письма.
%VIRUSNAME% – текстовое описание проблемы. Вы можете лока-
лизовать данный текст на любой язык. Для этого введите соответствующие строки для объекта каждого статуса в секции
[locale]. Подробнее см. п. A.2 на стр. 117.
%DATETIME% – дата и время обработки почтового сообщения.
Формат даты и времени также может быть отредактирован.
Подробнее см. п. A.2 на стр. 117.
Такие макросы можно также использовать и при формировании темы
письма.
Параметры формирования уведомлений (MIME-тип, тема письма,
кодировка и т.д.) сгруппированы в секции [smtpscan.notify]
конфигурационного файла.
Полный список всех видов уведомлений (по статусу объекта) приведен
также на закладке Notify list программы Webmin (см. рис. 23)
96 Антивирус Касперского® для Unix Mail Server
Other ! KAV for Mail Servers ! Notify
Рисунок 23. Список уведомлений
Чтобы отредактировать параметры уведомления,
1. Выберите его в списке уведомлений и нажмите на кнопку Edit.
2. В открывшемся окне (см. рис. 24) задайте необходимые
параметры и при необходимости отредактируйте текст
уведомления.
Дополнительная настройка 97
Other ! KAV for Mail Servers ! Notify! Edit
Рисунок 24. Параметры уведомления
Уведомление, параметры которого вы изменили, будет отмечено в списке
уведомления значком (+) рядом с его именем.
6.2. Настройка антивирусной
защиты файловых систем
сервера
Весь набор параметров антивирусной защиты файловых систем сервера
можно разделить на группы, определяющие:
• Область сканирования (см. п. 6.2.1 на стр. 98).
• Режим проверки и лечения файлов (см. п. 6.2.2 на стр. 99).
• Действия над файлами (см. п. 6.2.3 на стр. 100).
• Параметры формирования отчета о результатах работы (см. п. 6.4
на стр. 103).
Рассмотрим подробнее настройку каждой из этих групп.
98 Антивирус Касперского® для Unix Mail Server
6.2.1. Область сканирования
Область сканирования можно условно разделить на две части:
• путь сканирования – список каталогов и файлов, в которых производится поиск вирусов;
• объекты сканирования – набор типов файлов, которые будут
сканироваться на предмет вирусов (архивы, почтовые сообщения и
т.д.).
По умолчанию проверяются все объекты доступных файл овых систем,
начиная с текущего каталога.
Для проверки всех файловых систем сервера необходимо перейти
в корневой каталог или в командной строке указать область сканирования /.
Вы можете переопределить путь сканирования следующими способами:
• Перечислив через пробел каталоги и файлы с абсолютными или относительными (относительно текущего каталога) путями к ним непосредственно в командной строке при запуске компонента.
• Задав пути сканирования в текстовом файле и указав его
использование в командной строке посредством ключа
<имя_файла>
строки с абсолютным путем к нему.
• Ограничив пути, принятые по умолчанию (всё, начиная с текущего
каталога) или перечисленные в командной строке, путем ввода в
конфигурационном файле kav4mailservers.conf масок файлов и каталогов, которые будут исключены из области проверки (секция [scan-
ner.options], параметры ExcludeMask и ExcludeDirs).
. Каждый объект в таком файле приводится с новой
Если в командной строке будет указан и путь сканирования и
текстовый файл со списком объектов проверки, то будет
проверяться область, указанная в файле. Путь в командной
строке будет проигнорирован.
-@
• Отключив рекурсивную проверку каталогов (секция
[scanner.options], параметр Recursion или ключ –r).
Ввод масок файлов и каталогов, а также отключение рекурсии может быть выполнено удаленно с помощью программы
Webmin на закладке Kaspersky Anti-Virus On-Demand
Scanner (см. рис. 18).
Дополнительная настройка 99
• Создав альтернативный конфигурационный файл и указав его ис-
пользование посредством ключа
нента.
Объекты сканирования по умолчанию также задаются в конфигурационном
файле kav4mailservers.conf (секция [scanner.options]) и могут быть
переопределены :
• непосредственно в данном файле или на закладке Kaspersky AntiVirus On-Demand Scanner (см. рис. 18) программы Webmin;
• ключами командной строки при запуске компонента (см. п. A.3 на
стр. 126);
• путем использования альтернативного конфигурационного файла.
–с <имя_файла> при запуске компо-
6.2.2. Режим проверки и лечения файлов
Лечение инфицированных файлов является очень важной опцией
сканирования поскольку определяет, будет ли выполняться лечение
зараженных файлов, обнаруженных в результате проверки.
По умолчанию эта опция отключена, что предполагает только проверку
файлов и информирование об обнаружении вирусов и других
подозрительных или поврежденных файлов путем вывода сообщений на
консоль и в отчет (см. п. 6.4 на стр. 103).
В результате проверки на присутствие вирусов каждому файлу
присваивается один из следующих статусов:
• Clear – вирусов в файле не обнаружено.
• Infected – файл инфицирован.
• Warning – код файла похож на код известного вируса.
• Suspicious – код файла похож на код неизвестного вируса.
• Corrupted – файл поврежден.
• Protected – файл защищен паролем.
При включенном режиме лечения (секция [scanner.options], параметр
Cure=yes) на антивирусную обработку отправляются файлы только со
статусом Infected. В результате лечения файлу присваивается один из
следующих статусов:
• Cured – файл был успешно вылечен.
100 Антивирус Касперского® для Unix Mail Server
• CureFailed – файл вылечить не удалось. Файл с таким статусом будет обрабатываться по правилам, заданным для инфицированных
файлов.
Включение режима лечения инфицированных объектов может
быть выполнено удаленно при помощи программы Webmin на закладке Kaspersky Anti-Virus On-Demand Scanner (см. рис. 18).
6.2.3. Действия над файлами
В зависимости от статуса файла (см. п. 6.2.2 на стр. 99) к нему могут
применяться те или иные действия. По умолчанию выполняется только
уведомление об обнаружении файлов с определенным статусом
сообщениями, выводимыми на консоль и в отчет.
Однако для файлов со статусами Infected, Suspiсious, Warning и
Corrupted можно настроить выполнение ряда действий, таких как:
• перемещение в некоторый каталог – перенос файлов определенного статуса в некоторый каталог; возможен простой и рекурсивный
перенос;
• удаление файла из файловой системы;
• выполнение некоторой команды – обработка файлов посредством
стандартных команд Unix, скрипт-файлов и т.д.
Для типов файла Protected и Cured выполняется только
уведомление, выводимое на консоль и в отчет.
Следует отметить, что Антивирус Касперского
(файл) и объект-контейнер (состоящий из нескольких объектов, например
архив). Действия, выполняемые над такими объектами, также различаются;
в конфигурационном файле они разнесены по отдельным секциям. Для
простого объекта – секция [scanner.object], для контейнера –
[scanner.container].
Действия с самораспаковывающимися архивами неоднозначны:
если инфицирован сам архив, то он рассматривается как простой
объект, а если заражены объекты внутри архива – как контейнер.
Соответственно, и действия над архивом в таких случаях определяются параметрами разных секций конфигурационного файла!
Выбрать действие над тем или иным файлом можно следующими
способами:
®
различает объект простой
Loading...