Kaspersky lab ANTI-VIRUS 5.5 for Linux, ANTI-VIRUS 5.5 for FreeBSD, ANTI-VIRUS 5.5 for OpenBSD Mail Servers User Manual [de]

KASPERSKY LAB
Kaspersky Anti-Virus® 5.5 for Linux, FreeBSD
and OpenBSD Mail Servers
HANDBUCH FÜR ADMINISTRATOREN
KASPERSKY ANTI-VIRUS® 5.5 FOR
LINUX, FREEBSD AND OPENBSD MAIL SERVERS
Handbuch für
Administratoren
© Kaspersky Lab Ltd.
http://www.kaspersky.com/de/
Redaktionsdatum: Juni 2005
Inhalt
KAPITEL 1. KASPERSKY ANTI-VIRUS® FOR LINUX, FREEBSD AND
OPENBSD MAIL SERVERS ....................................................................................... 5
1.1. Was ist neu in Version 5.5..................................................................................... 6
1.2. Hardware- und Softwarevoraussetzungen........................................................... 7
1.3. Lieferumfang.......................................................................................................... 8
1.4. Service für registrierte Benutzer............................................................................ 9
1.5. Textgestaltung .....................................................................................................10
KAPITEL 2. TYPISCHE EINSATZMÖGLICHKEITEN DES PRODUKTS.................. 12
2.1. Interne Architektur von Kaspersky Anti-Virus®................................................... 12
2.2. Arbeit auf einem Server mit Mailsystem............................................................. 14
2.3. Arbeit als sekundärer Filter ................................................................................. 16
2.4. Arbeit auf einem separaten Server..................................................................... 17
2.5. Filterung der Mail aus externen Mailboxen......................................................... 19
KAPITEL 3. INSTALLATION VON KASPERSKY ANTI-VIRUS®................................ 22
3.1. Installation der Anwendung auf einem Linux-Server .........................................22
3.2. Installation der Anwendung auf einem FreeBSD- oder OpenBSD-Server....... 23
3.3. Installationsprozess............................................................................................. 23
3.4. Konfiguration der Anwendung ............................................................................ 24
KAPITEL 4. KONFIGURATION NACH DER INSTALLATION.................................... 26
4.1. Standardeinstellungen des Produkts.................................................................. 26
4.2. Installation / Aktualisierung der Antiviren-Datenbanken..................................... 28
4.3. Konfiguration der gemeinsamen Arbeit mit Webmin ......................................... 29
4.4. Manuelle Integration des Produkts in Mailsysteme............................................ 29
4.4.1. Integration in das Mailsystem sendmail....................................................... 30
4.4.2. Integration in das Mailsystem qmail............................................................. 31
4.4.3. Integration in das Mailsystem Postfix........................................................... 32
4.4.4. Integration in das Mailsystem Exim ............................................................. 32
4.4.5. Konfiguration von Kaspersky Anti-Virus® zur Integration in das
Mailsystem ....................................................................................................33
3 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
KAPITEL 5. ARBEIT MIT KASPERSKY ANTI-VIRUS®............................................... 35
5.1. Aktualisierung der Antiviren-Datenbanken ......................................................... 35
5.1.1. Komponente zum Update der Antiviren-Datenbanken keepup2date ........ 36
5.1.2. Empfohlene Einstellungen der Komponente keepup2date ........................ 37
5.1.3. Planung von Updates der Antiviren-Datenbanken mit Hilfe von cron ........ 39
5.1.4. Einmalige Aktualisierung der Antiviren-Datenbanken................................. 39
5.1.5. Erstellen eines Netzwerkordners zum Speichern und Kopieren der
Antiviren-Datenbanken ................................................................................. 40
5.2. Antivirenschutz des Mailverkehrs des Servers .................................................. 41
5.2.1. Nur virusfreie und desinfizierte E-Mails sollen zugestellt werden............... 42
5.2.2. Infizierte E-Mails zustellen............................................................................ 44
5.2.3. Zustellung von Nachrichten, die ein kennwortgeschütztes Archive
enthalten........................................................................................................ 45
5.2.4. Zustellung von Nachrichten an Adressaten sperren ................................... 46
5.2.5. E-Mails zusätzlich nach dem Typ der Anlagen filtern ................................. 47
5.3. Antivirenschutz von Dateisystemen.................................................................... 50
5.3.1. Untersuchung von Dateien auf Befehl......................................................... 51
5.3.2. Tägliche Untersuchung eines Verzeichnisses nach Taskplan (cron)......... 52
5.3.3. Zusätzliche Optionen: Verwendung von Skriptdateien ............................... 52
5.3.3.1. Desinfektion infizierter Archiv-Objekte ..................................................52
5.3.3.2. Senden einer Benachrichtigung an den Administrator......................... 53
5.3.4. Verschieben von Objekten in ein separates Verzeichnis (Quarantäne)..... 54
5.3.5. Modus zum Erstellen von Sicherheitskopien............................................... 55
5.4. Verwaltung von Lizenzschlüsseln....................................................................... 56
5.4.1. Lizenzierungsmechanismus......................................................................... 57
5.4.2. Anzeige von Informationen über den Lizenzschlüssel................................ 58
5.4.3. Lizenzverlängerung ......................................................................................60
KAPITEL 6. ERWEITERTE EINSTELLUNGEN........................................................... 62
6.1. Konfiguration des Antivirenschutzes für den Mailverkehr.................................. 62
6.1.1. Erstellen von Benutzergruppen.................................................................... 64
6.1.2. Modus zur Untersuchung und Desinfektion von Nachrichten..................... 65
6.1.3. Aktionen für Mail-Nachrichten ...................................................................... 66
6.1.4. Benachrichtigung an Absender, Empfänger und Administratoren .............68
6.2. Konfiguration des Antivirenschutzes für Serverdateisysteme ........................... 70
6.2.1. Untersuchungsbereich ................................................................................. 70
6.2.2. Modus zur Untersuchung und Desinfektion von Dateien............................ 72
Inhalt 4
6.2.3. Aktionen für Dateien ..................................................................................... 72
6.2.4. Modus zum Erstellen von Sicherheitskopien............................................... 74
6.3. Optimierung der Arbeit von Kaspersky Anti-Virus.............................................. 74
6.3.1. Verwendung der iChecker™-Datenbank .................................................... 75
6.3.2. Begrenzung der Serverbelastung ................................................................ 75
6.4. Konfiguration der Arbeit des Prozesses aveserver............................................ 76
6.4.1. Neustart von aveserver ................................................................................ 77
6.4.2. Zwangsläufiges Beenden der Arbeit von aveserver ................................... 77
6.5. Lokalisierung des Formats für Datums- und Uhrzeitanzeige............................. 77
6.6. Parameter für die Protokollerstellung von Kaspersky Anti-Virus®..................... 78
6.6.1. Format von Meldungen über das Scannen ................................................. 80
6.6.2. Format von Meldungen, die auf der Konsole angezeigt werden................ 82
6.6.3. Antiviren-Statistik der Anwendung............................................................... 82
KAPITEL 7. DEINSTALLATION VON KASPERSKY ANTI-VIRUS®........................... 84
KAPITEL 8. TESTEN DER FUNKTIONALITÄT VON KASPERSKY ANTI-VIRUS.... 85
KAPITEL 9. HÄUFIGE FRAGEN ÜBER DIE ARBEIT MIT DEM PRODUKT............. 87
ANHANG A. SCHÄDLICHE PROGRAMME IN UNIX-UMGEBUNG.......................... 94
A.1. Viren .................................................................................................................... 94
A.2. Trojanische Programme .....................................................................................96
A.3. Netzwürmer......................................................................................................... 97
ANHANG B. KASPERSKY LAB LTD............................................................................ 99
B.1. Andere Produkte von Kaspersky Lab ..............................................................100
B.2. Kontaktinformationen........................................................................................ 104
ANHANG C. INDEX..................................................................................................... 105
ANHANG D. ENDBENUTZER-LIZENZVERTRAG FÜR KASPERSKY ANTI-
VIRUS ....................................................................................................................... 106
Kapitel 1. Kaspersky Anti-Virus®
for Linux, FreeBSD and OpenBSD Mail Servers
Kaspersky Anti-Virus® 5.5 for Linux, FreeBSD and OpenBSD Mail Servers (im Folgenden auch Kaspersky Anti-Virus Mail Servers genannt) dient der Antivirenbearbeitung des Mailverkehrs und der
Dateisysteme von Servern, die mit den Betriebssystemen Linux, FreeBSD oder OpenBSD arbeiten und eines der folgenden Mailprogramme verwenden: sendmail, postfix, qmail, exim.
