Kaspersky lab ANTI-VIRUS 5.0 FOR LINUX, ANTI-VIRUS 5.0 FOR FREEBSD, ANTI-VIRUS 5.0 FOR OPENBSD FILE SERVER User Manual

Download

ЛАБОРАТОРИЯ КАСПЕРСКОГО

Антивирус Касперского® 5.0 для Linux,

FreeBSD и OpenBSD Mail Servers

РУКОВОДСТВО АДМИНИСТРАТОРА

АНТИВИРУС КАСПЕРСКОГО® 5.0 ДЛЯ

LINUX, FREEBSD И OPENBSD MAIL SERVERS

Руководство

администратора

 ЗАО "Лаборатория Касперского"

Тел. (095) 797-87-00 • Факс (095) 948-43-31

http://www.kaspersky.ru

Дата редакции: декабрь 2003 года

Содержание

ГЛАВА 1. АНТИВИРУС КАСПЕРСКОГО® ДЛЯ LINUX, FREEBSD И OPENBSD

MAIL SERVERS........................................................................................................... 7

1.1. Что нового в версии 5.0 ...................................................................................... 8

1.2. Политика лицензирования................................................................................. 9

1.3. Аппаратные и программные требования к системе..................................... 10

1.4. Комплект поставки............................................................................................. 11

1.4.1. Лицензионное соглашение........................................................................ 11

1.4.2. Регистрационная карточка........................................................................ 12

1.5. Сервис для зарегистрированных пользователей......................................... 12

1.6. Принятые обозначения..................................................................................... 13

ГЛАВА 2. ТИПИЧНЫЕ СХЕМЫ РАЗВЕРТЫВАНИЯ ПРОДУКТА.......................... 15

2.1. Внутренняя архитектура Антивиру са Касперского®..................................... 16

2.2. Работа на одном сервере с почтовой системой ........................................... 18

2.3. Работа в качестве дополнительного фильтра .............................................. 19

2.4. Работа на выде ленном сервере ..................................................................... 21

2.5. Фильтрация почты внешних почтовых ящиков ............................................. 23

ГЛАВА 3. УСТАНОВКА АНТИВИРУСА КАСПЕРСКОГО®....................................... 25

3.1. Универсальная установка ................................................................................ 25

3.1.1. Запуск процедуры инста лляции............................................................... 26

3.1.2. Поиск предыдущей версии........................................................................ 27

3.1.2.1. Архивация (Backup) предыдущего дистрибутива ........................... 27

3.1.2.2. Обновление до версии 5.0 ................................................................. 28

3.1.2.3. Установка параллельно с более ранней версией........................... 28

3.1.3. Копирование файлов ди стрибутива........................................................ 29

3.1.4. Интеграция с почтовой системой............................................................. 30

3.1.5. Установка лицензионного ключа .............................................................. 30

3.1.6. Завершение установки .............................................................................. 31

3.1.7. Отчет о процессе инсталляции ................................................................ 31

3.2. Установка программы на сервер под управлением Linux ........................... 32

4 Антивирус Касперского

3.3. Установка программы на сервер под управлением FreeBSD или

OpenBSD........................................................................................................... 33

ГЛАВА 4. ПОСТИНСТАЛЛЯЦИОННАЯ НАСТРОЙКА ............................................ 35

4.1. Настройка продукта по умолчанию................................................................. 35

4.2. Установка / обновление антивирусных баз ................................................... 37

4.3. Настройка совместной работы с Webmin ...................................................... 38

4.4. Интеграция продукта с почтовыми системами вручную.............................. 39

4.4.1. Интеграция с почтовой системой sendmail ............................................. 40

4.4.2. Интеграция с почтовой системой qmail ................................................... 40

4.4.3. Интеграция с почтовой системой Postfix................................................. 41

4.4.4. Интеграция с почтовой системой Exim.................................................... 42

4.4.5. Конфигурация Антивируса Касперского® для интеграции с

почтовой системой...................................................................................... 43

4.5. Создание списка защищаемых пользователей............................................ 47

ГЛАВА 5. РАБОТА С АНТИВ ИРУСОМ КАС ПЕРСКОГО®....................................... 49

5.1. Обновление антивирусных баз ....................................................................... 49

5.1.1. Планирование обновлений антивиру сных баз посредством cron....... 51

5.1.2. Разовое обновление антивиру сных баз.................................................. 52

5.2. Антивирусная защита почтового трафика сервера...................................... 54

5.2.1. Доставка только незараженных и вылеченных почтовых

сообщений ................................................................................................... 55

5.2.2. Доставка зараженных сообщений............................................................ 59

5.2.3. Блокирование доставки адресатам сообщений..................................... 62

5.2.4. Дополнительная фильтрация писем по типу вложений ....................... 64

5.2.5. Настройка уведомлений об истечении лице нзии по трафику.............. 70

5.3. Антивирусная защита файловых систем....................................................... 71

5.3.1. Проверка каталога из командной строки................................................. 72

5.3.2. Ежедневная проверка каталога по расписанию..................................... 73

5.3.3. Перенос объектов в отдельный каталог (карантин) .............................. 73

5.3.4. Дополнительные возможности: исполь зование скрипт-файлов.......... 75

5.3.4.1. Лечение зараженных объектов в архиве.......................................... 75

5.3.4.2. Отправка администратору уведомления ......................................... 78

5.4. Управление лицензионными ключами........................................................... 79

5.4.1. Просмотр информации о лицензионно м ключе..................................... 80

5.4.2. Продление лицензии.................................................................................. 84

для Linux, FreeBSD и OpenBSD Mail Servers

Содержание 5

ГЛАВА 6. ДОПОЛНИТЕЛЬНАЯ НАСТРОЙКА .......................................................... 85

6.1. Настройка антивирусной защиты почтового трафика.................................. 85

6.1.1. Формирование групп по льзователе й....................................................... 87

6.1.2. Режим проверки и лечения сообщений................................................... 88

6.1.3. Действия над почтовым и сообщениями ................................................. 89

6.1.4. Уведомление отправителей, получателей и администраторов .......... 91

6.2. Настройка антивирусной защиты файловых систем сервера.................... 94

6.2.1. Область проверки....................................................................................... 94

6.2.2. Режим проверки и лечения файлов......................................................... 95

6.2.3. Действия над файлами.............................................................................. 96

6.3. Настройка работы процесса aveserver........................................................... 98

6.3.1. Перезагрузка aveserver.............................................................................. 99

6.3.2. Принудительное завершение работы aveserver.................................... 99

6.4. Локализация отображаемого формата даты и времени ........................... 100

6.5. Параметры формирования отчета Антивируса Касперского®.................. 100

6.5.1. Формат сообщений о проверке............................................................... 102

6.5.2. Формат прочих сообщений......................................................................104

6.5.3. Формат сообщений, выводящихся на консоль..................................... 105

ГЛАВА 7. ВОЗМОЖНЫЕ ВОПРОСЫ ПРИ РАБОТЕ С ПР ОДУКТОМ................. 106

ГЛАВА 8. ДЕИНСТАЛЛЯЦИЯ АНТИВИРУСА КАСПЕРСКОГО®.......................... 112

ПРИЛОЖЕНИЕ A. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ О ПРОДУКТЕ................. 113

A.1. Расположение файлов продукта по каталогам.......................................... 113

A.2. Конфигурационный файл Антивиру са Касперского®................................. 114

A.3. Ключи командной строки компонента kavscanner ...................................... 124

A.4. Коды возврата компонента kavscanner........................................................ 127

A.5. Ключи командной строки компонента aveserver......................................... 128

A.6. Коды возврата компонента aveserver .......................................................... 128

A.7. Ключи командной строки компонента smtpscanner.................................... 129

A.8. Коды возврата компонента smtpscanner ..................................................... 130

A.9. Ключи командной строки компонента licenseviewer................................... 130

A.10. Ключи командной строки компонента kavupdater.....................................131

A.11. Коды возврата компонента kavupdater...................................................... 132

A.12. Пример скрипт-файла (vox.sh) для лечения tar- и zip-архивов .............. 132

A.13. Пример конфигурационного файла почтовой программы Postfix

master.cf........................................................................................................... 134

6 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

ПРИЛОЖЕНИЕ B. ВРЕДОНОСНЫЕ ПРОГРАММЫ В UNIX-СРЕДЕ.................. 136

B.1. Вирусы.............................................................................................................. 136

B.2. Троянские программы .................................................................................... 138

B.3. Сетевые черви ................................................................................................ 139

ПРИЛОЖЕНИЕ C. ЗАО "ЛАБОРАТОРИЯ КАСПЕРСКОГО" ................................ 141

C.1. Другие разработки "Лаборатории Касперского" ......................................... 142

C.2. Наши координаты........................................................................................... 146

ПРИЛОЖЕНИЕ D. УКАЗАТЕЛЬ................................................................................ 148

ГЛАВА 1. АНТИВИРУС

КАСПЕРСКОГО® ДЛЯ LINUX,

FREEBSD И OPENBSD MAIL SERVERS

Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers (далее также Антивирус Касперского

Unix Mail Servers) предназначен для антивирусной обработки почтового трафика и файловых систем серверов, работающих под управлением операционных систем Linux, FreeBSD или OpenBSD и использующих любую из следующих почтовых программ: Sendmail, Postfix, Qmail, Exim.

Программный продукт позволяет:

• проверять на присутствие вирусов все примонтированные файло-

вые системы , а также входящий и исходящий поток почтовых сообщений SMTP-трафика сервера;

• выявлять инфицированные, подозрительные, поврежденные и за-

щищенные паролем файлы, а также файлы, в результате проверки которых произошла ошибка;

• выполнять антивирусную обработку (лечить) зараженных объек-

тов файловых систем и почтовых сообщений;

• переносить в карантинный каталог инфицированные, подозри-

тельные и поврежденные объекты файловых систем сервера и его почтового трафика; дополнительно для почтового трафика на карантин можно переносить вылеченные и защищенные паролем файлы, а также файлы, в результате проверки которых произошла ошибка;

• обрабатывать почтовый трафик в соответствии с правилами, за-

данными для групп отправителей-получателей;

• организовывать дополнительную фильтрацию почтового потока

сообщений по именам и типам вложенных файлов и применять к отфильтрованным объектам отдельные правила обработки;

• уведомлять отправителя, получателя и администратора группы о

почтовом сообщении, содержащем инфицированный, подозрительный и др. объекты;

, Антивирус Касперского® для

8 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

• обновлять антивирусные базы. Ресурсом для обновления баз яв-

ляются сервера обновлений "Лаборатории Касперского".

Антивирусные базы используются в процессе поиска и лечения зараженных файлов. На основе записей, содержащихся в них, каждый файл во время проверки анализируется на прис утствие вирусов: код файла сравнивается с кодом, характерным для того или иного вируса. В случае если файл инфицирован, программа выполняет его лечение.

Необходимо помнить, что каждый день появляются новые вирусы, поэтому для поддержания продукта в актуальном состоянии мы рекомендуем обновлять антивирусные базы ежедневно.

• конфигурировать Антивирус Касперского

через веб-интерфейс

программы Webmin и конфигурационный файл продукта.

1.1. Что нового в версии 5.0

В версии Антивируса Касперского® 5.0 по сравнению с версией 4.0 произведены следующие изменения:

• Все компоненты продукта переведены на новое антивирусное ядро,

которое уменьшает нагрузку на рабочие станции или сервера без сокращения функциональности продукта.

• Исправлен ряд недостатков Антивируса Касперского

сии 4.0, связанных с его архитектурными особенностями.

• Исполняемый файл компонента kavdaemon переименован в ave-

server и усовершенствован.

• Компонент kavkeeper переименован в smtpscanner и доработан.

• Компонент веб-конфигурации WebTuner заменен на модуль (plug-in)

к распространенной программе Webmin. При этом функциональность продукта расширилась.

• Контроль за лицензированием почтового трафика модифицирован:

теперь вы можете отправлять уведомления администраторам при достижении критического объема лицензионного трафика.

• Конфигурационные файлы всех компонентов объединены в один

kav4mailservers.conf, что позволяет управлять всем продуктом в целом. В связи с этим выполнен полный переход конфигурации всего продукта с бинарной базы на текстовую.

для Unix вер-

Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers 9

• Добавлены возможность конфигурации форматов представления

времени и даты в отчетах о работе компонент программы и в уведомлениях, а также локализация результата проверки почтовых сообщений в уведомлениях на различные языки.

• Расширен набор макросов, используемых в уведомлениях о провер-

ке почтовых сообщений.

• Появилась возможность использовать скрипт-файлы для обработки

объектов с различным статусом (зараженных, поврежденных и т.д.).

• Добавлена возможность автоматического перезапуска резидентных

компонентов программы сразу после успешного обновления антивирусных баз.

• Продукт распространяется в стандартных пакетах для поддерживае-

мых дистрибутивов операционных систем (rpm, deb).

• Изменилась политика лицензирования продукта:

• по окончании действия лицензии Антивирус Касперского

сохраняет свою функциональность за исключением обновления антивирусных баз;

• без лицензионного ключа Антивирус Касперского

не рабо-

тает.

• Компонент kavucc (Control Centre) удален в связи с упрощением ар-

хитектуры продукта.

• Компоненты kavinspector (Inspector), kavtuner (Tuner) и kavmonitor

(Monitor) удалены из состава продукта.

1.2. Политика лицензирования

Политика лицензирования Антивируса Касперского® предполагает систему ограничений на использование продукта по:

• времени использования продукта (как правило, ограничивается

сроком в один год со дня приобретения продукта).

• количеству пользователей (электронных адресов).

• объему суточного почтового трафика (Mb/сутки).

Вы можете приобрести лицензию как по какому-либо одному типу ограничения (например, по суточному объему почтового трафика), так и по совокупности типов (например, по количеству почтовых ящиков на один год).

10 Антивирус Касперского

Существуют некоторые особенности настройки продукта исходя типа приобретенной лицензии на его использование. Так, при ограничении ПО КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ (электронных адресов) вам необходимо сформировать список пользователей, на которых будет распространяться антивирусная защита (см. п. 4.5 на стр. 47). А при ограничении ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА у вас есть возможность настроить уведомление администратора об истечении действия лицензии в связи с достижением критического объема лицензированного п очтового трафика (см. п. 5.2.5 на стр. 70).

для Linux, FreeBSD и OpenBSD Mail Servers

1.3. Аппаратные и программные требования к системе

Для работы Антивируса Касперского® необходимо соответствие системы следующим требованиям:

• Аппаратные требования:

• Процессор класса Pentium.

• Объем оперативной памяти не менее 32 Мб.

• Свободное место на диске не менее 100 Mb.

• Программные требования:

• Одна из следующих операционных систем:

o Linux RedHat (версии 7.3, 8.0 и 9.0), Linux SuSE (версии

8.1 и 8.2) или Linux Debian (версия 3.0)

o FreeBSD версии 4.7 и 5.0

o OpenBSD версии 3.3

• Одна из почтовых систем: Sendmail версии 8.x, Qmail вер-

сии 1.03, Postfix версии не ниже snapshot_20000529, Exim версии 4.0

• Программа wget (http://gnu.org/software/wget/wget.html

обновления антивирусных баз с помощью kavupdater.

• Программа Webmin (www.webmin.com) – для удаленного

администрирования Антивируса Касперского.

• Perl версии 5.0 и выше (www.perl.org

вируса Касперского

с помощью install.pl.

) – для установки Анти-

) – для

Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers 11

1.4. Комплект поставки

Антивирус Касперского® вы можете приобрести у наших дистрибьюторов (коробочный вариант), а также в интернет-магазине (www.kaspersky.ru

дел Купить онлайн).

Если вы приобретаете продукт в коробке, то в комплект поставки программного продукта входят:

• запечатанный конверт с установочным компакт-диском (или диске-

тами), на котором записаны файлы программного продукта;

• руководство администратора;

• лицензионный ключ;

• регистрационная карточка (с указанием серийного номера продукта);

• лицензионное соглашение.

Перед тем, как распечатать конверт с компакт-диском (или с дискетами), внимательно ознакомьтесь с лицензионным соглашением.

При покупке Антивируса Касперского продукт с веб-сайта "Лаборатории Касперского", в дистрибутив которого помимо самого продукта включены также лицензионный ключ.

в интернет-магазине вы скачиваете

, раз-

1.4.1. Лицензионное соглашение

Лицензионное соглашение – это юридическое соглашение между вами и ЗАО "Лаборатория Касперского", в котором указано, на каких условиях вы можете пользоваться приобретенным вами программным продуктом.

Внимательно прочитайте лицензионное соглашение!

Если вы не согласны с условиями лицензионного соглашения, вы можете вернуть коробку с Антивирусом Касперского она была приобретена, и получить назад сумму, уплаченную за подписку. При этом конверт с установочным компакт-диском (или с дискетами) должен оставаться запечатанным.

Открывая запечатанный пакет с установочным компакт-диском (или с дискетами), вы тем самым принимаете все условия лицензионного соглашения.

дистрибьютору, у которого

12 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

1.4.2. Регистрационная карточка

Пожалуйста, заполните отрывной корешок регистрационной карточки, по возможности наиболее полно указав свои координаты: фамилию, имя, отчество (полностью); телефон, адрес электронной почты (если она есть), и отправьте ее дистрибьютору, у кото рого вы приобрели программный продукт.

Если в последствии у вас изменится почтовый/электронный адрес или телефон, пожалуйста, сообщите об этом в организацию, куда был отослан отрывной корешок регистрационной карточки.

Регистрационная карточка является документом, на основании которого вы приобретаете статус зарегистрированного пользователя нашей компании. Это дает вам право на круглосуточную техническую поддержку в течение срока подписки. Кроме того, зарегистрированным пользователям, подписавшимся на рассылку новостей ЗАО "Лаборатория Касперского", высылается информация о выходе новых программных продуктов и о появлении новых вирусов.

1.5. Сервис для зарегистрированных пользователей

ЗАО "Лаборатория Касперского" предлагает своим легальным пользователям большой комплекс услуг, позволяющих увеличить эффективность использования Антивируса Касперского.

Приобретая подписку, вы получаете статус зарегистрированного пользователя программы и в течение срока действия подписки получаете следующие услуги:

• возможность получения ежедневных обновлений антивирусных баз

по электронной почте;

• предоставление новых версий данного программного продукта;

• консультации по вопросам, связанным с установкой, настройкой и

эксплуатацией данного продукта, оказываемые по телефону и электронной почте;

• оповещение о выходе новых продуктов Лаборатории Касперского

о новых вирусах, появляющихся в мире (данная услуга предоставля-

Антивирус Касперского® для Linux, FreeBSD и OpenBSD Mail Servers 13

ется пользователям, подписавшимся на рассылку новостей ЗАО "Лаборатория Касперского").

Консультации по вопросам функционирования и использования операционных систем, а также работы различных технологий не оказываются.

1.6. Принятые обозначения

Текст документации выделяется различными элементами оформления в зависимости от его смыслового назначения. В расположенной ниже таблице приведены используемые условные обозначения.

Оформление Смысловое назначение

Жирный шрифт

Примечание.

Внимание

Чтобы выполнить действие,

1. Шаг 1.

2. …

Задача, пример

Решение

Название элемента управления –

назначение элемента управления.

Названия меню, пунктов меню, окон, элементов диалоговых окон и т. п.

Дополнительная информация, примечания.

Информация, на которую следует обратить особое внимание.

Описание последовательности выполняемых пользователем шагов и возможных действий.

Постановка задачи, примера для реализации возможностей программного продукта.

Реализация поставленной задачи.

Описание дерева настроек.

14 Антивирус Касперского

Оформление Смысловое назначение

для Linux, FreeBSD и OpenBSD Mail Servers

[ключ] – назначение ключа.

Текст командной строки

Текст информационных сообщений

Ключи командной строки.

Текст, вводимый пользователем из командной строки.

Текст конфигурационных файлов и информационных сообщений программы.

ГЛАВА 2. ТИПИЧНЫЕ СХЕМЫ

РАЗВЕРТЫВАНИЯ ПРОДУКТА

В зависимости от исходной архитектуры почтового сервера мы предлагаем несколько вариантов развертывания Антивируса Касперского

Servers:

• на один сервер с почтовой системой: такой вариант используется

при наличии на сервере уже установленной и настроенной почтовой системы Sendmail, Qmail, Postfix или Exim (см. п. 2.2 на стр. 18).

• на выделенный сервер в качестве дополнительного фильтра: этот

способ рекомендуется использовать при работе основного почтового сервера под управлением неподдерживаемых операционной и почтовой систем (см. п. 2.4 на стр. 21).

• на один сервер с почтовой системой в качестве дополнительного

фильтра: этот вариант организации рекомендуется использовать в

том случае, если на почтовом сервере уже установлен некоторый почтовый фильтр, например, Kaspersky Anti-Spam (см. п. 2.3 на стр. 19).

• как фильтр для внешних почтовых ящиков: такой способ организа-

ции полезно использовать, когда пользователи почтового сервера имеют почтовые ящики на внешних серверах и необходимо обеспечить антивирусную защиту скачиваемых почтовых сообщений (см. п. 2.5 на стр. 22).

Во всех перечисленных выше случаях помимо фильтрации почтового трафика Антивирус Касперского монтированных файловых систем.

Прежде чем приступить к подробному изучению перечисленных выше вариантов развертывания, рассмотрим внутреннюю архитектуру Антивируса Касперского

для наиболее полного отражения алгоритма работы.

может также выполнять и проверку всех при-

для Unix Mail

16 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

2.1. Внутренняя архитектура

Антивируса Касперского

Важным аспектом в работе с Антивирусом Касперского® является четкое понимание алгоритма его функционирования.

В данном разделе мы рассмотрим внутреннюю архитектуру продукта в контексте антивирусной проверки именно почтового трафика, поскольку процесс проверки файловых систем сервера достаточно прост и не требует отдельного изучения.

Необходимо отметить, что Антивирус Касперского для фильтрации способный принимать почтовый поток и выполнять его маршрутизацию. Для этого используется почтовая система, установленная на сервере, с которой интегрируется Антивирус после инсталляции.

Рассмотрим подробнее на примере почтовой системы Sendmail алгоритм внутренней работы Антивируса Касперского его интеграции с почтовой системой (см. рис. 1).

Напомним, что в процессе интеграции Антивируса с почтовой системой Sendmail создается дополнительный конфигурационный файл sendmail.cf.listen.

При запуске Sendmail с использованием этого конфигурационного файла почтовая система осуществляет прием почтового трафика сервера и передачу его на обработку Антивирусу Касперского®, а при запуске с исходным конфигурационным файлом (sendmail.cf) – доставку почтовых сообщений, переданных Антивирусом.

почты на вирусы и не представляет собой почтовый агент,

предназначен только

для Unix Mail Servers после

Итак, предусмотрен следующий алгоритм работы:

1. Почтовый трафик поступает по SMTP-протоколу почтовой системе Sendmail (конфигурационный файл sendmail.cf.listen). Sendmail

создает очередь, где хранит поступающую почту, и передает ее по протоколу LMTP компоненту smtpscanner на обработку.

2. Компонент smtpscanner обрабатывает почтовый поток в соответствии с настройками. Процесс проверки и лечения выполняется следующим образом:

a. smtpscanner передает имя файла почтового сообщения компо-

ненту aveserver по локальному сокету;

b. aveserver выполняет проверку и лечение объекта с помощью

антивирусных баз;

Типичные схемы развертывания продукта 17

c. smtpscanner получает от aveserver код возврата, определяю-

щий статус файла;

d. в соответствии со статусом объекта smtpscanner выполняет

действия над ним на основании настроек конфигурационного файла.

3. Обработанный почтовый поток с уведомлениями о результатах проверки и лечения передается по SMTP-протоколу почтовой системе Sendmail (с конфигурационным файлом sendmail.cf), которая выполняет доставку почтового потока локальным пользователям или осуществляет маршрутизацию на другие почтовые сервера.

Рисунок 1. Внутренняя архитектура

Антивируса Касперского

для Unix Mail Servers

18 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

2.2. Работа на одном сервере с почтовой системой

Далее в этом документе, рассматривая работу Антивируса Каспер-

ского

Установка и функционирование Антивируса Касперского с почтовой программой осуществляется только на поддерживаемых операционных системах (Linux, FreeBSD или OpenBSD).

В качестве почтовой системы могут использоваться следующие программы: Sendmail, Qmail, Postfix или Exim.

Рассмотрим подробнее схему работы Антивируса Касперского® и любой из приведенных почтовых систем на одном сервере (см. рис. 2). Порядок работы со входящей и исходящей почтой идентичен и состоит из следующих этапов:

1. Почтовый поток сообщений поступает с других серверов либо из

2. Почтовая система принимает поток сообщений и передает его на

3. Антивирус Касперского

4. Почтовая система осуществляет маршрутизацию почтового трафи-

и его настройку, мы будем описывать именно такой вариант

работы – на одном сервере с почтовой системой!

на одном сервере

Такой вариант работы рекомендуется при средней удельной загрузке почтового сервера.

локальной сети по SMTP-протоколу.

обработку Антивирусу Касперского.

обрабатывает почтовый трафик в соответ-

ствии с настройками и возвращает его почтовой системами с дополнительным набором уведомлений.

ка либо на внешние сервера, либо в почтовые ящики локальной сети.

Типичные схемы развертывания продукта 19

Рисунок 2. Схема работы Антивируса Касперского®

на одном сервере с почтовой системой

Исходя из приведенной схемы работы при установке Антивируса Каспер-

ского

вам необходимо выполнить следующие настройки (в процессе ин-

сталляции либо сразу после нее):

• Установить порт почтового сервера, на котором будет работать Ан-

тивирус Касперского.

• Определить порт почтовой системы, на который она будет прини-

мать почту от Антивируса Касперского® после фильтрации.

2.3. Работа в качестве дополнительного фильтра

Антивирус Касперского® может использоваться как в качестве основного, так и дополнительного фильтра. Если на момент инсталляции продукта на вашем почтовом сервере уже был установлен некоторый фильтр почтового трафика, то вам необходимо определить, какой из почтовых фильтров (Антивирус Касперского® или уже установленный на сервере) будет основным, а какой – дополнительным. Критерием выбора является способ фильтрации.

Основным (условно назовем его MX1) является тот фильтр, который фильтрует почтовый трафик на основе IP-адреса отправителя. Такой фильтр устанавливается первым на 25-й порт сервера, принимает почту, поступающую на сервер, фильтрует ее и потом передает на обработку дополнительному фильтру. Дополнительный фильтр (условно назовем его

20 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

MX2) инсталлируется на тот же хост, что и основной, но на другой IP-адрес и порт.

Если на вашем сервере не установлен фильтр, основанный на IP-адресе отправителя, вы можете ставить Антивирус Касперского

основным фильт-

ром. Если же на сервере установлен фильтр по IP, то инсталлируйте Антивирус в качестве дополнительного фильтра. Такой порядок обусловлен тем, что после проверки Антивирусом Касперского

весь почтовый поток выхо-

дит с одного IP-адреса. Следовательно, фильтрация по IP после антивирусной обработки не будет иметь смысла.

Рисунок 3. Схема работы Антивируса Касперского® в качестве дополнительного

фильтра на одном сервере с почтовой системой

Итак, выполните следующие настройки для основного и дополнительного фильтров:

• Настройки основного фильра (MX1):

Имя хоста, на котором установлен фильтр: mx1.yourhost.domain IP-адрес фильтра: все доступные Номер порта, на котором работает фильтр: 25 Имя хоста для пересылки почты: mx2.yourhost.domain:10026

• Настройки дополнительного фильтра (MX2):

Имя хоста, на котором установлен фильтр: mx2.yourhost.domain IP-адрес фильтра: 127.0.0.1 Номер порта, на котором работает фильтр: 10026 Имя хоста, от которого принимается почта: mx1.yourhost.domain

Типичные схемы развертывания продукта 21

Имена хостов у фильтров MX1 и MX2 должны быть разные, так как сервер не примет сообщение, если в диалоге helo/ehlo у хостов будут одинаковые имена. MX2 должен бы ть доверенным для MX1 и наоборот, иначе доставка будет невозможна.

2.4. Работа на выделенном сервере

Фильтрацию и антивирусную обработку почтового потока с помощью Антивируса Касперского вашего почтового сервера под управлением другой операционной системы, например, Windows.

В такой ситуации Антивирус Касперского сервер под управлением операционной системы Linux, FreeBSD или

OpenBSD.

Для обеспечения приема трафика и его пересылки почтовому Windowsсерверу параллельно с Антивирусом на выделенный сервер также устанавливается одна из почтовых систем – Sendmail, Qmail, Postfix или Exim – и выполняется ее интеграция с Антивирусом Касперского стр. 39).

При такой схеме имеет место следующая последовательность работы (см. рис. 4):

• Почтовый трафик поступает на сервер под управлением операцион-

ной системы семейства Unix.

• Почтовая система (например, Qmail) направляет его на обработку

Антивирусу Касперского

• Проверенная почта с уведомлениями, сформированными Антивиру-

сом, передается обратно почтовой системе, которая в свою очередь направляет ее на основной почтовый сервер для доставки или дальнейшей маршрутизации.

для Unix Mail Servers можно выполнять и при работе

устанавливается на отдельный,

(см. п. 4.4 на

по протоколу LMTP.

22 Антивирус Касперского

Рисунок 4. Схема работы Антивируса Касперского®

на выделенном сервере

для Linux, FreeBSD и OpenBSD Mail Servers

В приведенной схеме сервер с Антивирусом Касперского® является основным сервером, поскольку осуществляет прием почтового потока сообщений и его пересылку, а сервер с MS Exchange – дополнительным, выполняющим только доставку.

Если же до установки Антивируса Касперского

ваш почтовый сервер вы-

полнял фильтрацию писем по IP-адресу отправителя, то сервер с Антивирусом Касперского® необходимо использовать в качестве дополнительного. Причина состоит в следующем: если сервер с Антивирусом сделать основным, то все почтовые сообщения на дополнительный сервер (с IPфильтрацией) будут поступать с одного IP-адреса, соответственно фильтрация станет невозможной.

Если внутри вашей локальной сети есть почтовые сервера, то MXзаписи или параметры пересылки должны указывать на основной сервер, а не на дополнительный.

• Настройки основного фильра (MX1):

Имя хоста, на котором установлен фильтр: mx1.yourhost.domain Имя хоста для пересылки почты: mx2.yourhost.domain:25

• Настройки дополнительного фильтра (MX2):

Имя хоста, на котором установлен фильтр: mx2.yourhost.domain Имя хоста, от которого принимается почта: mx1.yourhost.domain

Типичные схемы развертывания продукта 23

2.5. Фильтрация почты внешних почтовых ящиков

В настоящее время широкое распространение имеют внешние почтовые ящики на серверах типа www.mail.ru, www.aport.ru, www.hotmail.com и других.

Как предотвратить заражение при скачивании инфицированных почтовых сообщений с таких ящиков? Ведь почта доставляется через POP3протокол, а Антивирус Касперского® проверяет только почтовый трафик по SMTP-протоколу.

Для обеспечения антивирусной защиты внешней почты необходимо:

1. Перекрыть порт 110 порт, дать пользователям простой доступ к внешней почте и организовать работу шлюза как прокси-сервера для POP3 посредством пакета fetchmail. Этот пакет скачивает почтовые сообщения с внешних серверов и перекладывает их на локальный SMTP-порт. Это, собственно, и требуется, так как после поступления на SMTP-порт их обрабатывает Антивирус Касперского

Для фильтрации почты внешних почтовых ящиков требуется наличие локального SMTP-сервера и учетной записи локального пользователя на компьютере, где установлен пакет

fetchmail!

Настройка fetchmail очень проста: у каждого пользователя в каталоге $HOME есть файл .fetchmailrc, как минимум содержащий следующие строки:

set postmaster "user" set bouncemail set no spambounce set properties "" poll mail.that.is.free.ru with proto POP3 user 'remote_user' there with password

'pass12345' is 'user' here poll mail2.that.is.free.ru with proto POP3 user 'remote_user2' there with password

'pass123452' is 'user' here

где:

user – имя пользователя в локальной сети;

24 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

mail.that.is.free.ru и mail2.that.is.free.ru – имена хостов, с которых

нам надо забирать почту;

remote_user и remote_user2 – имена учетных записей на хостах

mail.that.is.free.ru и mail2.that.is.free.ru, соответственно;

pass12345 и pass123452 – пароли для учетных записей remote_user

и remote_user2.

При такой настройке программа fetchmail будет забирать почтовые сообщения с хостов mail.that.is.free.ru и mail2.that.is.free.ru и отправлять их на локальный SMTP пользователю user. При этом поля почтовых сообщений (from, to и другие) меняться не будут, появится только дополнительный заголовок received, оставленный fetchmail. Пользователь будет получать письма в том же виде, что и при получении обычным образом.

2. Внести команду fetchamail в crontab пользователя на запуск, например, каждые 10-15 минут.

Для автоматизации процесса настройки программы fetchmail остальным пользователям, использующим внешние почтовые ящики, нам понадобятся следующие данные:

• имя внешнего хоста, с которого fetchmail будет забирать почту;

• имя учетной записи на внешнем хосте;

• пароль учетной записи.

Также в домашнем каталоге каждого пользователя должен быть файл .fetchmailrc следующего вида:

set postmaster "user" set bouncemail set no spambounce set properties ""

Для добавления в него записей о почтовых ящиках можно использовать скрипт-файл:

#!/bin/bash echo "poll $1 with proto POP3 " >>$HOME/.fetchmailrc echo "user '$2' with password '$3' is '$4'

here">>$HOME/.fetchmailrc

Если запустить данный скрипт-файл со следующими параметрами: pop.mail.ru, dan, secret, admin, то письма для получателя dan@mail.ru будут пересылаться на адрес admin@your_host.your_domain.