Das Softwareprodukt erlaubt:
Virus-Untersuchung aller gemounteten Dateisysteme, sowie von eingehenden und ausgehenden E-Mail-Nachrichten als Teil des SMTP­Verkehrs eines Servers.
Erkennen infizierter, verdächtiger, beschädigter und durch Kennwort geschützter Dateien, sowie von Dateien, durch deren Untersuchung ein Fehler auftrat.
Ausführen der Antivirenbearbeitung (Desinfektion) infizierter Objekte von Dateisystemen und E-Mail-Nachrichten.
Verschieben von infizierten, verdächtigen und beschädigten Objekten der Serverdateisysteme und dessen Mailverkehrs in ein Quarantäne- verzeichnis. Für den Mailverkehr können zusätzlich durch Kennwort geschützte Dateien sowie Dateien, bei deren Untersuchung ein Fehler auftritt, in die Quarantäne verschoben werden.
Bearbeitung des Mailverkehrs in Übereinstimmung mit den Regeln, die für Absender-Empfängergruppen festgelegt wurden.
Organisation der zusätzlichen Filterung des Mailverkehrs nach Namen und Typen der angehängten Dateien, und Anwendung separater Bearbeitungsregeln auf ausgefilterte Objekte.
Benachrichtigung von Absender, Empfänger und Gruppenadministrator über eine Mail-Nachricht, die ein infiziertes, verdächtiges u.a. Objekt enthält.
Aktualisierung der Antiviren-Datenbanken. Als Updatequelle für die Datenbanken dienen die Updateserver von Kaspersky Lab.
®
, Kaspersky Anti-Virus® for Unix
Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 6
Die Antiviren-Datenbanken werden während des Such- und Desinfek­tionsprozesses infizierter Dateien verwendet. Auf Basis der in den Daten­banken enthaltenen Einträge wird während der Untersuchung jede Datei auf das Vorhandensein von Viren analysiert: Der Code der Datei wird mit einem Code verglichen, der für einen bestimmten Virus charakteristisch ist. Wenn eine Datei infiziert ist, führt das Programm seine Desinfektion durch.
Es wird darauf hingewiesen, dass jeden Tag neue Viren auftau­chen. Deshalb empfehlen wir, die Antiviren-Datenbanken täglich zu aktualisieren, um den aktuellen Status des Produkts zu gewährleisten.
Konfiguration von Kaspersky Anti-Virus® über die Web-Oberfläche des Programms Webmin und über die Konfigurationsdatei des Produkts.
1.1. Was ist neu in Version 5.5
In der Version Kaspersky Anti-Virus 5.5 for Linux, FreeBSD and OpenBSD Mail Servers wurden im Vergleich zu Version 5.0 folgende Änderungen
vorgenommen:
Neue Technologien zum Download der Antiviren-Datenbanken und Programmmodule der Anwendung wurden integriert, darunter auch die Integritätskontrolle der heruntergeladenen Datenbanken. Dadurch lassen sich Einsparungen im Netzwerkverkehr erreichen (die Parameter wurden der Komponente keepup2date hinzugefügt).
Hinzugefügt wurde eine Option zum Erstellen eines Speichers für Sicherheitskopien (Backup), in dem Kopien verdächtiger oder infizierter Objekte vor der Desinfektion oder dem Löschen gespeichert werden können. Dadurch lässt sich der Verlust von Originaldaten verhindern, falls bei der Desinfektion unvorhersehbare Situationen eintreten.
Um die Serverbelastung bei der Antivirenuntersuchung zu verringern, wurden die Technologie iChecker und die zweistufige Cache-Speicherung untersuchter Objekte integriert.
Nun ist mit Hilfe des Programms Webmin die Anzeige einer Statistik über die Virenaktivität für einen bestimmten Zeitraum möglich. Außerdem können die Typen der Viren angezeigt werden, die bei der Antivirenuntersuchung gefunden wurden.
Eine Option zur Begrenzung der Anzahl von gleichzeitig im Hintergrundmodus untersuchten Objekte wurde hinzugefügt. Dies erlaubt eine Optimierung der Serverbelastung.
7 Kaspersky Anti-Virus
Eine Option zur Generierung einer Liste der erkennbaren Viren wurde hinzugefügt.
Eine Option zur Auswahl des Protokolls (smtp oder Imtp) für die Funktion der Komponente smtpscanner wurde hinzugefügt.
Bei der Verwendung des Protokolls smtp wurde eine Option zur Empfangsbestätigung für den Absender einer E-Mail-Nachricht realisiert.
Hinzugefügt wurde eine Option, die es erlaubt, für jede Nachricht die Virennamen und den ID-Code der Nachricht in einer Protokolldatei über die Arbeit der Komponente smtpscanner zu speichern.
Die Lizenzierungspolitik für die Anwendung wurde geändert. Es ist nicht mehr notwendig, eine Liste der lizenzierten Benutzer zu erstellen und zu aktualisieren. Diese Liste wird nun automatisch erstellt und gepflegt.
Hinzugefügt wurde eine Option zur Auswahl des Typs der Antiviren­Datenbanken (Standard-Datenbanken, erweiterte oder redundante Datenbanken). Dabei kann der Typ der zu verwendenden Antiviren­Datenbanken für jede Komponente der Anwendung separat festgelegt werden.
Zur Verwendung in Benachrichtigungen wurde ein neues Makro hinzugefügt, welches das Einfügen aller Header der Ausgangsnachricht erlaubt.
Der Installations- und Deinstallationsprozess für die Anwendung wurde wesentlich vereinfacht. Während des Deinstallationsprozesses werden von der Anwendung die Konfigurationsdateien korrigiert und Informationen über die Anwendung werden daraus entfernt.
Bei der Installation der Anwendung besteht nun die Möglichkeit zum Importieren der Einstellungen einer Vorgängerversion von Anti-Virus (Version 4.0 oder 5.0). Dadurch wird erlaubt, wesentlich schneller eine funktionsfähige Konfiguration zu erhalten.
Die Anwendung erkennt bei der Installation, wenn Kaspersky Anti-Spam bereits installiert ist und integriert diesen. Bei der Deinstallation wird die vorhergehende Konfiguration wiederhergestellt.
®
for Linux, FreeBSD and OpenBSD Mail Servers
1.2. Hardware- und Softwarevoraussetzungen
Für die Arbeit von Kaspersky Anti-Virus® sind folgende Systemvoraussetzungen erforderlich:
Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 8
Hardwarevoraussetzungen:
Prozessor der Pentium-Klasse.
Mindestens 32 MB Arbeitsspeicher.
Mindestens 100 MB verfügbarer Festplattenspeicher.
Softwarevoraussetzungen:
Eines der folgenden Betriebssysteme:
! RedHat Linux (Version 9.0, Fedora Core 3, Enterprise
Linux Advanced Server 3), SuSE Linux (Version Enterprise Server 9.0 und Professional 9.2), Linux Mandrake Version 10.1 oder Debian GNU/Linux (Version 3.0 updated (r4)
! FreeBSD Version 4.10 und 5.3
! OpenBSD Version 3.6
Eines der folgenden Mailsysteme: sendmail Version 8.x, qmail
Version 1.03, Postfix Version nicht unter snapshot_20000529, Exim Version 4.0.
Utility which.
Programm Webmin (www.webmin.com) – zur Remote-Admini-
stration von Kaspersky Anti-Virus®.
Perl Version 5.0 und höher (www.perl.org) – zur Installation von
Kaspersky Anti-Virus® mit Hilfe von install.sh.
1.3. Lieferumfang
Das Softwareprodukt kann bei unseren Vertriebspartnern (als Hardcopy) oder in einem Online-Shop (z.B. www.kaspersky.com/de werden.
Wenn Sie das Produkt als Hardcopy erwerben, umfasst der Lieferumfang des Softwareprodukts folgende Komponenten:
versiegelter Umschlag mit Installations-CD (oder Disketten), welche die Dateien des Softwareprodukts enthält.
Handbuch für Administratoren.
Lizenzschlüssel, im Lieferumfang der Distribution enthalten oder auf einer
speziellen Diskette gespeichert.
Lizenzvertrag.
, Abschnitt E-Store) erworben
9 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Bitte lesen Sie vor dem Öffnen des versiegelten Umschlags mit der CD (oder mit den Disketten) sorgfältig den Lizenzvertrag.
Beim Erwerb des Produkts in einem Online-Shop kopieren Sie das Produkt von der Kaspersky-Lab-Internetseite. Die Distribution enthält neben dem eigentlichen Produkt auch das vorliegende Handbuch. Der Lizenzschlüssel ist entweder in der Distribution enthalten oder wird nach Eingang der Bezahlung per E-Mail zugesandt.
Der Lizenzvertrag ist eine rechtsgültige Vereinbarung zwischen Ihnen und Kaspersky Lab Ltd., in der festgelegt wird, zu welchen Bedingungen Sie das von Ihnen erworbene Softwareprodukt verwenden dürfen.
Bitte lesen Sie den Lizenzvertrag sorgfältig!
Wenn Sie den Bedingungen des Lizenzvertrags nicht zustimmen, können Sie die Packung mit Kaspersky Anti-Virus® an den Händler zurückgeben, bei dem Sie diese erworben haben, und der Kaufbetrag des Abonnements wird an Sie zurückerstattet. Voraussetzung dafür ist, dass der versiegelte Umschlag mit der Installations-CD nicht geöffnet wurde.
Durch das Öffnen der versiegelten Packung mit der Installations-CD oder die Installation des Programms auf einem Computer stimmen Sie allen Bedingungen des Lizenzvertrags zu.
1.4. Service für registrierte Benutzer
Kaspersky Lab Ltd. bietet seinen registrierten Kunden ein breites Spektrum an Serviceleistungen, die eine gesteigerte Effektivität von Kaspersky Anti-Virus ermöglichen.
Durch den Erwerb eines Abonnements werden Sie zum registrierten Programm­benutzer und können während der Gültigkeitsdauer Ihres Abonnements folgende Leistungen in Anspruch nehmen:
Nutzung neuer Versionen des betreffenden Softwareprodukts;
Beratung bei Fragen zu Installation, Konfiguration und Benutzung des
betreffenden Produkts (per Telefon und E-Mail);
Nachrichten über das Erscheinen neuer Softwareprodukte von Kaspersky Lab und über das Auftauchen neuer Viren (Dieser Service gilt für Benutzer, die den Newsletter von Kaspersky Lab Ltd. abonniert haben).
Die Beratung erstreckt sich nicht auf Fragen über Funktion und Benutzung von Betriebssystemen und anderen Technologien.
®
Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 10
1.5. Textgestaltung
Bestimmte Textteile dieser Dokumentation sind in Abhängigkeit von ihrer Bedeutung durch unterschiedliche Formatierungselemente hervorgehoben. Die Textgestaltung wird in folgender Tabelle erläutert.
Formatierung Bedeutung
Fette Schrift
Hinweis.
Achtung
Um diese Aktion durch­zuführen,
1. Schritt 1.
2. …
Aufgabe, Beispiel
Lösung
Name eines Bedienungselements – Funktion des Bedienungselements.
Namen von Menüs, Menüelementen, Dialogfenstern, Elementen von Dialog­fenstern, usw.
Zusatzinformationen, Hinweise.
Sehr wichtige Informationen.
Beschreibung einer Folge von Schritten und möglichen Aktionen, die vom Benutzer durchgeführt werden.
Aufgabenstellung, Beispiel für die Reali­sierung der Optionen des Software­produkts.
Lösung der vorhergehenden Aufgabe.
Beschreibung des Konfigurationsbaums.
[Parameter] – Funktion des
Parameters.
Befehlszeilentext
Befehlszeilenparameter.
Text von Benutzereingaben in der Befehlszeile.
11 Kaspersky Anti-Virus
Formatierung Bedeutung
®
for Linux, FreeBSD and OpenBSD Mail Servers
Text von Meldungen
Text von Konfigurationsdateien, Infor­mationsmeldungen des Programms.