ГЛАВА 3. УСТАНОВКА

АНТИВИРУСА КАСПЕРСКОГО®

Прежде чем приступить к установке Антивируса Касперского® для Unix Mail Servers, мы рекомендуем вам выполнить следующую подготовку вашей системы:

• Убедиться, что система соответствует аппаратным и программным требованиям для установки Антивируса Касперского стр. 10). Если не установлены какие-либо из приложений, например, wget, рекомендуем вам установить их, иначе часть функциональности продукта будет недействительна.

• Сделать резервные копии конфигурационных файлов почтовой сис- темы, установленной на вашем сервере.

• Настроить интернет-соединение.

• Войти систему под пользователем root или любым другим, имеющим

UID (уникальный идентификационный номер) равным нулю.

(см. п. 1.3 на

Рекомендуем вам выполнять инсталляцию продукта в нерабочее время или тогда, когда поток почтовых сообщений – наименьший!

3.1. Универсальная установка

Такой вариант установки един для всех дистрибутивов операционной cистемы Linux.

Универсальный дистрибутив Антивируса Касперского поставляется в виде архива. Архив содержит дерево каталогов файлов дистрибутива и инсталляционный скрипт install.pl (далее также инсталлятор), осуществляющий установку.

Для операционной системы Linux также предусмотрены rpm- и deb-пакеты дистрибутивов (см. п. 3.2 на стр. 32), для операционной системы FreeBSD и OpenBSD – tgz-пакеты (см. п. 3.3 на стр. 33).

Инсталляция продукта на сервер состоит из следующих этапов:

для Unix Mail Servers

26 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

1. Инспекция сервера на предмет установленного Антивируса Касперского

версии 4.0, исходя из которой возможны следующие

сценарии работы инсталлятора:

• более ранняя версия отсутствует – переход к установке

продукта на сервер;

• обнаружен установленный Антивирус Касперского

ранней версии:

o архивирование (backup) обнаруженного дистрибутива и

установка нового;

o обновление до версии 5.0;

o установка продукта версии 5.0 параллельно с более

ранней версией.

Этапы архивирования, обновления до версии 5.0 и параллельной установки не зависят друг от друга.

2. Копирование файлов дистрибутива на сервер.

3. Интеграция с почтовой системой.

4. Установка лицензионного ключа (только в случае его отсутствия в

составе дистрибутива).

Рассмотрим подробнее шаги инсталляции продукта на сервер.

более

3.1.1. Запуск процедуры инсталляции

Для запуска установки Антивируса Касперского® на сервер выполните следующие действия:

1. Скопируйте архив дистрибутива в каталог файловой системы сервера.

2. Распакуйте архив командой из архива будут извлечены несколько файлов: инсталлятор и дерево файлов дистрибутива продукта.

3. Запустите инсталляционный скрипт: install.pl.

tar zxvf <имя архива>. В результате

Установка Антивируса Касперского

3.1.2. Поиск предыдущей версии

Сразу после запуска инсталляции производится инспекция системы на предмет установленного ранее Антивируса Касперского

для Unix вер-

сии 4.0.

Если на сервере не установлена более ранняя версия продукта, запускается процесс копирования файлов дистрибутива на сервер (см. п. 3.1.3 на стр. 29).

Если обнаруживается продукт предыдущей версии, на консоль выводится сообщение:

Previously installed components of Kaspersky AV found. Do you want to back them up now?

и администратору предлагается выполнить архивацию предыдущей версии продукта (см. п. 3.1.2.1 на стр. 27).

Вы можете отказаться от архивации и перейти к обновлению установленного ранее продукта (см. п. 3.1.2.2 на стр. 28). Если же вы хотите параллельно работать и со старой и с новой версией продукта, откажитесь от обновления и переходите непосредственно к копированию файлов дистрибутива продукта на сервер (см. п. 3.1.2.3 на стр. 28).

3.1.2.1. Архивация (Backup) предыдущего дистрибутива

Итак, при обнаружении более ранней версии продукта администратору будет предложено заархивировать ранее установленный Антивирус Касперского® (выполнить его backup) и затем удалить его дистрибутив. Архив более ранней версии Антивируса Касперского дующего восстановления, если, например, вы решите вернуться к его использованию.

может пригодиться для после-

Задача по восстановлению предыдущей версии Антивируса Касперского

возлагается на администратора.

Для архивации дистрибутива необходимо указать путь к файлу архива:

Where do you want to save backup file? Enter absolute path to file without .tgz extension

[/tmp/oldkav].

Если предложенный по умолчанию файл уже существует, на консоль будет выведено сообщение с предложением его перезаписи.

28 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

При отказе от значения по умолчанию необходимо указать полный путь к файлу архива без расширения.

После успешной архивации продукта администратору предлагается удалить прежнюю версию и перейти к ее обновлению до версии 5.0.

3.1.2.2. Обновление до версии 5.0

Процедура обновления версии (upgrade) заключается в конвертации прежних настроек Антивируса (файл defUnix.prf) в конфигурационный файл для версии 5.0:

Do you want to convert old settings to new config file? [yes]

Для запуска конвертации ответьте утвердительно. Процесс создания конфигурационного файла для версии 5.0 с параметрами, справедливыми для более ранней версии, будет запущен.

Вы можете указать созданный файл в качестве используемого по умолчанию. Для этого ответьте утвердительно на следующий вопрос инсталлятора:

Do you want to make generated file as a default config file?

Конфигурационный файл, включенный в поставку продукта, будет переименован (/etc/kav/5.0/kav4mailservers.conf.copy) и сохранен в том же ката- логе. Новому сконвертированному файлу будет присвоено имя конфигурационного файла Антивируса Касперского

(/etc/kav/5.0/kav4mailservers.conf.).

Если вы не хотите заменять включенный в поставку конфигурационный файл созданным, ответьте отрицательно. В этом случае новый файл будет сохранен в одном каталоге с основным (/etc/kav/5.0/kav4mailservers.conf.4.0) и при необходимости вы сможете использовать его в работе Антивируса Касперского

версии 5.0

3.1.2.3. Установка параллельно с более ранней версией

Функционирование на сервере сразу двух версий Антивируса Касперского® для Unix Mail Servers тоже возможно, однако стоит помнить, что лишь одна из них будет осуществлять антивирусную обработку почтового трафика.

Что касается компонентов, осуществляющих проверку файловой системы, то они могут функционировать независимо друг от друга. Компонент же,

Установка Антивируса Касперского

отвечающий за проверку почтового потока (smtpscanner), интегрируется с почтовой системой. Интеграция для новой и более ранней версий идентична, следовательно, может быть выполнена только для одной из них.

Для установки Антивируса Касперского

версии 5.0 параллельно с более

ранней вам необходимо:

1. Отказаться от архивации (см. п. 3.1.2.1 на стр. 27).

2. Отказаться от обновления (см. п. 3.1.2.2 на стр. 28).

3. Перейти к копированию файлов дистрибутива Антивируса Кас-

перского

версии 5.0 на сервер.

3.1.3. Копирование файлов дистрибутива

На этом этапе установки продукта запускается интерактивный процесс инсталляции, который заключается в копировании файлов дистрибутива Антивируса Касперского® на ваш сервер.

Файлы пакета разбиты на несколько категорий в соответствии с их назначением, например: бинарные файлы, файлы конфигурации, скрипты инициализации и т.д. Каждую категорию инсталлятор предлагает скопировать в соответствующий каталог. Например, для бинарных файлов это каталог

/opt/kav/bin:

Installing the content of the package. In which directory do you want to install the binary

files? [/opt/kav/bin]:

Полные пути к каталогам для различных дистрибутивов отличаются. Так, например, бинарные файлы дистрибутива для операционной системы FreeBSD будут скопированы в каталог /usr/local/kav/bin.

Вы можете указать свои каталоги, но не забудьте после установки внести соответствующие изменения в конфигурацию продукта!

На основании полученных ответов осуществляется создание необходимых каталогов и копирование файлов.

Поскольку в дистрибутив Антивируса Касперского

включен модуль уда-

ленного администрирования к пакету Webmin, в процессе копирования файлов выполняется поиск установленного на сервере Webmin.

Если инсталлятор не обнаруживает его по стандартному пути расположения (например, /etc/Webmin), на консоль выводится соответствующее сообщение с просьбой указать путь к каталогу хранения конфигурационного файла Webmin. В случае отсутствия установленного пакета на вашем сер-

30 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

вере модуль удаленного администрирования Антивируса Касперского® инсталлирован не будет. Однако необходимые файлы для его установки содержатся в архиве дистрибутива Антивируса Касперского®, и позже вы можете самостоятельно установить модуль к Webmin средствами данного пакета (подробнее см. документацию к программе Webmin).

3.1.4. Интеграция с почтовой системой

Во время инсталляции продукта производится его автоматическая интеграция с почтовой системой.

На данном шаге установки продукта вам необходимо выбрать название почтовой системы, установленной на сервере, из предложенного инсталлятором списка: Sendmail, Qmail, Postfix или Exim. После этого интеграция с почтовой системой будет выполнена автоматически.

Если на момент инсталляции продукта ни одна из приведенных почтовых систем не была установлена на сервере, установка Антивируса Касперского

Если вы хотите внести некоторые коррективы в совметсную работу Антивируса и почтовой системы, выполните это вручную (см. п. 4.4 на стр. 39).

По завершении установки Антивируса Касперского® для почтовых систем

Sendmail и Exim необходимо в скриптах автоматического запуска процессов (start-up) указать запуск данных почтовых систем со вторым конфигурационным файлом, создаваемым при установке Антивируса Касперского (sendmail.cf.listen и exim.conf.listen).

будет прервана!

3.1.5. Установка лицензионного ключа

На данном этапе инсталляции в текущем каталоге выполняется поиск лицензионного ключа – файла, необходимого для работы Антивируса Касперского® (файл с расширением key). Этот файл определяет тип лицензии и позволяет приступить к использованию продукта. До тех пор пока вы не установите лицензионный ключ, работа с Антивирусом Касперского® будет невозможна.

Если лицензионный ключ обнаружен вующую информацию на консоль и переходит к следующему этапу – установке антивирусных баз (см. п. 4.2 на стр. 37).

Если лицензионный ключ не обнаружен, инсталлятор предлагает указать полный путь к нему. В случае отсутствия ключа у администратора (например, продукт приобретен через интернет, и лицензионной ключ еще не по-

, то инсталлятор выводит соответст-

Установка Антивируса Касперского

лучен по электронной почте), необходимо отказаться от указания пути к лицензионному ключу (выбрать ответ [cancel]) и продолжить процесс инсталляции продукта.

Как только лицензионный ключ будет получен, его необходимо будет копировать в каталог хранения ключей, путь к которому определяется параметров LicensePath конфигурационного файла Антивируса Касперского

(см.

п. A.2 на стр. 114).

Если обнаружен лицензионный ключ, не соответствующий данному продукту (например, ключ к Антивирусу Касперского® для Unix File Server), то с таким ключом программа после установки будет осуществлять только проверку файловой системы сервера.

3.1.6. Завершение установки

Если все описанные выше шаги инсталляции завершились успешно, то на консоль будет выведено соответствующее сообщение. Конфигурационный файл, входящий в поставку продукта, содержит все необходимые настройки для начала работы. Ряд параметров файла определяются в процессе установки продукта, такие как:

• имя хоста, на котором будет работать Антивирус Касперского

• тип лицензии (по пользователям или по трафику).

Остальные параметры заданы по умолчанию (см. п. 4.1 на стр. 35). Однако администратору необходимо выполнить некоторые настройки для того, чтобы приступить к работе с Антивирусом Касперского®. Например, одна из важнейших настроек – это интеграция продукта с почтовой системой, без чего не будет проверяться почтовый трафик. Подробнее о всех настройках до начала использования продукта см. Глава 4 на стр. 35.

Если какой-либо этап установки не был выполнен (например, на момент установки антивирусных баз отсутствовал доступ к ним), его можно повторить в другое время.

;

3.1.7. Отчет о процессе инсталляции

Информация обо всех действиях в процессе инсталляции записывается в текстовый файл /etc/kav/5.0/locations.

Этот файл необходим для обновления продукта (patch), дополнительной установки каких-либо компонентов, которые не были инсталлированы, а также для удаления продукта.

32 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

Формат строк отчета различается в зависимости от событий, которые они фиксируют:

• Создание в системе каталога или копирование файла дистрибутива

фиксируется строкой:

<file | dir> <path> [size]

где:

• file или dir – идентификатор файла или каталога;

• path – полное имя файла или каталога;

• size – размер файла (для каталога данный параметр стро-

ки отсутствует).

• Действия, связанные с ответами пользователя на вопросы инсталля-

тора, записываются строкой:

где:

• answer – идентификатор запроса инсталлятора в процессе

установки;

• var – имя переменной, соответствующей заданному запро-

су;

• reply – значение переменной, введенное в качестве отве-

та на запрос.

3.2. Установка программы на

сервер под управлением Linux

Для дистрибутивов операционной системы Linux RedHat и Linux SuSE предусмотрен также rpm-пакет Антивируса Касперского

Для запуска установки Антивируса Касперского командной строке введите:

rpm –i <имя_файла_дистрибутива>

Установка Антивируса Касперского

будет выполняться автоматически в

соответствии с настройками, выбранными по умолчанию для операционной системы.

для Unix Mail Servers.

из rpm-пакета в

Установка Антивируса Касперского

Поиск предыдущей версии Антивируса Касперского® не выполняется. Если Антивирус Касперского сталляции продукта версии 5.0 его наличие на сервере будет проигнорировано. Следовательно, после установки Антивируса Касперского® версии 5.0 фильтрация почтового трафика будет выполняться компонентом именно этой версии.

Во время инсталляции продукта администратору необходимо будет указать почтовую систему (Sendmail, Qmail, Postfix или Exim), после чего вам нужно будет запустить скрипт /opt/kav/contrib/config.pl. При его выполнении будет произведена установка лицензионного ключа (если он включен в поставку) и интеграция с почтовой системой.

Если вы хотите внести какие-либо коррективы в совместную работу Антивируса и почтовой системы, выполните это вручную сразу после установки продута (см. п. 4.4 на стр. 39).

Если какой-либо файл не будет обнаружен инсталлятором в местах их расположения по умолчанию (например, лицензионный ключ или конфигурационный файл Webmin), на консоль будет выведен запрос администратору указать расположение данных файлов.

Для дистрибутива Linux Debian также предусмотрен специальный debпакет.

Для запуска установки Антивируса Касперского командной строке введите:

Порядок установки аналогичен инсталляции из rpm-пакета, за исключением того, что скрипт /opt/kav/contrib/config.pl будет запущен автоматически.

4.0 установлен на вашем сервере, во время ин-

dpkg –i <имя_файла_дистрибутива>

из deb-пакета в

3.3. Установка программы на

сервер под управлением FreeBSD или OpenBSD

Для серверов, работающих под управлением операционной системы FreeBSD или OpenBSD, дистрибутив Антивируса Касперского ставляется в tgz-пакете.

Для запуска установки Антивируса Касперского командной строке введите:

также по-

из tgz-пакета в

34 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

pkg_add <имя_пакета>

Порядок установки аналогичен инсталляции из rpm-пакета, за исключением того, что скрипт автоматической интеграции с почтовой системой и установки лицензионного ключа /usr/local/share/kav/contrib/config.pl будет запущен автоматически.

ГЛАВА 4.

ПОСТИНСТАЛЛЯЦИОННАЯ НАСТРОЙКА

В процессе инсталляции выполняется анализ системы, на которую устанавливается Антивирус Касперского рации определяются автоматически. Ряд параметров конфигурационного файла продукта определен по умолчанию как наиболее удобный для работы с Антивирусом (см. п. 4.1 на стр. 35).

Прежде чем приступить к работе с продуктом, мы рекомендуем вам установить или обновить антивирусные базы, если это не было сделано во время инсталляции, а также проверить файловые системы сервера на предмет вирусов!

Однако для начала работы с продуктом этого недостаточно. Вам нужно:

• выполнить интеграцию Антивируса Касперского

мой, установленной на вашем сервере;

• сформировать список лицензированных пользователей, почта от и

для которых будет анализироваться на присутствие вирусов и лечиться;

Так же рекомендуем вам настроить совместную работу Антивируса Касперского® с пакетом Webmin.

В данной главе мы рассмотрим, какие же установки Антивируса Касперско-

приняты по умолчанию, а также подробно изучим необходимую для ра-

го боты с продуктом конфигурацию.

, и некоторые параметры его конфигу-

с почтовой систе-

4.1. Настройка продукта по

умолчанию

Все параметры функционирования Антивируса Касперского® для Unix Mail Servers хранятся в файле kav4mailservers.conf. Этот файл является конфигурационным файлом, используемым по умолчанию.

36 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

Вы можете создавать собственные конфигурационные файлы и использовать их как при выполнении текущей задачи, так и в качестве конфигурационного файла по умолчанию.