Kapitel 2. Typische
Einsatzmöglichkeiten des Produkts
Abhängig von der Basisarchitektur des Mailservers bieten wir mehrere Bereitstellungsvarianten von Kaspersky Anti-Virus
für einen Server mit Mailsystem: Diese Variante wird verwendet, wenn auf dem Server bereits eines der Mailsysteme sendmail, qmail, postfix oder exim installiert und konfiguriert ist (s. Pkt. 2.2 auf S. 14).
für einen separaten Server als sekundärer Filter: Die Verwendung dieser Variante wird empfohlen, wenn der primäre Mailserver mit einem nicht unterstützten Betriebs- und Mailsystem arbeitet (s. Pkt. 2.4 auf S. 17).
für einen Server mit Mailsystem als sekundärer Filter: Diese Organisationsvariante wird empfohlen, wenn auf dem Mailserver bereits ein Mailfilter installiert ist, z.B. Kaspersky Anti-Spam (s. Pkt. 2.3 auf S. 16).
als Filter für externe Mailboxen: Diese Organisationsmethode eignet sich, wenn die Benutzer des Mailservers über Mailboxen auf externen Servern verfügen und der Antivirenschutz von heruntergeladenen Mail-Nach­richten erforderlich ist (s. Pkt. 2.5 auf S. 18).
In allen oben erwähnten Fällen kann Kaspersky Anti-Virus des Mailverkehrs auch das Scannen aller gemounteten Dateisysteme durch­führen.
Vor der ausführlichen Beschreibung der oben genannten Einsatzmöglichkeiten betrachten wir mit dem Ziel der vollständigen Darstellung des Funktions­algorithmus die interne Architektur von Kaspersky Anti-Virus®.
®
for Unix Mail Servers an:
®
neben der Filterung
2.1. Interne Architektur von Kaspersky Anti-Virus
®
Bei der Arbeit mit Kaspersky Anti-Virus® stellt das präzise Verständnis des Funktionsalgorithmus einen wichtigen Aspekt dar.
In diesem Abschnitt betrachten wir die interne Architektur des Produkts im Kontext der Untersuchung des Mailverkehrs. Der Prozess zum Scannen von
13 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Serverdateisystemen ist relativ unkompliziert und bedarf keiner getrennten Erklärung.
®
Es ist zu erwähnen, dass Kaspersky Anti-Virus
nur der Filterung der Mail auf Viren dient und keinen Mailagenten darstellt, der zum Empfang und Routing des Mailverkehrs fähig ist. Dafür wird ein auf dem Server installiertes Mailsystem verwendet, in das Anti-Virus nach der Installation integriert wird.
Am Beispiel des Mailsystems sendmail betrachten wir den Algorithmus der internen Arbeit von Kaspersky Anti-Virus
®
for Unix Mail Servers nach dessen
Integration in das Mailsystem genauer (s. Abb. 1).
Es wird daran erinnert, dass während des Integrationsprozesses von Anti-Virus in das Mailsystem sendmail die zusätzliche Konfigurations­datei sendmail.cf.listen angelegt wird. Beim Start von sendmail unter Verwendung dieser Konfigurationsdatei nimmt das Mailsystem den Empfang des Servermailverkehrs vor und leitet diesen zur Bearbeitung an Kaspersky Anti-Virus® weiter. Beim Start mit der Originalkonfigurationsdatei (sendmail.cf) stellt es die Mail­Nachrichten zu, die von Anti-Virus weitergeleitet wurden.
Der Funktionsalgorithmus lässt sich wie folgt beschreiben:
1. Der Mailverkehr wird vom Mailsystem sendmail (Konfigurationsdatei sendmail.cf.listen) nach SMTP-Protokoll empfangen. sendmail erstellt eine Warteschlange, in der die eingehende Mail gespeichert wird, und übergibt sie nach Protokoll LMTP zur Bearbeitung an die Komponente smtpscanner.
2. Die Komponente smtpscanner bearbeitet den Mailverkehr in Überein- stimmung mit den Einstellungen. Der Scan- und Desinfektionsprozess besitzt folgenden Ablauf:
smtpscanner übergibt unter Verwendung des lokalen Sockets den Dateinamen der Mail-Nachricht an die Komponente aveserver.
aveserver führt mit Hilfe der Antiviren-Datenbanken die Untersuchung und Desinfektion des Objekts durch.
smtpscanner erhält von aveserver einen Rückgabewert, der den Dateistatus festlegt.
Abhängig vom Status des Objekts führt smtpscanner auf Basis der Einstellungen der Konfigurationsdatei Aktionen damit durch.
3. Der bearbeitete Mailverkehr wird zusammen mit Benachrichtigungen über die Ergebnisse der Untersuchung und Desinfektion nach SMTP­Protokoll an das Mailsystem sendmail (Konfigurationsdatei sendmail.cf) übergeben, das die Zustellung des Mailverkehrs an die lokalen Benutzer oder das Routing auf andere Mailserver vornimmt.
Typische Einsatzmöglichkeiten des Produkts 14
Abb. 1. Interne Architektur von Kaspersky Anti-Virus® for Unix Mail Servers
2.2. Arbeit auf einem Server mit Mailsystem
Im Folgenden wird bei der Beschreibung der Arbeit und Konfiguration von Kaspersky Anti-Virus® die Variante "Betrieb auf einem Server mit Mailsystem" beschrieben!
®
Installation und Betrieb von Kaspersky Anti-Virus Mailprogramm sind nur auf den unterstützten Betriebssystemen (Linux, FreeBSD oder OpenBSD) möglich.
Als Mailsystem können folgende Programme verwendet werden: sendmail, qmail, postfix oder exim.
auf einem Server mit
15 Kaspersky Anti-Virus
Diese Variante wird für Mailserver empfohlen, die unter durchschnittlicher Last arbeiten.
®
for Linux, FreeBSD and OpenBSD Mail Servers
Werfen wir einen ausführlichen Blick auf das Funktionsschema von Kaspersky Anti-Virus
®
mit einem der genannten Mailsysteme auf einem Server (s. Abb. 2). Die Reihenfolge der Arbeit ist für eingehende und ausgehende Mail identisch und umfasst folgende Etappen:
1. Der Mailverkehr geht entweder von anderen Servern oder aus dem lokalen Netzwerk nach SMTP-Protokoll ein.
2. Das Mailsystem empfängt den Mailverkehr und übergibt ihn zur Bear­beitung an Kaspersky Anti-Virus
3. Kaspersky Anti-Virus
®
bearbeitet den Mailverkehr entsprechend der
®
.
Einstellungen und leitet ihn zusammen mit einer zusätzlichen Auswahl von Benachrichtigungen an das Mailsystem zurück.
4. Das Mailsystem führt das Routing des Mailverkehrs auf einen externen Server oder in die Mailboxen des lokalen Netzwerks durch.
Abb. 2. Schema der Arbeit von Kaspersky Anti-Virus® auf einem Server mit Mailsystem
Von obigem Funktionsschema ausgehend, sind bei der Installation von Kaspersky Anti-Virus
®
folgende Einstellungen vorzunehmen (entweder während
des Installationsprozesses oder direkt danach):
®
Festlegen des Ports des Mailservers, auf dem Kaspersky Anti-Virus arbeiten soll.
Festlegen des Ports des Mailsystems, auf dem es nach der Filterung die Mail von Kaspersky Anti-Virus
®
empfängt.
Typische Einsatzmöglichkeiten des Produkts 16
2.3. Arbeit als sekundärer Filter
Kaspersky Anti-Virus® kann sowohl als primärer wie auch als sekundärer Filter verwendet werden. Wenn im Moment der Installation des Produkts auf Ihrem Mailserver bereits ein Mail-Filter installiert war, dann muss festgelegt werden, welcher Mail-Filter (Kaspersky Anti-Virus installierte) der primäre und welcher der sekundäre Filter sein soll. Als Auswahl­kriterium dient die Art der Filterung.
Der primäre Filter (wir nennen ihn hier MX1) ist jener, der den Mailverkehr auf Basis der IP-Adresse des Absenders filtert. Ein solcher Filter wird als Primärfilter auf Port 25 des Servers installiert. Er empfängt die auf dem Server eingehende Mail, filtert sie und übergibt sie danach zur Bearbeitung an den sekundären Filter. Der sekundäre Filter (wir nennen ihn hier MX2) wird auf dem gleichen Host installiert wie der primäre, ihm werden aber eine andere IP-Adresse und ein anderer Port zugewiesen.
Ist auf Ihrem Server kein Filter installiert, der auf der Absender-IP-Adresse basiert, dann können Sie Kaspersky Anti-Virus Wenn bereits in IP-Filter auf dem Server installiert ist, installieren Sie Anti-Virus als sekundären Filter. Dieses Vorgehen ist dadurch begründet, dass nach der Untersuchung durch Kaspersky Anti-Virus IP-Adresse ausgeht. Folglich wäre eine IP-Filterung nach der Antivirenbearbeitung sinnlos.
®
oder der bereits auf dem Server
®
als primären Filter installieren.
®
der gesamte Mailverkehr von einer
Abb. 3. Schema der Arbeit von Kaspersky Anti-Virus® als sekundärer Filter auf einem
Server mit Mailsystem
Nehmen Sie folgende Einstellungen für den primären und sekundären Filter vor:
Konfiguration des primären Filters (MX1):
Name des Hosts, auf dem der Filter installiert ist:
mx1.yourhost.domain;
17 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
IP-Adresse des Filters: alle verfügbaren;
Nummer des Ports, auf dem der Filter arbeitet: 25;
Name des Hosts zum Senden der Mail:
mx2.yourhost.domain:10026.
Konfiguration des sekundären Filters (MX2):
Name des Hosts, auf dem der Filter installiert ist:
mx2.yourhost.domain;
IP-Adresse des Filters: 127.0.0.1;
Nummer des Ports, auf dem der Filter arbeitet: 10026;
Name des Hosts, von dem Mail empfangen wird:
mx1.yourhost.domain.
Die Namen der Hosts für Filter MX1 und MX2 müssen unterschiedlich sein, da der Server eine Nachricht nicht annimmt, wenn die Hosts im Dialog helo/ehlo identische Namen besitzen. MX2 muss für MX1 vertrauenswürdig sein und umgekehrt, andernfalls wird die Zustellung unmöglich sein.
2.4. Arbeit auf einem separaten Server
Kaspersky Anti-Virus® for Unix Mail Servers kann die Filterung und Antiviren­bearbeitung des Mailverkehrs auch dann vornehmen, wenn Ihr Mailserver mit einem anderen Betriebssystem (z.B. Windows) arbeitet.
®
In diesem Fall wird Kaspersky Anti-Virus der mit dem Betriebssystem Linux, FreeBSD oder OpenBSD arbeitet.
Um Empfang des Mailverkehrs und Senden des Mailverkehrs an den Windows­Mailserver zu gewährleisten, wird auf dem separaten Server neben Anti-Virus auch ein Mailsystem (sendmail, qmail, postfix oder exim) installiert und dessen Integration mit Kaspersky Anti-Virus
In diesem Fall gilt folgender Arbeitsablauf (s. Abb. 4):
Der Mailverkehr geht auf dem Server ein, der mit einem Betriebssystem der Unix-Familie arbeitet.
Das Mailsystem (z.B. qmail) sendet ihn nach Protokoll LMTP zur Bearbeitung an Kaspersky Anti-Virus
auf einem separaten Server installiert,
®
vorgenommen (s. Pkt. 4.4 auf S. 29).
®
.
Typische Einsatzmöglichkeiten des Produkts 18
Die untersuchte Mail wird zusammen mit von Anti-Virus erstellten Benachrichtigungen an das Mailsystem zurückgegeben, das diese zur Zustellung oder weiterem Routing auf den Hauptmailserver weiterleitet.
Abb. 4. Schema der Arbeit von Kaspersky Anti-Virus®
auf einem separaten Server
Im obigen Schema ist der Server mit Kaspersky Anti-Virus® der Hauptserver, da er den Empfang des Mailverkehrs und dessen Weiterleitung vornimmt. Der Server mit MS Exchange ist der sekundäre Server und führt lediglich die Zustellung aus.
®
Wenn Ihr Mailserver vor der Installation von Kaspersky Anti-Virus von Briefen nach der Absender-IP-Adresse ausgeführt hat, dann muss der Server mit Kaspersky Anti-Virus
®
als sekundärer verwendet werden. Der Grund
die Filterung
besteht darin: Wenn der Server mit Anti-Virus als Hauptserver verwendet wird, gehen auf den sekundären Server (mit IP-Filterung) alle Mail-Nachrichten von einer IP-Adresse ein, was eine Filterung unmöglich macht.
Wenn innerhalb Ihres lokalen Netzwerks Mailserver vorhanden sind, dann müssen die MX-Einträge oder Parameter für die Weiterleitung auf den Hauptserver verweisen, nicht auf den sekundären Server.
Konfiguration des primären Filters (MX1):
Name des Hosts, auf dem der Filter installiert ist:
mx1.yourhost.domain;
Name des Hosts zum Senden der Mail: mx2.yourhost.domain:25.
Konfiguration des sekundären Filters (MX2):
Name des Hosts, auf dem der Filter installiert ist:
mx2.yourhost.domain;
19 Kaspersky Anti-Virus
Name des Hosts, von dem Mail empfangen wird: mx1.yourhost.domain.
®
for Linux, FreeBSD and OpenBSD Mail Servers
2.5. Filterung der Mail aus externen Mailboxen
Heutzutage sind externe Mailboxen auf Servern wie www.mail.ru, www.gmx.de, www.hotmail.com u.a. weit verbreitet.
Wie kann beim Herunterladen infizierter Mail-Nachrichten aus solchen Mailboxen eine Infektion verhindert werden? Tatsächlich wird solche Mail über das POP3­Protokoll zugestellt, aber Kaspersky Anti-Virus SMTP-Protokoll.
Zur Gewährleistung des Antivirenschutzes von externer Mail sind folgende Maßnahmen erforderlich:
1. Schließen von Port 110. Den Benutzern wird einfacher Zugriff auf die externe Mail gegeben, und die Arbeit des Gateway wird mit Hilfe des Pakets fetchmail als Proxyserver für POP3 organisiert. Dieses Paket lädt Mail-Nachrichten von externen Servern herunter und sendet sie an den lokalen SMTP-Port weiter. Nach dem Eingang auf dem SMTP-Port werden sie von Kaspersky Anti-Virus
Für die Filterung der Mails von externen Mailboxen sind ein lokaler SMTP-Server und ein lokales Benutzerkonto auf dem Computer erforderlich, auf dem das Paket fetchmail installiert ist!