Рассмотрим подробнее, какие параметры заданы в данном файле по умолчанию. Исходя из информации данного раздела вы сможете определить, нуждается ли Антивирус Касперского

в дополнительной конфигурации (см.

Глава 6 на стр. 85) для наиболее полного его использования в условиях вашего предприятия.

АНТИВИРУСНАЯ ЗАЩИТА ФАЙЛОВЫХ СИСТЕМ СЕРВЕРА

По умолчанию конфигурация Антивируса Касперского

выполнена таким образом, что при запуске соответствующего компонента (kavscanner) без дополнительных ключей командной строки осуще-

ствляется антивирусная проверка каталогов и файловых систем сервера, начиная с текущего.

При обнаружении инфицированных, подозрительных или поврежденных файлов на консоль и в файл отчета выводятся соответствующие сообщения.

Обратите внимание на то, что ПО УМОЛЧАНИЮ НЕ ВЫПОЛНЯЕТСЯ ЛЕЧЕНИЕ обнаруженных инфицированных файлов!

АНТИВИРУСНАЯ ЗАЩИТА ПОЧТОВОГО ТРАФИКА СЕРВЕРА

До интеграции Антивируса Касперского® с почтовой системой антивирусная защита почтового трафика НЕВОЗМОЖНА. Здесь мы рассмотрим настройки, которые определяют работу продукта по умолчанию при условии выполненной интеграции.

Секция [smtpscan.group:default] конфигурационного файла kav4mailservers.conf определяет наличие группы default, справедливой для всех защищаемых пользователей почтового сервера. В группе зафиксированы следующие правила антивирусной проверки почтового трафика:

• Проверяется входящие и исходящие почтовые сообщения.

• При обнаружении зараженных почтовых сообщений выпол-

няется их лечение.

Вылеченные почтовые сообщения доставляются адресатам и администратору группы (postmaster@localhost) и сопро- вождаются уведомлениями о том, что сообщения были ин-

Постинсталляционная настройка 37

фицированы вирусами и успешно вылечены. Аналогичные уведомления будут отправлены и авторам сообщений.

Если сообщение вылечить не удалось, оно удаляется, а отправителю, администратору группы и получателю направляется соответствующее уведомление.

Все уведомления, касаемые проверки почтовых сообщений, их лечения и других действий с почтой (удаления, отправки в карантин и т.д.), по умолчанию отправляются с адреса MAILER-

DAEMON@localhost.

• Если в процессе антивирусного анализа почтового трафика

обнаруживаются подозрительные, поврежденные, защищенные паролем файлы, а также почтовые сообщения, в результате проверки которых произошла ошибка, они удаляются. Отправителю, получателю и администратору группы отправляются соответствующие уведомления.

• Все действия программы фиксируются в файле отчета.

4.2. Установка / обновление антивирусных баз

Сразу после установки продукта на сервер мы рекомендуем вам установить/обновить антивирусные базы.

Для этого вам нужно запустить компонент kavupdater. В командной строке введите:

/путь/к/кavupdater

Антивирусные базы будут скопированы с серверов обновлений Лаборатории Каспеского и размещены в специальном каталоге, указанном в конфигурационном файле.

Рекомендуем вам ЕЖЕДНЕВНО обновлять антивирусные базы, поскольку каждый день в мире появляются новые вирусы, и необходимо поддерживать продукт в актуальном состоянии. Подробнее о вариантах организации обновлений см.в пп. 5.1.1 - 5.1.2 на стр.

49 - 52.

38 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

4.3. Настройка совместной работы с Webmin

Если предполагается удаленная конфигурация Антивируса Касперского®, то рекомендуем вам настроить его совместную работу с пакетом Webmin.

Например, средствами Webmin можно ограничить доступ к работе с программой, организовав систему паролей для пользователей (подробнее о настройке программы Webmin см. документацию по данному продукту).

Далее при описании закладок Webmin, содержащих параметры работы Антивируса Касперского дой закладке. Путь будет приводиться перед рисунком с закладкой в следующем формате:

Other (пункт меню Webmin) закладки

По умолчанию все настройки, выполненные посредством программы Webmin, сохраняются в конфигурационном файле kav4mailservers.conf, используемом по умолчанию.

Если вы хотите создать альтернативный конфигурационный файл с помощью программы Webmin, вам необходимо:

1. указать имя альтернативного файла на закладке Configuration

2. задать необходимые параметры антивирусной защиты почты и

и т.д.

(см. рис. 5) в поле ввода параметра Full path to KAV config.

файловых систем на соответствующих закладках.

, мы будем приводить путь к каж-

KAV for Mail Servers ! имя окна или

Постинсталляционная настройка 39

Other ! KAV for Mail Servers ! Закладка "Module configure"

Рисунок 5. Общие параметры конфигурации Антивируса Касперского®

для Unix Mail Servers

4.4. Интеграция продукта с почтовыми системами вручную

Процесс интеграции вручную состоит из трех этапов:

1. Редактирование конфигурации почтовой системы на совместную работу с Антивирусом.

2. Внесение корректив в конфигурацию Антивируса Касперского направленных на работу с почтовой системой.

3. Запуск почтовой системы с новой конфигурацией.

Пользователи, из-под которых запускается и работает почтовая система, должны обладать правами на чтение конфигурационных файлов соответствующей почтовой системы.

Рассмотрим подробнее интеграцию Антивируса Касперского системами вручную.

с почтовыми

40 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

4.4.1. Интеграция с почтовой системой

Sendmail

Чтобы интегрировать Антивирус Касперского® с почтовой системой Sendmail,

1. Откорректируйте 98-е правило в созданном при инсталляции файле sendmail.cf.listen следующим образом:

SParseLocal=98 R$* $#smtpscanner[символ_табуляции]$@ $1 $: $1

2. Далее в файле приведите описание smtpscanner:

Msmtpscan, P=/opt/kav/bin/smtpscanner, F=PCXmnz9, S=EnvFromSMTP, R=EnvToSMTP, E=\r\n, L=2040,

T=SMTP, A=smtpscanner

3. Выполните необходимую конфигурацию Антивируса Касперского® (см. п. 4.4.5 на стр. 43).

4. Добавьте в скрипты автоматического запуска процессов (startup) два процесса:

/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen

/usr/sbin/sendmail –q10m –C /etc/mail/sendmail.cf

Если вы используете почтовую систему Sendmail версии 8.12 или выше в конфигурации с submit.cf, то добавьте в скрипты автоматического запуска три процесса:

/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen

/usr/sbin/sendmail -q10m

-C /etc/mail/sendmail.cf

/usr/sbin/sendmail –q10m –C /etc/mail/submit.cf

4.4.2. Интеграция с почтовой системой

Qmail

Компонент smtpscanner Антивируса Касперского® при интеграции с почтовой системой Qmail подменяет собой программу qmail-queue. Для отправки

Постинсталляционная настройка 41

сообщений и помещения их в очередь компонент smtpscanner вызывает оригинальную программу qmail-queue.

Чтобы интегрировать Антивирус Касперского® с почтовой системой Qmail,

1. В директории /var/qmail/bin/ qmail-que.

2. Скопируйте файл qmail-queue из каталога

переименуйте файл qmail-queue в

/opt/kav/bin/smtpscanner/ в каталог /var/qmail/bin или создайте на

этот файл символическую ссылку.

3. Задайте для файлов qmail-queue и qmail-que следующие права доступа:

16 -rws—x—x 1 qmailq qmail 12688 Mar 24 13:56 qmail-que 316 –rwx—x—x 1 qmailq qmail 315612 Apr 14 11:29 qmail-queue

4. Выполните необходимую конфигурацию Антивируса Каспер-

5. Перезапустите почтовую систему.

ского

(см. п. 4.4.5 на стр. 43).

4.4.3. Интеграция с почтовой системой

Postfix

Чтобы интегрировать Антивирус Касперского® с почтовой системой Postfix,

1. Проверьте номер версии вашей почтовой системы Postfix. Версия должна быть более новая, чем snapshot_20000529. Если это не так, то загрузите версию с веб-сайта программы Postfix

(www.postfix.org

2. Добавьте в конфигурационный файл почтовой системы Postfix main.cf следующую строку:

content_filter = lmtp:localhost:10025

3. Добавьте в конфигурационный файл почтовой системы Postfix

master.cf следующие строки:

localhost:10025 inet n n n 10 spawn user=filter

argv=/opt/kav/bin/smtpscanner

localhost:10026 inet n - n -

42 Антивирус Касперского

10 smtpd -o content_filter= -o

myhostname=localhost

для Linux, FreeBSD и OpenBSD Mail Servers

4. Создайте пользователя filter создайте для него домашний каталог

mkdir /var/spool/filter groupadd filter useradd filter –s /bin/false –d /var/spool/filter

–g filter chown filter.filter /var/spool/filter

Пример конфигурационного файла программы Postfix приведен в п. A.13 на стр. 134.

5. Выполните необходимую конфигурацию Антивируса Каспер-

6. Перезапустите почтовую систему.

(см. п. 4.4.5 на стр. 43).

ского

, включите его в группу filter и

4.4.4. Интеграция с почтовой системой

Exim

Чтобы интегрировать Антивирус Касперского® с почтовой системой Exim,

1. Скопируйте конфигурационный файл, например, exim.conf, в файл exim.conf.listen.

2. Откорректируйте файл exim.conf:

• в секцию TRANSPORT CONFIGURATION добавьте сле-

дующие строки:

kav_lmtp_transport: driver = lmtp command = /opt/kav/bin/smtpscanner

• в секции ROUTERS CONFIGURATION

определите параметры локальной доставки почты:

localuser: driver=accept transport=kav_lmtp_transport

задайте параметры удаленной доставки почты:

lookuphost: driver=dnslookup transport=kav_lmtp_transport

Постинсталляционная настройка 43

3. Выполните необходимую конфигурацию Антивируса Каспер-

4. Добавьте в скрипты автоматического запуска процессов (start-

Если Вы хотите запускать компонент smtpscanner под другим пользователем, скомпилируйте почтовую систему Exim с определенными переменными EXIM_GID и EXIM_UID (подробнее см. документацию по почтовой системе Exim).

(см. п. 4.4.5 на стр. 43).

ского

up) два процесса:

exim -q10m -bd –C /etc/exim/exim.conf.listen exim -q10m –C /etc/exim/exim.conf

4.4.5. Конфигурация Антивируса Касперского

для интеграции с

почтовой системой

Неотъемлемой частью в интеграции Антивируса Касперского® с почтовыми системами является и его собственная конфигурация.

Вы можете ее выполнить непосредственно в конфигурационном файле программы, а также удаленно с помощью пакета Webmin.

Чтобы настроить Антивирус Касперского товой системой:

для работы с поч-

В конфигурационном файле Антивируса Касперского® выполните следующие настройки:

• Укажите адрес, с которого буду отправляться уведомления:

NotifyFromAddress=admin@yourhostname.ru

• Задайте идентификатор почтовой системы в секции

[smtpscan.general]. Идентификатор почтовой системы имеет следующий вид: протокол:хост:порт

, где:

протокол – имя протокола, по которому будет осуществ-

ляться передача почты (

smtp или lmtp);

хост – имя хоста или его IP-адрес, с которого будет отправ-

ляться почта, или имя почтовой программы;

Имя почтовой программы указывается в круглых скобках и с любыми ключами.

44 Антивирус Касперского

порт – номер порта (по умолчанию это 25-й порт).

Например, строка может иметь следующий вид:

smtp:localhost.tu:1100 или lmtp:(local.mail –l)

o Для Sendmail:

ForwardMailer=smtp:(/usr/sbin/sendmail –bs –C /etc/mail/sendmail.cf

o Для Qmail:

ForwardMailer=qmail:(/var/qmail/bin/qmailque)

o Для Postfix:

ForwardMailer=smtp:localhost:10026

o Для Exim:

ForwardMailer=smtp:(exim –bs

-C/etc/exim/exim.conf)

• Для группы пользователей в секции конфигурационного

файла [smtpscan.group:default] укажите:

AdminAddress=admin@yourhostname.ru

AdminNotify=yes

для Linux, FreeBSD и OpenBSD Mail Servers

)

• Задайте максимальное время ожидания ответа от процесса

aveserver (в секундах) на выполнение операции в секции [smtpscan.limits]. Например:

MaxCheckTime=60

или:

На закладке Config edit программы Webmin (см. рис. 6) выполните аналогичные настройки.

Постинсталляционная настройка 45

Other ! KAV for Mail Servers ! Config edit

Рисунок 6. Закладка Config edit

или:

1. На закладке Core settings (см. рис. 7) программы Webmin за- дайте значения для следующих параметров:

• Forward mailer – идентификаторы почтовых систем, ис-

пользуемые для отправки сообщений отправителям, получателям и администраторам групп:

Для Sendmail

–C /etc/mail/sendmail.cf

: smtp:(/usr/sbin/sendmail –bs

)

Для Qmail: qmail:(/var/qmail/bin/qmail-que) Для Postfix Для Exim

: smtp:localhost:10026

: smtp:(exim -C/etc/exim/exim.conf)

• AV engine timeout – максимальное количество секунд, в

течение которых aveserver проверяет на присутствие вирусов и лечит почтовое сообщение. Например: 60. Если в качестве значения задать 0, то это означает отсутствие лимита по времени.

2. Укажите электронный адрес администратора группы для группы пользователей default на закладке Main settings (см. рис. 8) в поле Group administrator address.

46 Антивирус Касперского

Other

KAV for Mail Servers ! AV Mail Check !Core settings

Рисунок 7. Закладка Core settings

для Linux, FreeBSD и OpenBSD Mail Servers

Other ! KAV for Mail Servers ! AV Mail Check ! Groups ! Группа

+Properties

Main settings

Рисунок 8. Закладка Main settings

Постинсталляционная настройка 47

4.5. Создание списка защищаемых пользователей

Список защищаемых пользователей определяет пользователей Антивируса Касперского приобрели.

Если вы приобрели Антивирус Касперского КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ, то в данный список необходимо внести количество, не превышающее лицензированное. Без наличия данного списка программа не будет функционировать.

Если число введенных вами пользователей больше зафиксированного лицензией, то для пользователей сверх лимита не будет выполняться антивирусная обработка почтового трафика. Количество защищаемых пользователей считается с начала списка.

Если тип лицензирования приобретенного вами продукта – ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА, то список защищаемых пользователей игнорируется.

Сформировать список защищаемых Антивирусом Касперского® пользователей вы можете в любом текстовом файле и затем указать его полное имя в конфигурационном файле в качестве значения параметра UserFile секции [path]. Список пользователей формируется в соответствии со следующими правилами:

• В качестве идентификатора пользователя указывается его электрон-

• Каждый пользователь фиксируется на отдельной строке файла. Ес-

Для удаленного формирования, а также редактирования списка воспользуйтесь программой Webmin.

Имя файла со списком лицензированных пользователей определяется на закладке Kaspersky Anti-Virus в поле ввода параметра File with users list (см. рис. 9).

Удаленное заполнение списка лицензированных пользователей Антивируса Касперского

(см. рис. 10).

и тесно связан с типом лицензирования продукта, который вы

с типом лицензирования ПО

Число пользователей, на которых распространяется лицензия, вы можете посмотреть в ключевом файле посредством компонента licenseviewer или удаленно при помощи программы Webmin (см. п. 5.4.1 на стр. 80)!

ный адрес.

ли пользовать обладает несколькими почтовыми адресами, укажите все адреса на одной строке через пробел.

для Unix Mail Servers выполняется на закладке Users list

48 Антивирус Касперского

Other

KAV for Mail Servers ! General

Рисунок 9. Закладка Kaspersky Anti-Virus

для Linux, FreeBSD и OpenBSD Mail Servers

Other ! KAV for Mail Servers ! AV Mail Check !Users

Рисунок 10. Закладка Users list

ГЛАВА 5. РАБОТА С

АНТИВИРУСОМ КАСПЕРСКОГО®

Посредством Антивируса Касперского® вы можете организовать полную антивирусную защиту вашего сервера: от отдельного файла, хранящегося на сервере, до входящего и исходящего почтового трафика, включая почту внешних почтовых ящиков.

Функциональность продукта складывается из задач, которые может выполнить с его помощью администратор. Все задачи, реализуемые посредством Антивируса Касперского

1. Обновление антивирусных баз, используемых для поиска вирусов и лечения инфицированных объектов.

2. Антивирусная защита почтового потока сообщений сервера.

3. Антивирусная защита файловых систем сервера.

Каждая такая группа включает более конкретные задачи, реализующие ту или иную функциональность продукта. В этой главе мы подробно рассмотрим наиболее интересные задачи. В рамках конкретного предприятия администратор может комбинировать и усложнять их.

Где это возможно, будут рассмотрены настройка и запуск задачи как локально из командной строки, так и удаленно через программу Webmin.

, можно разделить на три группы:

Во всех приведенных ниже задачах предполагается, что администратор выполнил постинсталляционную настройку (см. Глава 4 на стр. 35).