Die Konfiguration von fetchmail ist sehr einfach: Im Verzeichnis $HOME jedes Benutzers existiert die Datei .fetcmailrc, die mindestens folgende Zeilen enthält:
set postmaster "user"
set bouncemail
set no spambounce
set properties ""
poll mail.that.is.free.ru with proto POP3
user 'remote_user' there with password 'pass12345' is 'user' here
poll mail2.that.is.free.ru with proto POP3
user 'remote_user2' there with password 'pass123452' is 'user' here
®
untersucht nur Mailverkehr nach
®
bearbeitet.
Typische Einsatzmöglichkeiten des Produkts 20
wobei:
user – Benutzername im lokalen Netzwerk;
mail.that.is.free.ru und mail2.that.is.free.ru – Name der Hosts,
von denen Mail abgeholt werden soll;
remote_user und remote_user2 – Benutzernamen auf den
Hosts mail.that.is.free.ru und mail2.that.is.free.ru;
pass12345 und pass123452 – Kennwörter für die
Benutzernamen remote_user und remote_user2.
Mit diesen Einstellungen holt das Programm fetchmail von den Hosts mail.that.is.free.ru und mail2.that.is.free.ru Mail-Nachrichten ab und sendet sie für den Benutzer user an das lokale SMTP. Dabei bleiben die Felder der Mail-Nachricht (von, an usw.) unverändert. Von fetchmail wird lediglich ein zusätzlicher Header received hinzugefügt. Der Benutzer erhält die Briefe in der gleichen Form wie beim Empfang auf herkömmliche Weise.
2. Angabe des Befehls fetchamail im crontab des Benutzers zum Start z.B. alle 10-15 Minuten.
Zur Automatisierung des Konfigurationsprozesses des Programms fetchmail für andere Benutzer, die externe Mailboxen verwenden, werden folgende Daten benötigt:
Name des externen Hosts, von dem fetchmail Mails abholen soll;
Benutzername auf dem externen Host;
Kennwort für den Benutzernamen.
Außerdem muss im Home-Verzeichnis jedes Benutzers die Datei .fetchmailrc mit folgendem Inhalt vorhanden sein:
set postmaster "user"
set bouncemail
set no spambounce
set properties ""
Folgende Skriptdatei dient dem Hinzufügen von Einträgen über Mailboxen:
#!/bin/bash
echo "poll $1 with proto POP3 " >>$HOME/.fetchmailrc
echo "user '$2' with password '$3' is '$4' here">>$HOME/.fetchmailrc
21 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Wenn diese Skriptdatei mit folgenden Parametern gestartet wird: pop.mail.ru, dan, secret, admin, dann werden Briefe für den Empfänger dan@mail.ru an die Adresse admin@your_host.your_domain weitergeleitet.
Kapitel 3. Installation von
Kaspersky Anti-Virus®
Wir empfehlen Ihnen, vor dem Beginn der Installation von Kaspersky Anti-Virus® for Unix Mail Servers Ihr System folgendermaßen vorzubereiten:
Stellen Sie sicher, dass das System den Hardware- und Software­voraussetzungen für die Installation von Kaspersky Anti-Virus (s. Pkt. 1.2 auf S. 5). Sollten bestimmte Anwendungen nicht installiert sein, dann wird deren Installation empfohlen. Andernfalls ergeben sich Einschränkungen der Anwendungsfunktionalität.
Anfertigen von Sicherheitskopien der Konfigurationsdateien des Mailsystems, das auf Ihrem Server installiert ist.
Konfiguration der Internetverbindung.
Beenden der Arbeit des Mailservers, in das die Integration von
Kaspersky Anti-Virus geplant ist.
Anmeldung am System als Benutzer root.
Es wird empfohlen, die Installation des Produkts außerhalb der Arbeitszeiten oder dann durchzuführen, wenn der Mailverkehr möglichst gering ist!
®
entspricht
3.1. Installation der Anwendung auf einem Linux-Server
Kaspersky Anti-Virus wird in drei Installationsvarianten geliefert: rpm, deb oder tar.gz. Verwenden Sie diese abhängig von der Distribution des Betriebssystems.
Um die Installation von Kaspersky Anti-Virus aus dem rpm-Paket zu starten, geben Sie in der Befehlszeile ein:
rpm –i <Name_der_Distributionsdatei>
Um die Installation von Kaspersky Anti-Virus aus dem deb-Paket zu starten, geben Sie in der Befehlszeile ein:
23 Kaspersky Anti-Virus
dpkg –i <Name_der_Distributionsdatei>
Außerdem können Sie die für alle Linux-Betriebssysteme einheitliche Standarddistribution verwenden. Diese Variante kann benutzt werden, wenn die entsprechende Linux-Distribution von den Formaten rpm oder deb nicht unterstützt wird (z.B. Slackware) oder wenn der Administrator den integrierten Paket-Manager nicht verwendet.
Die universale Distribution von Kaspersky Anti-Virus wird als Archiv geliefert. Das Archiv enthält einen Verzeichnisbaum der Distributionsdateien und das Installationsskript install.sh, das die Installation vornimmt.
Um die Installation von Kaspersky Anti-Virus auf dem Server zu starten, sind folgende Aktionen erforderlich:
1. Kopieren des Distributionsarchivs in einen Ordner des Serverdateisystems und entpacken des Archivs.
®
for Linux, FreeBSD and OpenBSD Mail Servers
2. Starten des Installationsskripts:
install.sh.
3.2. Installation der Anwendung auf einem FreeBSD- oder OpenBSD­Server
Für Server, die mit dem Betriebssystem FreeBSD oder OpenBSD arbeiten, wird die Distribution von Kaspersky Anti-Virus als pkg-Paket geliefert.
Um die Installation von Kaspersky Anti-Virus aus dem pkg-Paket zu starten, geben Sie in der Befehlszeile ein:
pkg_add <Paketname>
3.3. Installationsprozess
Aus bestimmten Gründen kann der Installationsprozess mit einem Fehlercode abgeschlossen werden. Vergewissern Sie sich in diesem Fall, ob Ihr Computer die Hardware- und Softwarevoraussetzungen (s. Pkt. 1.2 auf S. 7) erfüllt und ob die Anmeldung am System mit den Rechten des Benutzers root erfolgte.
Die Installation der Anwendung auf einem Server umfasst folgende Etappen:
1. Kopieren der Distributionsdateien auf den Server.
Installation von Kaspersky Anti-Virus 24
2. Installation des Lizenzschlüssels.
Wenn kein Lizenzschlüssel installiert ist, wird der Konfigurationsprozess nicht ausgeführt und die Arbeit mit der Anwendung ist nicht möglich. Sollte der Lizenzschlüssel vorübergehend nicht vorhanden sein (z.B. wenn die Anwendung über das Internet erworben wurde und der Lizenzschlüssel noch nicht per E-Mail eingetroffen ist), dann kann er nach dem Installationsprozess, direkt vor dem Beginn der Arbeit mit der Anwendung installiert werden.
3. Konfiguration der Komponente keepup2date.
4. Installation (Update) der Antiviren-Datenbanken.
Denken Sie daran, die Antiviren-Datenbanken zu installieren, bevor Sie mit der Verwendung der Anwendung beginnen. Die Suche und Desinfektion von Viren basiert auf den Einträgen der Antiviren­Datenbanken, die eine Beschreibung aller momentan bekannten Viren und Methoden zur Desinfektion infizierter Objekte enthalten. Ohne Antiviren-Datenbanken sind Untersuchung und Bearbeitung von Dateien nicht möglich!
Beachten Sie, dass die automatische Konfiguration der Anwendung nicht ausgeführt wird, wenn die Antiviren-Datenbanken nicht installiert werden.
5. Installation des Moduls Webmin.
Das Modul zur entfernten Verwaltung zum Paket Webmin wird nur unter der Bedingung installiert, dass sich Webmin im standardmäßigen Ordner befindet. Nach der Installation des Moduls erfolgen entsprechende Empfehlungen zur Konfiguration der gemeinsamen Arbeit mit der Anwendung.
3.4. Konfiguration der Anwendung
Direkt nachdem das Kopieren der Distributionsdateien auf den Server abgeschlossen wurde, wird die Systemkonfiguration ausgeführt. Abhängig vom Paket-Manager wird die Konfigurationsetappe entweder automatisch gestartet oder (wenn der Paket-Manager die Verwendung interaktiver Skripts nicht zulässt, z.B. rpm) der Benutzer wird zu bestimmten zusätzlichen Aktionen aufgefordert. In diesem Fall erscheinen entsprechende Meldungen auf dem Bildschirm.
Der Prozess zur Konfiguration der Anwendung umfasst:
Suche nach dem installierten Mailserver und Überprüfung seiner Version auf Übereinstimmung mit den Softwarevoraussetzungen.
Suche und Anpassen der Konfigurationsdatei des Mailservers.
25 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Wen bei der Systemkonfiguration bestimmte Zusatzangaben notwendig sind (beispielsweise der Pfad der Konfigurationsdatei des Mailservers), dann werden entsprechende Anfragen auf der Serverkonsole angezeigt. Bei inkorrekten Antworten wird der Konfigurationsprozess abgebrochen.
Wenn alle oben beschriebenen Konfigurationsschritte erfolgreich abgeschlossen wurden, ist die Anwendung zur Arbeit bereit und es erfolgen keine zusätzlichen Meldungen. Die Konfigurationsdatei, die zum Lieferumfang der Anwendung gehört, enthält alle für den Beginn der Arbeit erforderlichen Parameter.
Vergessen Sie nicht, den Mailserver neu zu starten, bevor die Arbeit beginnt.
Kapitel 4. Konfiguration nach
der Installation
Während des Installationsprozesses erfolgt eine Analyse des Systems, auf dem Kaspersky Anti-Virus werden automatisch festgelegt. Für eine Reihe von Parametern der Konfigu­rationsdatei des Produkts wurden Standardwerte gewählt, welche die Arbeit mit Anti-Virus möglichst komfortabel gestalten (s. Pkt. 4.1 auf S. 26).
Es wird empfohlen, vor Beginn der Arbeit mit dem Produkt die Antiviren­Datenbanken zu installieren oder zu aktualisieren, falls dies nicht bereits während der Installation erfolgte, und die Serverdateisysteme auf das Vorhandensein von Viren zu scannen!
Vor Beginn der Arbeit mit dem Produkt sind allerdings noch folgende Aktionen erforderlich:
Integration von Kaspersky Anti-Virus Server installiert ist.
Erstellen einer Liste der lizenzierten Benutzer, deren eingehende und ausgehende Mail auf Viren analysiert und desinfiziert wird.
Außerdem wird empfohlen, die gemeinsame Arbeit von Kaspersky Anti-Virus mit dem Paket Webmin zu konfigurieren.
In diesem Kapitel beschreiben wir, welche Einstellungen für Kaspersky Anti-
®
Virus
als Standard gelten, und erläutern die für die Arbeit mit dem Produkt erfor-
derliche Konfiguration.
In den folgenden Beispielen werden die für Linux-Distributionen gültigen Dateipfade verwendet.
®
installiert wird, und bestimmte Konfigurationsparameter
®
in das Mailsystem, das auf Ihrem
®
4.1. Standardeinstellungen des Produkts
Alle Funktionsparameter von Kaspersky Anti-Virus® for Unix Mail Servers sind in der Datei kav4mailservers.conf gespeichert. Dies ist die standardmäßig verwen­dete Konfigurationsdatei.
27 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Sie können eigene Konfigurationsdateien anlegen und diese sowohl beim Ausführen einer aktuellen Aufgabe wie auch als Standard­Konfigurationsdatei verwenden.
Betrachten wir genauer, welche Parameter in dieser Datei als Standard gelten. Ausgehend von den Angaben dieses Abschnitts können Sie feststellen, ob zur optimalen Anpassung an die Anforderungen Ihres Unternehmens eine zusätzliche Konfiguration von Kaspersky Anti-Virus
®
erforderlich ist (s. Kapitel 6
auf S. 62).
ANTIVIRENSCHUTZ VON SERVERDATEISYSTEMEN
®
In der Grundeinstellung ist Kaspersky Anti-Virus
so konfiguriert, dass beim Start der entsprechenden Komponente (kavscanner) ohne zusätzliche Befehlszeilenparameter die Antivirenuntersuchung der Verzeichnisse und Dateisysteme des Servers erfolgt, wobei mit dem aktuellen Verzeichnis begonnen wird.
Beim Fund von infizierten, verdächtigen oder beschädigten Dateien werden entsprechende Meldungen auf der Konsole und in der Protokolldatei angezeigt.
Beachten Sie, dass IN DER GRUNDEINSTELLUNG DIE DESINFEKTION von gefundenen infizierten Dateien NICHT durchgeführt wird!
ANTIVIRENSCHUTZ DES SERVERMAILVERKEHRS
Der Antivirenschutz des Mailverkehrs ist vor der Integration von Kaspersky Anti-Virus erörtern hier die nach der Integration für die Funktion des
®
in das Mailsystem NICHT MÖGLICH. Wir
Produkts als Standard gültigen Einstellungen.
Der Abschnitt [smtpscan.group:default] der Konfigurationsdatei kav4mailservers.conf definiert das Vorhandensein der Gruppe default, die für alle zu schützenden Benutzer des Mailservers gilt. In dieser Gruppe werden folgende Regeln für die Antivirenuntersuchung und ­bearbeitung des Mailverkehrs festgelegt:
Untersuchung von eingehenden und ausgehenden Mail-
Nachrichten.
Beim Fund von infizierten Mail-Nachrichten erfolgt deren
Desinfektion.
Desinfizierte Mail-Nachrichten werden den Adressaten und dem Gruppenadministrator (postmaster@localhost) zugestellt, wobei sie zusätzliche Benachrichtigungen darüber enthalten, dass die Nachrichten durch Viren infiziert waren und erfolgreich
Konfiguration nach der Installation 28
desinfiziert wurden. Entsprechende Benachrichtigungen werden auch an die Absender der Nachrichten gesandt.