Прежде чем запускать задачи, связанные с антивирусной проверкой почты, необходимо запустить процесс aveserver, если он не загрузился при старте операционной системы.

5.1. Обновление антивирусных баз

Неотъемлемым фактором полноценной антивирусной защиты является обновление антивирусных баз. Источником обновлений антивирусных баз, используемых Антивирусом Касперского® в процессе поиска и лечения ин-

50 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

фицированных файлов, являются сервера обновлений "Лаборатории Касперского". Например, такие как:

http://downloads1.kaspersky-labs.com/updates/ http://downloads2.kaspersky-labs.com/updates/ ftp://downloads1.kaspersky-labs.com/updates/

и другие.

Список адресов, с которых можно скачивать обновления, приведен в файле

servers.lst, включенном в поставку продукта. Формат этого файла прост: каждый сервер обновления фиксируется на новой строке, завершающейся переводом строки. Сервер обновлений должен быть либо http://, либо ftp://, либо полным путем Unix (в этом случае обновление производится из каталога).

Обновление антивирусных баз выполняется посредством компонента ka- vupdater. В процессе обновления компонент обращается к данному списку, выбирает адрес (по порядку или случайным образом) и пытается скачать с сервера антивирусные базы. Если выполнить обновление с выбранного адреса невозможно, то программа обращается по следующему адресу и вновь пытается обновить базы.

Вы можете корректировать список серверов обновлений, устанавливая, например, первым в списке адрес наиболее часто используемого сервера или удаляя адреса серверов, которые вы не используете по тем или иным причинам.

Все настройки компонента kavupdater сгруппированы в опциях [up- dater.*] конфигурационного файла kav4mailservers.conf (см. п. A.2 на стр. 114).

Если структура вашей локальной сети достаточно сложная, мы рекомендуем один раз в день скачивать обновление антивирусных баз с серверов обновлений, размещать их в некоторой сетевой папке и для локальных компьютеров сети настроить скачивание баз из этой папки.

Настоятельно рекомендуем обновлять антивирусные базы ежедневно и настроить компонент kavupdater на автоматический перезапуск процесса aveserver сразу после обновления.

Обновление может быть организовано при помощи cron (см. п. 5.1.1 на стр. 51) или же из командной строки (см. п. 5.1.2 на стр. 52).

Работа с Антивирусом Касперского

5.1.1. Планирование обновлений антивирусных баз посредством

cron

Вы можете спланировать регулярное автоматическое обновление антивирусных баз при помощи программы cron.

Задача: задать автоматическое обновление антивирусных баз ежедневно в 07.00. Установить случайный выбор сервера обновлений. Включить режим автоматического перезапуска процесса aveserver сразу после обновления баз. В системном журнале фиксировать только ошибки при работе программы. Вести общий журнал по всем запускам задачи, на консоль никакой информации не выводить.

Решение: для реализации поставленной задачи выполните следующие действия:

1. Выполните следующую конфигурацию на закладке Kasperksy Anti-Virus KeepUp2Date (см. рис. 11) программы:

Keep silent – не выводить на экран информацию о работе

программы.

Random server order – выбирать сервер обновлений из

списка существующих случайным образом.

Reload application – перезапустить процесс aveserver сразу

после обновления антивирусных баз.

Report level – уровень детализации отчета о результатах ра-

боты компонента. Из раскрывающегося списка выберите значение Errors.

Append – добавлять результаты работы программы в конец

уже существующего файла отчета (в данном случае системного журнала).

Отсутствие значения в поле ввода параметра Report file name означает фиксирование результатов работы программы в системном журнале.

или:

В конфигурационном файле kav4mailservers.conf в секции [updater.options] задайте соответстующие значения, например:

52 Антивирус Касперского

[updater.options] KeepSilent=yes RandomServerOrder=yes ReloadApplication=yes Append=yes ReportLevel=1

Other

KAV for Mail Servers ! KeepUp2Date

Рисунок 11. Закладка Kasperksy Anti-Virus KeepUp2Date

для Linux, FreeBSD и OpenBSD Mail Servers

2. Отредактируйте файл, задающий правила работы процесса cron (crontab –e).

3. Введите следующую строку:

0 7 * * * /opt/kav/bin/kavupdater

5.1.2. Разовое обновление антивирусных баз

В любой момент времени вы можете запустить обновление антивирусных баз из командной строки.

Задача: запустить обновление антивирусных баз, сохранив результаты работы в файле /tmp/updatesreport.log.

Решение: для реализации поставленной задачи в командной строке введите:

Работа с Антивирусом Касперского

kavupdater –l /tmp/updatesreport.log

Если вам необходимо обновить антивирусные базы на нескольких компьютерах, удобнее вместо многократного получения баз через интернет получить базы с серверов обновлений один раз, записать их в некоторый каталог, а затем обновлять базы из этого каталога.

Задача: организовать обновление антивирусных баз из сетевого каталога

/home/bases, а если этот каталог недоступен или пуст, то

обновлять c серверов Лаборатории Касперского. Результаты работы вывести в файл отчета.

Решение: для реализации поставленной задачи выполните следующие действия:

1. Отредактируйте файл /etc/kav/5.0/servers.lst, содержащий список серверов обновлений, указав первым в списке полный путь к сетевому каталогу /home/bases, где хранятся базы.

2. Отключите случайный выбор серверов обновлений, сняв флажок Random server order на закладке Kaspersky Anti-Virus KeepUp2Date программы Webmin (см. рис. 11), если он был установлен.

3. Укажите необходимые параметры формирования отчета (см. рис. 11):

Report file name – полный путь к файлу отчета о работе про-

граммы. В поле ввода параметра укажите /tmp/report.txt

Report level – уровень детализации отчета о результатах ра-

боты компонента. Из раскрывающегося списка выберите значение Errors.

Append – добавлять результаты работы программы в конец

уже существующего файла отчета.

Все изменения конфигурации, вносимые посредством программы Webmin, сохраняются в конфигурационном файле kav4mailservers.conf, используемом по умолчанию. Создание альтернативного файла описано в п. 4.2 на стр. 37.

4. Запустите обновление антивирусных баз, нажав на закладке

Run Kaspersky Anti-Virus component (см. рис. 12) на кнопку Start для компонента Kaspersky Anti-Virus KeepUp2Date.

54 Антивирус Касперского

Other

KAV for Mail Servers ! AV Run

Рисунок 12. Закладка Run Kaspersky Anti-Virus component

или:

1. Отредактируйте файл /etc/kav/5.0/servers.lst, содержащий спи-

сок серверов обновлений, указав первым в списке полный путь к сетевому каталогу /home/bases, где хранятся базы.

2. Отключите случайный выбор серверов обновлений, установив в конфигурационном файле RandomServerOrder=no.

3. В командной строке введите:

kavupdater –s /etc/kav/5.0/server2.lst –o /tmp/report.txt

для Linux, FreeBSD и OpenBSD Mail Servers

5.2. Антивирусная защита почтового трафика сервера

Антивирусная фильтрация почтового трафика, будь то входящий, исходящий или транзитный поток сообщений, является основной задачей Антивируса Касперcкого для Unix Mail Servers, реализуемой при помощи компонента smtpscanner.

С его помощью вы можете обеспечить защиту ваших пользователей от инфицированных писем, организовать им доставку незараженных и вылеченных сообщений с уведомлениями о результатах проверки каждого письма.

Реализация дополнительной фильтрации по типам вложенных файлов позволит вам снизить нагрузку на сервер в процессе антивирусной обработки почтового потока. И это лишь частичная функциональность продукта. Более широкие возможности Антивируса Касперского далее задачах по защите почтового трафика.

раскрыты в изложенных

Работа с Антивирусом Касперского

Все настройки компонента smtpscanner сгруппированы в опциях [smtpscan.*] конфигурационного файла kav4mailservers.conf (см. п. A.2 на стр. 114).

Далее мы рассмотрим наиболее типичные задачи, реализующие антивирусную защиту почтового трафика.

5.2.1. Доставка только незараженных и

вылеченных почтовых сообщений

Такой способ конфигурации Антивируса Касперского® осуществляется в том случае, если не предполагается разделения пользователей на группы отправителей-получателей. Это удобно, например, в ситуации, когда необходимо настроить доставку всем адресатам сервера только незараженных и вылеченных почтовых сообщений.

Задача:

• проверять весь почтовый трафик сервера на присутствие

вирусов и лечить все зараженные почтовые сообщения;

• удалять инфицированные почтовые сообщения, которые не

удалось вылечить;

• доставлять вылеченные сообщения адресатам;

• уведомлять отправителей, получателей и администраторов

о вылеченных, удаленных, подозрительных и поврежденных почтовых сообщениях, а также об объектах, в результате проверки которых произошла ошибка; к уведомлениям администратора прикреплять инфицированные объекты без изменений;

• фиксировать результаты работы в файле /tmp/report.log.

Решение: для реализации поставленной задачи выполните следующие действия:

1. Выберите группу default на закладке Groups list программы Webmin (см. рис. 13) и нажмите на кнопку Properties.

56 Антивирус Касперского

Other

KAV for Mail Servers ! AV Mail Check ! Groups

Рисунок 13. Закладка Groups list

2. Сформируйте группу и задайте режим лечения ее сообщений.

Для этого выберите группу опций Main settings в открывшемся окне (см. рис. 14) и задайте на соответствующей закладке (см. рис. 8) приведенную ниже конфигурацию:

для Linux, FreeBSD и OpenBSD Mail Servers

Check this group – проверять почтовые сообщения получа-

телей данной группы.

• Group administrator address – адрес (алиас) администра-

тора группы.

• Укажите электронные адреса или маски адресов отправи-

телей и получателей, почтовые сообщения которых будут обрабатываться по правилам группы default в секциях Sender mask и Recipient mask.

Если в секциях Sender mask и Recipient mask не указаны адреса (маски адресов) отправителей и получателей, то правила данной группы справедливы для всех почтовых сообщений сервера.

Работа с Антивирусом Касперского

Other ! KAV for Mail Servers ! AV Mail Check ! Groups ! Группа+Properties

Рисунок 14. Опции для группы

3. Настройте действия над объектами и правила уведомлений.

Для этого выберите группу опций Notify rules на закладке опций для группы (см. рис. 14) и задайте на соответствующей закладке (см. рис. 15) приведенную ниже конфигурацию:

• Снимите флажки для всех типов объектов в графе

Quarantine.

• Задайте следующие правила уведомлений администратора

группы в графе Administrator rules:

o Установите флажок напротив каждого объекта в графе

Notify.

o Выберите значение Unchanged в графе Actions из

раскрывающегося списка напротив каждого типа объекта.

• Установите флажок для всех типов объектов в графе

Sender rules / Notify.

• Задайте следующие правила уведомлений получателей

группы в графе User rules:

o Установите флажок напротив каждого объекта в графе

Notify.

o Установите флажок В графе Attach report для типа

объекта Cured, для всех остальных типов снимите флажки.

o В графе Actions напротив типа объекта Cured из рас-

крывающегося списка выберите аналогичное значение, для всех остальных типов объектов выберите значение

Remove.

58 Антивирус Касперского

Other +Properties

KAV for Mail Servers ! AV Mail Check ! Groups ! Группа

Notify rules

Рисунок 15. Закладка Notify rules

4. Определите параметры формирования отчета на закладке Core settings (см. рис. 7) в секции Report settings:

o Report file name – полное имя файла отчета. В поле

ввода параметра введите /tmp/report.log

для Linux, FreeBSD и OpenBSD Mail Servers

Если поле ввода параметра Report file name пустое, то результаты работы продук-

та фиксируются в системном журнале.

o Report file permission – права доступа к файлу отчета.

В поле ввода параметра задайте, например, значение

060.

ReportOK – выводить в отчет информацию о незара-

женных объектах.

или:

1. Задайте настройки конфигурации для группы [smtpscan.group:default]:

[smtpscan.group:default] Check=yes

Работа с Антивирусом Касперского

AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove

CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured

Параметры Sender*, Recipient* и Admin* определяют пра- вила работы с объектами всех типов, кроме Clear. Любое задание правил для конкретного объекта является более приоритетным. Например, в данном примере все типы объектов будут удаляться из письма получателя

(RecipientAction=remove), кроме объекта Cured (CuredRecipientAction=cured).

2. Настройте запись отчета о результатах работы компонента в файл /tmp/report.log:

[smtpscan.report] ReportOk=yes ReportFileName=/tmp/report.log ReportFilePermission=060

5.2.2. Доставка зараженных сообщений

Возможно возн икновение таких ситуаций, когда определенной группе получателей необходимо доставлять любые сообщения, в том числе и инфицированные.

Задача

• проверять весь почтовый поток сообщений на присутствие

вирусов;

60 Антивирус Касперского

• для всех получателей, кроме входящих в группу urgent, ле-

чить все зараженные сообщения;

• почтовые сообщения, которые не удалось вылечить, а так-

же подозрительные и поврежденные письма переносить в карантинный каталог для всех получателей, кроме входящих в группу urgent;

• отправлять уведомления отправителям, получателям и ад-

министраторам о заблокированных, вылеченных, удаленных, подозрительных и поврежденных почтовых сообщениях, а также об объектах, в результате проверки которых произошла ошибка; к уведомлениям администратора прикреплять инфицированные объекты без изменений;

• получателям группы urgent доставлять все письма, в том

числе и инфицированные, с обязательным уведомлением о возможности их заражения вирусом.

Для реализации поставленной задачи выполните следующие действия:

1. Выберите группу default на закладке Groups list (см. рис. 13) программы Webmin и выполните для нее настройки, аналогичные описанным в п. 5.2.1 на стр. 55.

2. Дополнительно для группы включите режим блокирования объектов в карантине. Для этого:

• создайте карантинный каталог, задав полный путь к нему в

поле ввода параметра Quarantine path на закладке Main settings (см. рис. 8).

• настройте перенос в него всех объектов, кроме Cured, ус-

тановив для них флажки в графе Quarantine на закладке

Notify rules (см. рис. 15).

3. Создайте новую группу urgent на закладке Groups list (см. рис. 13)

4. Выберите группу urgent в списке групп пользователей и нажмите на кнопку Properties.

5. Сформируйте группу и задайте режим лечения ее сообщений.

Для этого выберите группу опций Main settings на закладке опций для группы (см. рис. 14) и задайте приведенную ниже конфигурацию на соответствующей закладке (см. рис. 8):

для Linux, FreeBSD и OpenBSD Mail Servers

Check this group – проверять почтовые сообщения отпра-

вителей-получателей данной группы.

Работа с Антивирусом Касперского

• Group administrator address – адрес (алиас) администра-

тора группы.

• Укажите электронные адреса или маски адресов отправи-

телей и получателей, почтовые сообщения которых будут обрабатываться по правилам группы urgent в секциях

Sender mask и Recipient mask.

6. Настройте действия над объектами и правила уведомлений.

Для этого выберите группу опций Notify rules на закладке опций для группы (см. рис. 14) и задайте приведенную ниже конфигурацию на соответствующей закладке (см. рис. 15):

• Снимите флажки для всех типов объектов в графе

Quarantine.

• Задайте следующие правила уведомлений администратора

группы в графе Administrator rules:

o Установите флажок напротив каждого объекта, кроме

Cured, в графе Notify.

o В графе Actions из раскрывающегося списка напротив

каждого типа объекта выберите значение Unchanged.

• Установите флажок для всех типов объектов, кроме Cured

в графе Sender rules / Notify.

• Задайте следующие правила уведомлений получателей

группы в графе User rules:

o Установите флажок напротив каждого объекта, кроме

Cured, в графе Notify.

o Установите флажки для всех типов объектов, кроме

Cured, в графе Attach report.

o В графе Actions из раскрывающегося списка напротив

каждого типа объекта выберите значение Unchanged.

или:

1. Выполните следующие настройки конфигурации для группы [smtpscan.group:default]:

[smtpscan.group:default] Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes

62 Антивирус Касперского

CorruptedQuarantine=yes ErrorQuarantine=yes ProtectedQuarantine=yes

AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove

CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured

2. Настройте конфигурацию группы [smtpscan.group:urgent] следующим образом:

[smtpscan.group:urgent] Check=yes AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes RecipientAttachReport=yes RecipientAction=unchanged

для Linux, FreeBSD и OpenBSD Mail Servers

5.2.3. Блокирование доставки адресатам сообщений

Обычно администратору необходимо блокировать поступление некоторых сообщений для получателей.

Работа с Антивирусом Касперского

Например, рассмотрим такую ситуацию: почтовое сообщение подозревается на заражение вирусом, но содержит важные данные, которые необходимо сохранить. В процессе лечения данные могут быть потеряны. В такой ситуации лучше изолировать почтовое сообщение и, например, отправить его на исследование специалистам "Лаборатории Касперского".

Задача

• проверять весь почтовый трафик сервера на присутствие

вирусов и лечить все зараженные почтовые сообщения;

• блокировать доставку инфицированных, подозрительных,

поврежденных и защищенных паролем почтовых сообщений, а также сообщений, в результате проверки которых произошла ошибка;

• доставлять адресатам только вылеченные сообщения;

• уведомлять отправителей, получателей и администраторов

о заблокированных, вылеченных, удаленных, подозрительных и поврежденных почтовых сообщениях, а также об объектах, в результате проверки которых произошла ошибка; к уведомлениям администратора прикреплять инфицированные объекты без изменений.

Решение: для реализации поставленной задачи выполните следующие действия:

1. выберите группу default на закладке Groups list (см. рис. 13) программы Webmin и выполните для нее настройки, аналогичные описанным в п. 5.2.1 на стр. 55.

2. включите режим блокирования объектов в карантине. Для этого:

• создайте карантинный каталог, задав полный путь к нему в

поле ввода параметра Quarantine path на закладке Main settings (см. рис. 8).

• настройте перенос в него всех объектов, кроме Cured, ус-

тановив для них флажки в графе Quarantine на закладке Notify rules (см. рис. 15).

или:

В конфигурационном файле kav4mailservers.conf произведите следующие настройки:

[smtpscan.group:default]

64 Антивирус Касперского

Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes ProtectedQuarantine=yes

AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove

CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured

для Linux, FreeBSD и OpenBSD Mail Servers

5.2.4. Дополнительная фильтрация писем по типу вложений

Зачастую почтовые сообщения содержат файлы, которые имеют большую вероятность наличия вируса (например, exe-файлы). Во избежание заражения мы предлагаем организовать фильтрацию почтового трафика по имени и/или типу таких объектов и блокировать их в отдельном каталоге для дальнейшего изучения.

Существуют и такие объекты, которые не могут быть инфицированы. Для снижения нагрузки на сервер при выполнении антивирусной обработки почтовых сообщений мы рекомендуем заранее определить типы и/или имена таких вложенных файлов и отсеивать их при проверке почты.

Работа с Антивирусом Касперского

Задача

• для группы пользователей users:

o проверять почтовые сообщения группы на присутствие

вирусов;

o фильтровать почту по вложенными exe-файлам; от-

фильтрованные сообщения блокировать в карантинном каталоге;

o лечить зараженные почтовые сообщения; если попытка

лечения объекта не удалась – удалять его из письма получателя, но доставлять в неизменном виде администратору группы;

o уведомлять о блокированных объектах только админи-

стратора группы и получателей;

o отправлять уведомления об удаленных, инфицирован-

ных, поврежденных, защищенных паролем объектах, а также почтовых сообщениях, в результате проверки которых произошла ошибка, администратору, получателям и отправителям.

• для всех остальных получателей:

o проверять весь почтовый трафик сервера на присутст-

вие вирусов и лечить все зараженные почтовые сообщения;

o блокировать в карантинном каталоге инфицированные

объекты, которые не удалось вылечить, а также подозрительные, поврежденные письма и объекты, в результате проверки которых произошла ошибка;

o доставлять вылеченные сообщения адресатам;

o доставлять получателю защищенные паролем файлы с

уведомлением о возможности их заражения вирусом;

o уведомлять отправителей, получателей и администра-

тора о удаленных, инфицированных, поврежденных, блокированных, а также почтовых сообщениях, в результате проверки которых произошла ошибка; к уведомлениям администратора прикреплять все виды объектов без изменений.

66 Антивирус Касперского

Для выполнения поставленной задачи необходимо:

1. Создайте новую группу users на закладке Groups list (см. рис. 13).

2. Выберите группу users в списке групп пользователей и нажмите на кнопку Properties.

3. Сформируйте группу, задайте режим лечения ее сообщений и

включите режим блокирования отфильтрованных объектов. Для этого выберите группу опций Main settings на закладке опций для группы (см. рис. 14) и на соответствующей закладке

(см. рис. 8) задайте приведенную ниже конфигурацию:

Check this group – проверять почтовые сообщения отпра-

вителей-получателей данной группы.

• Group administrator address – адрес (алиас) администра-

тора группы.

• Quarantine path – полный путь к карантинному каталогу.

• Укажите электронные адреса или маски адресов отправи-

телей и получателей, почтовые сообщения которых будут обрабатываться по правилам группы urgent в секциях

Sender mask и Recipient mask.

4. Определите объекты фильтрации. Для этого выберите группу

опций Filter rules на закладке опций для группы (см. рис. 14) и в секции Filter rules на соответствующей закладке (см. рис. 16) укажите маску .*.exe в качестве значения параметра By file.

для Linux, FreeBSD и OpenBSD Mail Servers

Если вы хотите указать несколько масок, перечисляйте их через запятую.

Работа с Антивирусом Касперского

Other ! KAV for Mail Servers ! AV Mail Check ! Groups ! Группа

+Properties

Filter rules

Рисунок 16. Закладка Filter settings

5. Настройте действия над объектами и правила уведомлений.

Для этого выберите группу настроек Notify rules на закладке опций для группы (см. рис. 14) и на соответствующей закладке (см. рис. 15) задайте приведенную ниже конфигурацию:

• Установите флажок только для типа объекта Filtered в гра-

фе Quarantine.

• Задайте следующие правила уведомлений администратора

группы в графе Administrator rules:

o Установите флажок напротив каждого объекта в графе

Notify.

o В графе Actions из раскрывающегося списка напротив

каждого типа объекта выберите значение Unchanged.

• Установите флажок для всех типов объектов, кроме

Filtered, в графе Sender rules / Notify.

• Задайте следующие правила уведомлений получателей

группы в графе User rules:

o Установите флажок напротив каждого объекта, кроме

Cured, в графе Notify.

68 Антивирус Касперского

o снимите флажки для всех типов объектов, кроме Cured,

в графе Attach report.

o В графе Actions из раскрывающегося списка напротив

каждого типа объекта, кроме Cured, выберите значение Unchanged; для объекта Cured выберите одноименное

значение списка.

6. Выберите группу default на закладке Groups list (см. рис. 13) и

выполните для нее настройки, аналогичные описанным в п. 5.2.1 на стр. 55.

7. Дополнительно установите флажки для типов объектов

Infected, Suspicious, Corrupted и Errors на закладке Notify rules (см. рис. 15) в графе Quarantine.

8. Для типа объекта Protected в графе User rules установите следующие флажки:

Notify;

Attach report;

в раскрывающемся списке выберите значение Unchanged.

или:

1. Выполнить следующие настройки конфигурации для группы [smtpscan.group:users]:

[smtpscan.group:default] Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes

AdminAddress=admin@localhost.ru AdminNotify=yes AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove

FilterName="*.exe"

для Linux, FreeBSD и OpenBSD Mail Servers

Работа с Антивирусом Касперского

FilteredQuarantine=yes FilteredRecipientNotify=yes

CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured

2. Выполнить следующие настройки конфигурации для группы [smtpscan.group:default]:

Check=yes QuarantinePath=/var/db/Quarantine Quarantine=yes InfectedQuarantine=yes SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes

AdminAddress=admin2@localhost.ru AdminNotify=yes AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes RecipientAttachReport=no RecipientAction=remove

ProtectedRecipientNotify=yes ProtectedRecipientAttachReport=yes ProtectedRecipientAction=unchanged

CuredRecipientNotify=yes CuredRecipientAttachReport=yes CuredRecipientAction=cured

70 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

5.2.5. Настройка уведомлений об истечении лицензии по трафику

Рекомендуем вам также выполнить настройку уведомления об истечении срока действия лицензии на использование Антивируса Касперского

. Та-

кое уведомление отправляется администратору сервера (по умолчанию адрес администратора: postmaster@localhost).

Настройка уведомления включает определение следующих параметров:

• Тип лицензирования продукта: ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА.

• Адрес, на который будет отправляться уведомление. Целесообразно

отправлять данное уведомление администратору сервера.

• Критический объем почтового трафика, при достижении которого

отправляется уведомление. Это значение отражает остаток почтового трафика до истечения лимита по трафику.

Вы можете выполнить настройку непосредственно в конфигурационном файле программы, а также удаленно с помощью пакета Webmin.

Чтобы настроить уведомление администратора об истечении срока действия лицензии на использование Антивируса Касперского

В конфигурационном файле kav4mailservers.conf для параметров секции [smtpscan.license] задайте соответствующие значения. Например:

[smtpscan.license] LicenseType=traffic LicenseWarningNotifyAddress=admin@localhost.ru LicenseWarningNotifySize=900

или:

На закладке Core settings (см. рис. 7) программы Webmin задайте значения для следующих параметров:

• Type – тип лицензирования для приобретенного продукта.

Из раскрывающегося списка выберите значение traffic.

• Notify size – объем остаточного почтового трафика в Mb

(сколько осталось до конца лимита), при достижении кото-

рого будет отправляться уведомление. В поле ввода параметра укажите соответствующее значение.

Работа с Антивирусом Касперского

• Notify to address – адрес, на который будет отправляться

уведомление сразу после достижения значения параметра

Notify size.

В результате администратор будет получать уведомление со следующим содержанием (см. рис. 17):

Рисунок 17. Уведомление администратора об истечении

срока действия лицензии

5.3. Антивирусная защита

файловых систем

Антивирусная защита файловых систем сервера выполняется при помощи компонента kavscanner, который сканирует файлы сервера на присутствие вирусов и выполняет обработку зараженных и подозрительных объектов в соответствии с настройками. Обработка объектов может носить как сугубо информационный характер (вывод информации в отчет и на консоль сервера, уведомления администратора), так и приводить к изменению объекта (лечение, перенос на карантин, удаление).

Все настройки компонента kavscanner сгруппированы в опциях [scanner.*] конфигурационного файла kav4mailservers.conf (см. п. A.2 на стр. 114).

72 Антивирус Касперского

Проверка файловых систем вашего сервера может быть выполнено разово из командной строки, либо по расписанию с помощью стандартной утилиты cron. Вы можете задавать проверку как всех файловых систем сервера, так и отдельного каталога или файла.

Далее мы подробно рассмотрим наиболее типичные задачи антивирусной защиты файловых систем сервера.

Процесс проверки на присутствие вирусов всего сервера – очень ресурсоемкая процедура. Следует помнить, что при ее запуске скорость работы будет замедлена, следовательно, не рекомендуется параллельно запускать какие-либо процессы. Во избежание таких проблем рекомендуем вам проверять отдельные каталоги.

для Linux, FreeBSD и OpenBSD Mail Servers

5.3.1. Проверка каталога из командной строки

Одной из задач, решаемых посредством Антивируса Касперского®, является проверка на присутствие вирусов и лечение отдельного каталога сервера.

Задача: запустить рекурсивную проверку каталога /tmp с автоматическим лечением всех обнаруженных инфицированных объектов. Эвристический анализатор кода не использовать. Все объекты, вылечить которые не удалось, – удалить. В этом же каталоге создать файлы infected.lst, suspicion.lst, corrupted.lst и warning.lst, в которых сохранить имена всех обнаруженных в результате проверки зараженных, подозрительных или поврежденных объектов, соответственно. Результаты работы к омпонента (дату запуска, информацию о всех файлах, кроме незараженных, с детализацией) выводить только в файл-отчет kavscanner-текущая_дата-pid.log, который сохранить в том же каталоге.

Решение строке введите:

#kavscanner -rlq -pi /tmp/infected.lst

-ps /tmp/suspicion.lst –pc /tmp/corrupted.lst

-pw /tmp/warning.lst -o /tmp/kavscanner-`date "%Y-%m-%d-$$"`.log -i3 -ePASBMe –j3 -mCn /tmp

: чтобы реализовать поставленную задачу, в командной

Работа с Антивирусом Касперского

5.3.2. Ежедневная проверка каталога по расписанию

В операционных системах семейства Unix запуск программ по расписанию , в том числе и задач Антивируса Касперского утилиты cron.

Задача присутствие вирусов каталога /home; использовать параметры проверки, заданные в конфигурационном файле

/etc/kav/scanhome.conf

Решение дующие действия:

1. Создайте конфигурационный файл /etc/kav/scanhome.conf, где

2. Отредактируйте файл, задающий правила работы процесса

: каждый день в 0 часов 00 минут запускать проверку на

: для реализации поставленной задачи выполните сле-

укажите все необходимые параметры проверки (подробнее см. п. 6.2 на стр. 94).

cron (

crontab –e): введите следующую строку:

* 0 * * * /path/to/kavscanner -c /etc/kav/scanhome.conf /home

, осуществляется с помощью

5.3.3. Перенос объектов в отдельный каталог (карантин)

Вы можете организовать работу Антивируса Касперского® таким образом, что он будет переносить все инфицированные объекты файловой системы сервера в отдельный каталог.

Например, такая возможность может быть использована, когда в процессе антивирусной проверки каталога был обнаружен зараженный файл, содержащий важные данные. При лечении часть данных может быть потеряна. Решением в такой ситуации может быть изолирование зараженного объекта в отдельном каталоге для, например, последующей его отправки в Лабораторию Касперского на экспертизу. Возможно, экспертам удастся вылечить файл и сохранить целостность содержащихся в нем данных.

Если каталог с изолированными объектами предполагается хранить в структуре файловой системы сервера, рекомендуем исключить его из области проверки для последующих проверок, указав полный путь к нему в качестве значения параметра ExcludeDir конфигурационного файла.

74 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

Задача

: проверить на присутствие вирусов все объекты, перечисленные в файле /tmp/download.lst, и перенести обнаруженные инфицированные объекты с полными путями к ним в каталог /tmp/infected. Использовать эвристический анализатор кода; рекурсию отключить. Информацию о зараженных, а также подозрительных и поврежденных объектах вывести в файл отчета.

Решение дующие действия:

: для реализации поставленной задачи выполните сле-

1. Задайте перенос объектов на карантин, введя приведенную

ниже строку в поле ввода параметра On infected секций Object action и Container action на закладке Kasperksy Anti-Virus Scanner программы Webmin (см. рис. 18):

movePath /tmp/infected

2. Включите эвристический анализатор кода, но отключите рекурсивную проверку и лечение объектов. Для этого выполните приведенные ниже настройки в секции Scan settings:

Cure – отключить лечение инфицированных объектов. Use heuristic – включить эвристический анализатор кода. Recursion – отключить рекурсивную проверку каталогов.

3. В командной строке введите:

#kavscanner –@/tmp/download.lst

или:

1. В качестве действий над инфицированными объектами в секциях [object] и [container] конфигурационного файла укажите следующую строку:

OnInfected=movePath /tmp/infected

2. Отключите режим лечения (Cure=no), если от был включен.

3. В командной строке введите:

#kavscanner –@/tmp/download.lst –ePASBME –rq –i0 -o /tmp/report.log –j3 –mCn

Теперь усложним задачу, задав требова н ие ограничения доступа к файлам каталога /tmp/infected только возможностью их чтения и записи. Это достигается с помощью стандартных инструментов Unix (команда chmod). Следовательно, в схему реализации задачи необходимо внести следующие изменения:

Работа с Антивирусом Касперского

1. На закладке Kaspersky Anti-Virus Scanner программы Webmin

(см. рис. 18) в секциях Object action и Container action в поле ввода параметра On infected введите строку:

exec mv %FULLPATH%/%FILENAME% /tmp/infected/%FILENAME%; chmod –x /tmp/infected/%FILENAME%

или:

1. В секциях [object] и [container] конфигурационного файла /etc/kav/kavscanner.conf в качестве правила обработки инфицированных объектов укажите следующую строку:

OnInfected=exec mv %FULLPATH%/%FILENAME% /tmp/infected/%FILENAME%; chmod –x /tmp/infected/%FILENAME%

5.3.4. Дополнительные возможности: использование скрипт-файлов

Антивирус Касперского® предоставляет возможность дополнительной обработки объектов, прошедших антивирусный анализ, путем использования различных стандартных команд Unix, а также скрипт-файлов. При помощи таких средств опытные администраторы могут самостоятельно определять действия над объектами различных статусов и, таким образом, расширять функциональность Антивируса Касперского

5.3.4.1. Лечение зараженных объектов в

архиве

Антивирус Касперского® не лечит инфицированные файлы, запакованные в архивы, он лишь обнаруживает в них подозрительные и зараженные объекты. Однако такая возможность может быть реализована посредством дополнительного скрипт-файла. В настоящем документе приводится пример лечения архивов типа tar и zip при помощи скрипт-файла vox.sh (см. п. A.12 на стр. 132). Данный скрипт включен в поставку Антивируса Касперского

76 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

Задача и с помощью скрипта vox.sh попытаться вылечить все обнаруженные внутри архива инфицированные объекты. В качестве конфигу-

: проверить все доступные на сервере архивы типа tar и zip,

рационного файла использовать /etc/kav/kavscanner.conf.in, где предварительно указать использование скрипт-файла для лечения архивов. Использовать эвристический анализатор кода. Список всех инфицированных объектов с полными путями к ним привести в файле /tmp/infected_archive.lst. Отчет о работе компонента вывести только в файл /tmp/logfile.log.

Решение дующие действия:

: для реализации поставленной задачи выполните сле-

1. Задайте действия над зараженными объектами-контейнерами,

введя указанную ниже строку в поле ввода параметра On infected в секции Container action на закладке Kaspersky Anti-Virus Scanner программы Webmin (см. рис. 18):

exec /tmp/kavscanner/test/vox.sh \ %FULLPATH%/%FILENAME%

2. Запустите проверку файловой системы сервера с выполненными настройками, нажав на кнопку Start для компонента

Kaspersky Anti-Virus On-Demand Scanner на закладке Run Kaspersky Anti-Virus component (см. рис. 12).

3. Ограничьте при необходимости область проверки, указав путь к каталогу, с которого начнется проверка, в поле ввода параметра Scan path окна Startup options (см. рис. 19) нажмите на кнопку Start.

Работа с Антивирусом Касперского

Other ! KAV for Mail Servers ! AV File Check

Рисунок 18. Закладка Kaspersky Anti-Virus On-Demand Scanner

Other ! KAV for Mail Servers ! AV Run+Start

Рисунок 19. Закладка для определения

области проверки

или:

78 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

1. Создайте альтернативный файл kavscanner.conf.in.

2. В качестве правила обработки инфицированных объектов в секции [container] данного файла задайте строку:

OnInfected=exec /tmp/kavscanner/test/vox.sh %FULLPATH%/%FILENAME%

3. В командной строке введите:

# kavscanner –c kavscanner.conf.in –ePASE –qR –o /tmp/logfile.log –j3 –pi /tmp/infected_archive.lst /

5.3.4.2. Отправка администратору уведомления

Посредством Антивируса Касперского® с использованием стандартных средств Unix вы можете настроить уведомление администратора сервера об обнаружении в примонтированных файловых системах инфицированных, подозрительных и поврежденных файлов.

Задача: настроить уведомление администратора при обнаружении в примонтированных файловых системах инфицированных файлов и архивов при каждой проверке сервера, выполняемой в соответствии с параметрами конфигурационного файла

kav4mailservers.conf.

Решение дующие действия:

: для реализации поставленной задачи выполните сле-

Задайте следующие правила обработки простых объектов и контейнеров в конфигурационном файле kav4mailservers.conf

[scanner.object] OnInfected=exec echo %FULLPATH%/%FILENAME% is

infected by %VIRUSNAME% | mail -s kavscanner admin@localhost.ru

[scanner.container] OnInfected=exec echo archive %FULLPATH%/%FILENAME% is

infected, viruses list is in the attached file %LIST% | mail -s kavscanner -a %LIST% admin@localhost.ru

или:

Работа с Антивирусом Касперского

1. Задайте действия над зараженными простыми файлами, введя указанную ниже строку в поле ввода параметра On infected в секции Object action на закладке Kaspersky Anti-Virus Scan- ner программы Webmin (см. рис. 18):

exec echo %FULLPATH%/%FILENAME% is infected by %VIRUSNAME% | mail -s kavscanner admin@localhost.ru

2. Определите действия над зараженными объектамиконтейнерами, введя указанную ниже строку в поле ввода параметра On infected в секции Container action на закладке

Kaspersky Anti-Virus Scanner программы Webmin (см. рис. 18):

exec echo archive %FULLPATH%/%FILENAME% is infected, viruses list is in the attached file %LIST% | mail -s kavscanner -a %LIST% admin@localhost.ru

5.4. Управление лицензионными ключами

Лицензионный ключ дает вам право на использование продукта и содержит всю необходимую информацию, связанную с лицензией, которую вы приобрели, такую как: тип лицензии, дата окончания срока действия лицензии, количество защищаемых пользователей или объем лицензионного трафика (зависит от типа лицензии), информацию о дистрибьюторах и т.д.

Помимо прав на использование продукта в течение срока действия лицензии вы приобретаете следующие возможности:

• круглосуточную техническую поддержку;

• ежедневное обновление антивирусных баз;

• обновление продукта (patch);

• получение новых версий продукта (upgrade);

• своевременное информирование о новых вирусах.

По окончании срока действия лицензии вы автоматически лишаетесь приведенных выше возможностей. Антивирус Касперского осуществлять антивирусную обработку файловых систем сервера и почтового трафика, но только с использованием антивир усных баз, актуальных на дату окончания срока действия лицензии. Администратору сервера бу-

по-прежнему будет

80 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

дут направляться уведомления об окончании действия лицензии. Функция обновления антивирусных баз будет не доступна.

Поэтому крайне важно регулярно просматривать информацию, приведенную в лицензионном ключе и отслеживать дату истечения срока его действия.

5.4.1. Просмотр информации о

лицензионном ключе

Вы можете просматривать информацию об установленных лицензионных ключах в отчетах о работе компонентов kavscanner, kavupdater и aveserver, поскольку при старте каждый из этих компонентов загружает информацию о ключах.

Помимо этого в Антивирусе Касперского понент licenseviewer, позволяющий вам просматривать не только более полную информацию о ключах, но и получать некоторые аналитические данные.

Так, если вы приобрели Антивирус Касперского ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА, то компонент licenseviewer позволяет отслеживать, какой объем трафика уже исчерпан, сколько Mb лицензированного почтового трафика осталось на текущую дату.

Вы можете также просматривать информацию об объеме обработанного в течение суток (по часам) трафика, и, таким образом, оценивать пики нагрузки. Данная информация может пригодиться, например, для отправки в Службу технической поддержки, если возникнут проблемы с работой продукта.

При покупке Антивируса с типом лицензирования ПО КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ вы можете просматривать общее количество лицензированных пользователей, соответствующее приобретенной лицензии.

Вся перечисленная выше информация может быть выведена на консоль сервера или просмотрена удаленно с любого компьютера вашей сети, имеющего доступ для работы с программой Webmin.

предусмотрен специальный ком-

с типом лицензирования

Чтобы просмотреть информацию о всех лицензионных ключах,

выберите Key Info на закладке Kaspersky Anti-Virus for Mail Servers программы Webmin. В открывшемся окне (см. рис. 20) из

раскрывающегося списка Display выберите keys information и нажмите на кнопку Show.

Работа с Антивирусом Касперского

Other ! KAV for Mail Servers ! Key Info

Рисунок 20. Информация о лицензии

или:

В командной строке введите:

licenseviewer –s

На консоль сервера или закладку Kaspersky Anti-Virus license info будет выведена следующая информация:

Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. License file 0003D3EA.key, serial 0038-000419-

0003D3EA, "Kaspersky Anti-Virus for Personal Linux", expires 04-07-2003 in 28 days

License file 0003E3E8.key, serial 011E-0004130003E3E8, "Kaspersky Anti-Virus for Linux Mail Srv (licence per e-mail address)", expires 25-01-2004 in 234 days

Чтобы просмотреть информацию о конкретном ключе,

в командной строке введите, например, такую строку:

licenseviewer –k 0003D3EA.key

Наконсоли отразится следующая информация:

82 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. Serial 0038-000419-0003D3EA, "Kaspersky Anti-Virus

for Personal Linux", expires 04-07-2003 in 28 days

Для получения информации по лицензированному почтовому трафику или количеству защищаемых пользователей

выберите Key Info на закладке Kaspersky Anti-Virus for Mail Servers программы Webmin. В открывшемся окне (см. рис. 21) из

раскрывающегося списка Display выберите license inforrmation и нажмите на кнопку Show.

или:

в командной строке введите:

licenseviewer –i

На консоль сервера или закладку Kaspersky Anti-Virus license info будет выведена следующая информация:

• при типе лицензирования ПО КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ:

Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. License email address units: 1500

• при типе лицензирования ПО ОБЪЕМУ ПОЧТОВОГО ТРАФИКА:

Kaspersky license viewer Version 5.0 Copyright (C) Kaspersky Lab. 1998-2003. Daily traffic statistic(Bytes): 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0 License traffic units: 10 (MB) Traffic units used: 0 (MB) Traffic units left: 10 (MB)

Работа с Антивирусом Касперского

Other ! KAV for Mail Servers ! Key Info

Рисунок 21. Информация о ключе

Для Антивируса Касперского® с типом лицензирования ПО КОЛИЧЕСТВУ ПОЛЬЗОВАТЕЛЕЙ мы предоставляем дополнительную возможность в любой момент работы с программой проверить, является ли тот или иной пользователь защищаемым, то есть пользователем, почтовые сообщения от и для которого проходят антивирусную обработку.

Это может быть полезно, например, в случае, когда лицензия приобретена на большое количество и, прежде чем вносить в список лицензированных некоторого пользователя, необходимо проверить, не включен ли уже данный пользователь в список защищаемых.

Чтобы проверить, является ли пользователь sergey@localhost.ru лицензированным,

в командной строке введите

licenseviewer–u sergey@localhost.ru

В результате на консоль будет выведена, например, следующая информация:

Kaspersky license viewer for smtpscanner, Copyright(C) Kaspersky Lab. 1998-2003. Version 5.0 User sergey@localhost.ru is licensed

84 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

5.4.2. Продление лицензии

Продление лицензии на использование Антивируса Касперского® дает вам право на восстановление полной функциональности продукта – обновления антивирусных баз. Кроме того, возобновляются дополнительные услуги, приведенные в п. 5.4 на стр. 79.

Срок действия лицензии зависит от типа лицензирования, который вы выбрали, приобретая продукт.

Чтобы продлить лицензию на использование Антивируса Касперского® для Unix Mail Servers, вам необходимо:

связаться с компанией, у которой вы купили продукт, и приобрести продление лицензии на использование Антивируса Касперского

или:

продлить лицензию непосредственно в Лаборатории Касперского, написав в Отдел продаж (sales@kaspersky.com ответствующую форму на нашем сайте (www.kaspersky.ru

) или заполнив со-

) в разде-

ле Купить онлайн ! Для пользователей систем Linux. По факту оплаты вам будет отправлен лицензионный ключ по электронной почте, адрес которой был указан вами в форме заказа.

Регулярно Лаборатория Касперского проводит акции, позволяющие продлить лицензии на использование наших продуктов со значительными скидками. Следите за акциями на сайте Лаборатории Касперского в разделе Информация ! Акции.

Приобретенный лицензионный ключ необходимо установить. Для этого скопируйте его в каталог хранения ключей (параметр LicensePath конфигурационного файла) и перезапустите сервер.

После этого рекомендуем вам обновить антивирусные базы (см. п. 5.1 на стр. 49).

ГЛАВА 6. ДОПОЛНИТЕЛЬНАЯ

НАСТРОЙКА

В данном разделе мы наиболее подробно остановимся на дополнительных настройках функциональности Антивируса Касперского обходимых настроек (см. Глава 4 на стр. 35), без выполнения которых использование продукта невозможно, дополнительные настройки осуществляются по усмотрению администратора. Они направлены на расширение функциональности продукта и его настройки под условия использования в рамках конкретного предприятия.

. В отличие от не-

6.1. Настройка антивирусной защиты почтового трафика

При проверке почтового трафика на присутствие вирусов основным критерием при выборе правил обработки каждого почтового сообщения являются адреса отправителя и получателя и параметры группы, в состав которой они входят. Поэтому крайне важно отнести адреса в нужную группу.

Принадлежность почтового сообщения к конкретной группе определяется наличием в этой группе как адреса отправителя, так и адреса получателя. Программа просматривает список адресов группы и ищет в нем тот и другой адрес. Как только в исследуемой группе обнаруживается комбинация адресов "отправитель-получатель", к сообщению применяются правила обработки, определенные параметрами этой группы.

Антивирус Касперского соответствии с настройками конфигурационного файла kav4mailservers.conf. Вы можете отредактировать файл как локально, так и удаленно с помощью программы Webmin.

Проверка наличия строки с адресом сообщения в группе происходит в соответствии с POSIX regex (подробнее о стандарте см. man

7 regex).

выполняет антивирусную фильтрацию в

По умолчанию конфигурационный файл включает группу

[smtpscan.group:default], в которой описаны правила обработки почтовых сообщений. Поскольку группа изначально не содержит имен отправителей и получателей, то правила, описанные в группе, применяются ко всем сообщениям. Вы можете изменить параметры группы default, а также создать новые группы.

86 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

Если вы внесли в конфигурационный файл другие группы (см. п. 6.1.1 на стр. 87), то последовательность обработки почтового сообщения будет следующая:

1. Программа проверяет наличие адресов сообщения в группах, введенных администратором. Если адреса сообщения входят в какую-либо группу адресов пользователей, то к сообщению будут применены правила обработки, определенные параметрами данной группы.

Если адреса отправителя и получателя обрабатываемого сообщения попадают в интервал адресов нескольких групп, программа будет использовать параметры первой из них.

2. Если адреса не входят ни в одну из групп адресов, введенных администратором, то к сообщению будут применены действия программы, описанные в группе default.

Графическое представление последовательности действий Антивируса Касперского

с полученным почтовым сообщением изображено на рис. 22.

Рисунок 22. Обработка почтового сообщения

Дополнительная настройка 87

6.1.1. Формирование групп пользователей

По умолчанию в конфигурационном файле Антивируса Касперского® есть группа [smtpscan.group:default], справедливая для всех отправителейполучателей сервера. Она содержит следующие правила обработки почтовых сообщений:

• Проверять все почтовые сообщения.

• Лечить обнаруженные инфицированные письма.

• Доставлять адресатам только незараженные и вылеченные почто-

вые сообщения.

• Письма, которые вылечить не удалось, а также подозрительные, по-

врежденные, защищенные письма и почтовые сообщения, в результате проверки которых произошла ошибка, доставлять только администратору группы.

• Отправителей, получателей и администратора группы уведомлять о

зараженных, вылеченных, подозрительных, поврежденных, защищенных письмах и почтовых сообщениях, в результате проверки которых произошла ошибка.

Если вы хотите, чтобы для различных получателей-отправителей Антивирус Касперского лам, вам необходимо создать группы.

обрабатывал почтовые сообщения по отдельным прави-

Чтобы создать новую группу адресов пользователей,

1. В конфигурационном файле создайте секцию

[smtpscan.group:имя_группы].

2. Определите адреса (маски адресов) отправителей и получате-

лей группы, перечислив их через запятую в качестве значений параметров Senders и Recipients.

При задании масок используется стандарт POSIX regex. Для перечисления адресов используйте запятую.

Если Вы не определите значения параметра

Recipients

как

.*@.*

ИЛИ Senders, то оно будет определено

88 Антивирус Касперского

или:

1. Создайте новую группу на закладке Groups list программы Webmin (см. рис. 13). Выберите имя созданной группы в списке групп пользователей и нажмите на кнопку Properties.

2. Укажите электронные адреса или маски адресов отправителей

и получателей, почтовые сообщения которых будут обрабатываться по правилам группы, в секциях Sender mask и Recipient mask на закладке Main settings (см. рис. 8).

для Linux, FreeBSD и OpenBSD Mail Servers

6.1.2. Режим проверки и лечения сообщений

Для того чтобы выполнялась антивирусная проверка почтового трафика конкретной группы отправителей-получателей, администратору сервера необходимо в параметрах группы включить соответствующий режим.

Для этого в конфигурационном файле kav4mailservers.conf для группы задайте параметр Check=yes, а при уд аленной настройке через программу

Webmin на закладке Main settings (см. рис. 8) установите для группы фла-

Check this group.

жок

При включенном режиме проверки все почтовые сообщения, отнесенные по критерию отправитель-получатель к данной группе, проверяются Антивирусом Касперского® на присутствие вирусов. Однако лечение обнаруженных инфицированных почтовых сообщений выполняться не будет.

Для ВКЛЮЧЕНИЯ РЕЖИМА ЛЕЧЕНИЯ зараженных писем необходимо в группе указать хотя бы один параметр для вылеченных (Cured) объектов. Например, если в группе помимо других параметров вы укажете:

[smtpscan.group:account] Check=yes CuredRecipientNotify=yes

это будет означать, что:

• все почтовые сообщения для отправителей-получателей группы ac-

count буду проверяться на присутствие вирусов;

• обнаруженные зараженные объекты будут подвергаться лечению;

• о вылеченных объектах получатели будут получать соответствую-

щее уведомление.

Дополнительная настройка 89

Чтобы включить режим лечения инфицированных объектов удаленно,

на закладке Notify list (см. рис. 15) установите хотя бы один флажок для типа объекта Cured или в раскрывающемся списке графы Action выберите нужное значение.

6.1.3. Действия над почтовыми сообщениями

Действия, выполняемые над объектами почтовых сообщений, определяются двумя факторами:

• во-первых, статусом объектов, присвоенном после проверки (см. п.

6.2.2 на стр. 95);

• во-вторых, непосредственно действием для конкретного статуса

объекта, указанном в конфигурационном файле.

Статус объекту присваивается процессом aveserver сразу после проверки его на присутствие вирусов, а вот действие, выполняемое над объектом после проверки, определяется администратором сервера.

Антивирус Касперского® позволяет определить действия над объектами почтовых сообщений, которые будут доставляться получателю и администратору группы. Для отправителей почтовых сообщений можно настроить ТОЛЬКО уведомление.

Вы можете задать для объектов почтовых сообщений одно из следующих действий:

Remove – удалять объект из почтового сообщения. Unchanged – не изменять объект. В данном случае объект не будет

подвергаться лечению и будет доставляться в исходном виде.

Cured – доставлять только вылеченный объект (только для объекта ти-

па Cured).

Вы можете определить единые действия над всеми типами объектов или задать для каждого типа свое.

90 Антивирус Касперского

Чтобы задать для всех типов объектов единые действия,

для Linux, FreeBSD и OpenBSD Mail Servers

Установите соответствующие значения для параметров AdminAction и ReсipientAction. Эти параметры определяют действия для всех типов объектов. Например:

AdminAction=unchanged RecipientAction=remove

Все почтовые сообщения группы будут доставляться администратору неизменными, а из почтовых сообщений получателя будут удаляться.

или:

на закладке Notify list (см. рис. 15) программы Webmin в графах Administrator rules/ Action и User rules/ Action из раскрывающих-

ся списков для всех объектов выберите одно значение.

Если вы хотите для каждого типа объекта задать свое действие,

укажите соответствующие значения для параметров <тип_объекта>AdminAction и <тип_объекта>RecipientAction.

Если Например,

AdminAction=unchanged RecipientAction=remove CuredRecipientAction=cured

В данном случае все почтовые сообщения независимо от типа объекта будут доставлены администратору группы неизменными, а получатель будет получать только вылеченные письма. Все остальные типы объектов будут удалены из почтовых сообщений получателя.

Дополнительно к перечисленным выше действиям над объектами предусмотрено блокирование объекта в карантинном каталоге.

Чтобы переносить объект почтового сообщения в карантинный каталог,

В конфигурационном файле для группы задайте следующие параметры:

QuarantinePath=/var/db/Quarantine Quarantine=yes

Дополнительная настройка 91

SuspiciousQuarantine=yes CorruptedQuarantine=yes ErrorQuarantine=yes

или:

1. Задайте полный путь к карантинному каталогу в поле ввода параметра Quarantine path на закладке Main settings (см. рис. 8) программы Webmin.

2. установите флажки для тех типов объектов, которые

предполагается блокировать, в графе Quarantine на закладке Notify rules (см. рис. 15).

6.1.4. Уведомление отправителей, получателей и администраторов

Антивирус Касперского® позволяет вам настроить уведомления (режим их отправки, параметры формирования и текст) отправителей почтовых сообщений, их получателей и администраторов групп об объектах любого из возможных статусов (подозрительные, зараженные, вылеченные, поврежденные и т.д.). Отправка уведомлений регулируется следующими параметрами конфигурации:

• RecipientNotify – отправка уведомления получателю почтового со-

общения;

• SenderNotify – отправка уведомления отправителю почтового сооб-

щения;

• AdminNotify – отправка уведомления администратору группы.

Такие параметры определяют отправку уведомлений для объектов всех статусов. Если вы хотите назначить отправку уведомлений для объектов конкретных статусов, то включите режимы:

• <статус_объекта>RecipientNotify;

• <статус_объекта>SenderNotify;

• <статус_объекта>AdminNotify.

В таком случае уведомление будет отправлено адресату только по объекту указанного статуса.

Например, при указании в группе следующих настроек:

InfectedRecipientNotify=yes

92 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

CuredRecipientNotify=yes CorruptedRecipientNotify=yes SenderNotify=yes AdminNotify=yes

Уведомления администратору и отправителю будут отправляться по объектам всех статусов, а получателю – только по зараженным, вылеченным и поврежденным объектам.

Для отправки уведомлений также необходимо указать адрес с которого они будут отсылаться (параметр NotifyFromAddress секции

[smtpscan.general]).

По умолчанию Антивирус Касперского

включает уведомление для объек-

тов каждого статуса; все они содержат универсальный текст, основанный на шаблоне /etc/kav/5.0/template_notify_main, включенном в поставку продукта.

Если вы хотите отредактировать текст уведомления, вы можете:

• Отредактировать текст шаблона, включенного в поставку.

• Создать новый файл шаблона и указать полный путь к нему в каче-

стве значения параметра Template секции [smtpscan.notify].

В тексте шаблона вы можете использовать следующие макросы, которые автоматически будут заменяться программой на соответствующее значение на основании ответов процесса aveserver:

%VERSION% – версия Антивируса Касперского

%SENDER% – почтовый адрес отправителя сообщения. %RECIPIENT% – список всех получателей сообщения, разделен-

ных переводом строки.

%MSGID% – идентификационный номер письма. %VIRUSNAME% – текстовое описание проблемы. Вы можете лока-

лизовать данный текст на любой язык. Для этого введите соответствующие строки для объекта каждого статуса в секции [locale]. Подробнее см. п. A.2 на стр. 114.

%DATETIME% – дата и время обработки почтового сообщения.

Формат даты и времени также может быть отредактирован. Подробнее см. п. A.2 на стр. 114.

Такие макросы можно также использовать и при формировании темы письма.

Параметры формирования уведомлений (MIME-тип, тема письма, кодировка и т.д.) сгруппированы в секции [smtpscan.notify] конфигурационного файла.

Дополнительная настройка 93

Полный список всех видов уведомлений (по статусу объекта) приведен также на закладке Notify list программы Webmin (см. рис. 23)

Other

KAV for Mail Servers ! Notify

Рисунок 23. Список уведомлений

Чтобы отредактировать параметры уведомления,

1. Выберите его в списке уведомлений и нажмите на кнопку Edit.

2. В открывшемся окне (см. рис. 24) задайте необходимые пара-

метры и при необходимости отредактируйте текст уведомления.

Other ! KAV for Mail Servers ! Notify! Edit

Рисунок 24. Параметры уведомления

Уведомление, параметры которого вы изменили, будет отмечено в списке уведомления значком (+) рядом с его именем.

94 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

6.2. Настройка антивирусной

защиты файловых систем сервера

Весь набор параметров антивирусной защиты файловых систем сервера можно разделить на группы, определяющие:

• Область проверки (см. п. 6.2.1 на стр. 94).

• Режим проверки и лечения файлов (см. п. 6.2.2 на стр. 95).

• Действия над файлами (см. п. 6.2.3 на стр. 96).

• Параметры формирования отчета о результатах работы (см. п. 6.4

на стр. 100).

Рассмотрим подробнее настройку каждой из этих групп.

6.2.1. Область проверки

Область проверки можно условно разделить на две части:

• путь проверки – список каталогов и файлов, в которых производится

поиск вирусов;

• объекты проверки – набор типов файлов, которые будут анализиро-

ваться на предмет вирусов (архивы, почтовые сообщения и т.д.).

По умолчанию проверяются все объекты доступных файловых систем, начиная с текущего каталога.

Для проверки всех файловых систем сервера необходимо перейти в корневой каталог или в командной строке указать область проверки /.

Вы можете переопределить путь проверки следующими способами:

• Перечислив через пробел каталоги и файлы с абсолютными или от-

носительными (относительно текущего каталога) путями к ним непосредственно в командной строке при запуске компонента.

• Задав пути проверки в текстовом файле и указав его использование

в командной строке посредством ключа объект в таком файле приводится с новой строки с абсолютным путем к нему.

-@ <имя_файла>. Каждый

Дополнительная настройка 95

Если в командной строке будет указан и путь проверки и текстовый файл со списком объектов проверки, то будет проверяться область, указанная в файле. Путь в командной строке будет проигнорирован.

• Ограничив пути, принятые по умолчанию (всё, начиная с текущего

каталога) или перечисленные в командной строке, путем ввода в конфигурационном файле kav4mailservers.conf масок файлов и каталогов, которые будут исключены из области проверки (секция [scan- ner.options], параметры ExcludeMask и ExcludeDirs).

• Отключив рекурсивную проверку каталогов (секция

[scanner.options], параметр Recursion или ключ –r).

Ввод масок файлов и каталогов, а также отключение рекурсии может быть выполнено удаленно с помощью программы

Webmin на закладке Kaspersky Anti-Virus On-Demand Scanner (см. рис. 18).

• Создав альтернативный конфигурационный файл и указав его ис-

пользование посредством ключа нента.

Объекты проверки по умолчанию также задаются в конфигурационном файле kav4mailservers.conf (секция [scanner.options]) и могут быть переопределены :

• непосредственно в данном файле или на закладке Kaspersky Anti-

Virus On-Demand Scanner (см. рис. 18) программы Webmin;

• ключами командной строки при запуске компонента (см. п. A.3 на

стр. 124);

• путем использования альтернативного конфигурационного файла.

–с <имя_файла> при запуске компо-

6.2.2. Режим проверки и лечения файлов

Лечение инфицированных файлов является очень важной опцией антивирусной защиты поскольку определяет, будет ли выполняться лечение зараженных файлов, обнаруженных в результате проверки.

По умолчанию эта опция отключена, что предполагает только проверку файлов и информирование об обнаружении вирусов и других подозрительных или поврежденных файлов путем вывода сообщений на консоль и в отчет (см. п. 6.4 на стр. 100).

В результате проверки на п рисутствие вирусов каждому файлу присваивается один из следующих статусов:

96 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

• Clear – вирусов в файле не обнаружено.

• Infected – файл инфицирован.

• Warning – код файла похож на код известного вируса.

• Suspicious – код файла похож на код неизвестного вируса.

• Corrupted – файл поврежден.

• Protected – файл защищен паролем.

При включенном режиме лечения (секция [scanner.options], параметр Cure=yes) на антивир усную обработку отправляются файлы только со ста-

тусом Infected. В результате лечения файлу присваивается один из следующих статусов:

• Cured – файл был успешно вылечен.

• CureFailed – файл вылечить не удалось. Файл с таким статусом бу-

дет обрабатываться по правилам, заданным для инфицированных файлов.

Включение режима лечения инфицированных объектов может быть выполнено удаленно при помощи программы Webmin на закладке Kaspersky Anti-Virus On-Demand Scanner (см. рис. 18).

6.2.3. Действия над файлами

В зависимости от статуса файла (см. п. 6.2.2 на стр. 95) к нему могут применяться те или иные действия. По умолчанию выполняется только уведомление об обнаружении файлов с определенным статусом сообщениями, выводимыми на консоль и в отчет.

Однако для файлов со статусами Infected, Suspiсious, Warning и Corrupted можно настроить выполнение ряда действий, таких как:

• перемещение в некоторый каталог – перенос файлов определен-

ного статуса в некоторый каталог; возможен простой и рекурсивный

перенос;

• удаление файла из файловой системы;

• выполнение некоторой команды – обработка файлов посредством

стандартных команд Unix, скрипт-файлов и т.д.

Для типов файла Protected и Cured выполняется только уведомление, выводимое на консоль и в отчет.

Дополнительная настройка 97

Следует отметить, что Антивирус Касперского® различает объект простой (файл) и объект-контейнер (состоящий из нескольких объектов, например

архив). Действия, выполняемые над такими объектами, также различаются; в конфигурационном файле они разнесены по отдельным секциям. Для простого объекта – секция [scanner.object], для контейнера –

[scanner.container].

Действия с самораспаковывающимися архивами неоднозначны: если инфицирован сам архив, то он рассматривается как простой объект, а если заражены объекты внутри архива – как контейнер. Соответственно, и действия над архивом в таких случаях определяются параметрами разных секций конфигурационного файла!

Выбрать действие над тем или иным файлом можно следующими способами:

• Задать их в конфигурационном файле kav4mailservers.conf, если их

предполагается использовать как действия по умолчанию (секции [scanner.object] и [scanner.container], подробнее см. п. A.2 на стр. 114).

Действия над объектами можно также настроить удаленно при помощи программы Webmin на закладке Kaspersky Anti- Virus On-Demand Scanner (см. рис. 18).

• Указать действия в альтернативном конфигурационном файле и ис-

пользовать его при запуске компонента.

Если в командной строке при запуске компонента не указывается какой-либо конфигурационный файл, то параметры функционирования берутся из файла kav4mailservers.conf. Использование данного файла при запуске специально не указывается!

• Задать их на текущий сеанс работы посредством ключей командной

строки при запуске компонента kavscanner (см. п. A.3 на стр. 124).

Синтаксис действий как для простых объектов, так и для объектовконтейнеров одинаков (подробнее см. п. A.2 на стр. 114, секции [scan- ner.object] и [scanner.container]).

98 Антивирус Касперского

для Linux, FreeBSD и OpenBSD Mail Servers

6.3. Настройка работы процесса

aveserver

Как уже отмечалось выше, антивирусная обработка почтового трафика осуществляется за счет взаимодействия двух компонентов: процесса ave-

server и smtpscanner.

Aveserver запускается при старте операционной системы.

Установка соединения с aveserver выполняется непосредственно при обращении smtpscanner к данному процессу.

Вы можете настроить ряд параметров работы процесса в конфигурационном файле kav4mailservers.conf (секция [aveserver.options]) или на закладке Kaspersky Anti-Virus engine server программы Webmin (см. рис. 25):

Detach from terminal – отсоединение процесса от терминала сразу по-

сле запуска. Включение такого режима необходимо, поскольку пока процесс не отсоединится, загрузка системы не продолжится. По

умолчанию режим включен (значение (значение

процессом программами типа svc.

Startup mode – переход процесса из диалогового в фоновый режим

работы при условии, что DetachFromTerminal=yes. Значение определяет переход демона в фоновый режим сразу после загрузки конфигурационного файла, возвращая при этом код 0. Значение

no) должно использоваться только в случае управления

normal осуществляет переход процесса в фоновый режим только

после загрузки в память антивирусных баз и лицензионных ключей.

yes). Отключение режима

fast

В режиме fast визуальная скорость запуска процесса выше, но есть вероятность, что демон не будет запущен изза какой-либо фатальной ошибки, и при этом на консоль ничего не будет выведено!

Local socket permission – восьмеричное разрешение, с которым соз-

дается сокет. По умолчанию Local socket permission=0666.

Дополнительная настройка 99

Other ! KAV for Mail Servers ! AVServer

Рисунок 25. Параметры работы с процессом aveserver.

Закладка Kaspersky Anti-Virus engine server

6.3.1. Перезагрузка aveserver

Перезапуск процесса aveserver выполняется автоматически сразу после обновления антивирусных баз при условии включения соответствующей настройки конфигурации (ReloadApplication=yes).

Перезагрузка выполняется командой kill –HUP <PID процесса>. В резуль- тате ее выполнения процесс получает сигнал SIGHUP. При таком сигнале родительский процесс заново загружает конфигурационный файл, лицензионные ключи и базы или завершает работу с соответствующим сообщением в отчете, если путь к файлу задан некорректно. Все открытые соединения копий процесса с клиентскими программами остаются активными до их закрытия.

Такая перезагрузка процесса aveserver также необходима, например, в случае если вы отредактировали конфигурационный файл или установили новый лицензионный ключ.

6.3.2. Принудительное завершение работы aveserver

Если вам необходимо принудительно завершить работу процесса aveserver, воспользуйтесь командой kill < PID процесса>. Команда kill отправит процессу сигнал SIGTERM, по которому завершается работа aveserver с закрытием функционирования всех порожденных им копий.

100 Антивирус Касперского

Настоятельно рекомендуем вам не использовать для завершения работы с процессом aveserver команду kill –9. В результате выполнения данной команды работа процесса будет завершена, однако в системе сохранится ряд временных и рабочих файлов, которые удаляются только вручную. Некоторые приложения (например, Webmin) по наличию в системе таких файлов определяют процесс как запущенный.

для Linux, FreeBSD и OpenBSD Mail Servers

6.4. Локализация отображаемого

формата даты и времени

Во время работы Антивируса Касперского® формируются отчеты по каждому из компонентов, а также различные уведомления для пользователей и администраторов. Такая информация всегда сопровождается датой и временем ее формирования.

По умолчанию Антивирус Касперского ни, соответствующие стандарту strftime:

%H:%M:%S – отображаемый формат времени. %d/%m/%y – отображаемый формат даты.

Администратору предоставляется возможность изменения формата даты и времени. Локализация форматов выполняется в секции [locale] конфигурационного файла kav4mailservers.conf. Вы можете задать следующие фор- маты:

%I:%M:%S %P – для отображения времени в двенадцатичасовом фор-

мате (параметр TimeFormat).

%y/%m/%d и %m/%d/%y – для отображение даты (параметр

DateFormat).

использует форматы даты и време-

6.5. Параметры формирования

отчета Антивируса Касперского

Результаты работы всех компонентов Антивируса Касперского® фиксируются в отчете, который выводится в файл.

Kaspersky lab ANTI-VIRUS 5.0 FOR LINUX, ANTI-VIRUS 5.0 FOR FREEBSD, ANTI-VIRUS 5.0 FOR OPENBSD FILE SERVER User Manual

Specifications and Main Features

Frequently Asked Questions

User Manual

1.6. Принятые обозначения

ПОСТИНСТАЛЛЯЦИОННАЯ НАСТРОЙКА