Wenn die Desinfektion einer Nachricht unmöglich ist, wird diese gelöscht und an Absender, Gruppenadministrator und Empfän­ger wird eine entsprechende Benachrichtigung geschickt.
Alle Benachrichtigungen, welche die Untersuchung von Mail-Nachrichten, deren Desinfektion und sonstige die Mail betreffende Aktionen (Löschen, Verschieben nach Quarantäne usw.) betreffen, werden in der Grundeinstellung von der Adresse MAILER-DAEMON@localhost abgesandt.
Wenn während der Antivirenanalyse des Mailverkehrs
verdächtige, beschädigte oder durch Kennwort geschützte Dateien, sowie Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat, gefunden werden, dann werden diese gelöscht. An Absender, Gruppenadministrator und Empfänger werden entsprechende Benachrichtigungen geschickt.
Alle Aktionen des Programms werden in einer Protokolldatei
aufgezeichnet.
Beachten Sie, dass der Prozess aveserver gestartet sein muss, damit die Antivirenuntersuchung des Mailverkehrs von der Anwendung durchgeführt werden kann. Wenn der Prozess nicht gestartet wurde, wird die gesamte eingehende Mail in der Warteschlange zur Untersuchung und Bearbeitung gespeichert. Informationen darüber werden in der Log-Datei der Anwendung aufgezeichnet. Details über die Arbeit des Prozesses aveserver s. Pkt. 6.3 auf S. 74.
4.2. Installation / Aktualisierung der Antiviren-Datenbanken
Wir empfehlen, unmittelbar nach der Installation des Produkts auf dem Server die Antiviren-Datenbanken zu installieren/aktualisieren.
Starten Sie dazu die Komponente keepup2date. Geben Sie in der Befehlszeile ein:
/Pfad/von/keepup2date
Die Antiviren-Datenbanken werden von den Updateservern von Kaspersky Lab kopiert und in einem speziellen Verzeichnis gespeichert, das in der Konfigu­rationsdatei festgelegt ist.
29 Kaspersky Anti-Virus
Wir empfehlen Ihnen, die Antiviren-Datenbanken TÄGLICH zu aktuali­sieren, weil jeden Tag neue Viren auftauchen und die Gewährleistung der Aktualität des Produkts erforderlich ist. Zu Details über die Vari­anten zur Organisation von Updates s. Pkt. 5.1.1 - 5.1.4 auf S. 35 - 39.
®
for Linux, FreeBSD and OpenBSD Mail Servers
4.3. Konfiguration der gemeinsamen Arbeit mit Webmin
Wird die Remote-Administration von Kaspersky Anti-Virus® beabsichtigt, dann ist die Konfiguration der Zusammenarbeit mit dem Paket Webmin zu empfehlen.
Mit den Werkzeugen von Webmin kann beispielsweise die Kontrolle der Zugriffs­rechte auf das Programm und die Organisation des Systems der Benutzer­kennwörter vorgenommen werden (Details über die Konfiguration des Programms Webmin s. Dokumentation des betreffenden Produkts).
In der Grundeinstellung werden alle Einstellungen, die mit Hilfe des Programms Webmin vorgenommen wurden, in der Datei kav4mailservers.conf gespeichert, die als Standard verwendet wird.
Wenn Sie mit Hilfe des Programms Webmin eine alternative Konfigurationsdatei anlegen wollen:
Die Daten aus der bereits vorhandenen Konfigurationsdatei in eine neue Datei kopieren, die unter einem anderen Namen gespeichert werden muss. Danach können die erforderlichen Änderungen der neuen (alternativen) Konfigurationsdatei entsprechend Ihrer Aufgaben erfolgen.
Geben Sie den Namen der alternativen Konfigurationsdatei auf der Registerkarte Configuration im Eingabefeld des Parameters Full path to KAV config an.
4.4. Manuelle Integration des Produkts in Mailsysteme
Der unten beschriebene Prozess ist aktuell, wenn die Integration bei der Installation nicht automatisch ausgeführt wurde (wenn das Skript setup.sh NICHT VERWENDET WURDE).
Der manuelle Integrationsprozess umfasst drei Etappen:
Konfiguration nach der Installation 30
1. Ändern der Konfiguration des Mailsystems für die gemeinsame Arbeit mit Anti-Virus.
2. Eintragen von Änderungen, welche die Arbeit mit dem Mailsystem betreffen, in der Konfiguration von Kaspersky Anti-Virus
®
.
3. Start des Mailsystems mit der neuen Konfiguration.
Die Benutzerkonten, die für Start und Arbeit des Mailsystems verwendet werden, müssen über die Berechtigung zum Lesen der Konfigurationsdateien des entsprechenden Mailsystems verfügen.
Betrachten wir die manuelle Integration von Kaspersky Anti-Virus
®
mit den
Mailsystemen genauer.
4.4.1. Integration in das Mailsystem sendmail
Um Kaspersky Anti-Virus
®
in das Mailsystem sendmail zu integrieren,
1. Korrigieren Sie Regel 98 in der bei der Installation erstellten Datei sendmail.cf.listen auf folgende Weise:
SParseLocal=98
R$* $#smtpscanner[Tabulatorsymbol]$@ $1 $: $1
2. Geben Sie in dieser Datei die Beschreibung von smtpscanner an.
Msmtpscan, P=/opt/kav/bin/smtpscanner, F=PCXmnz9, S=EnvFromSMTP, R=EnvToSMTP, E=\r\n, L=2040,
T=SMTP,
A=smtpscanner
®
3. Konfigurieren Sie Kaspersky Anti-Virus
auf die erforderliche Weise
(s. Pkt. 4.4.5 auf S. 33).
4. Fügen Sie den Start-up-Skripts für Prozesse der zwei folgenden Prozesse hinzu:
/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen
/usr/sbin/sendmail –q10m –C /etc/mail/sendmail.cf
Wenn Sie das Mailsystem sendmail Version 8.12 oder höher in der Konfiguration submit.cf verwenden, fügen Sie den Start-up-Skripts die drei folgenden Prozesse hinzu:
31 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen
/usr/sbin/sendmail -q10m
-C /etc/mail/sendmail.cf
/usr/sbin/sendmail –q10m –C /etc/mail/submit.cf
4.4.2. Integration in das Mailsystem qmail
Bei der Integration in das Mailsystem qmail wird das Programm qmail-queue durch die Komponente smtpscanner von Kaspersky Anti-Virus
®
ersetzt. Um Nachrichten zu versenden und in die Warteschlange einzuordnen, ruft smtpscanner das Originalprogramm qmail-queue auf.
Um Kaspersky Anti-Virus
®
in das Mailsystem qmail zu integrieren,
1. Benennen Sie im Ordner /var/qmail/bin/ die Datei qmail-queue in
qmail-que um.
2. Kopieren Sie die Datei qmail-queue aus dem Verzeichnis
/opt/kav/bin/smtpscanner/ in das Verzeichnis /var/qmail/bin oder
erstellen Sie eine symbolische Verknüpfung mit dieser Datei.
3. Legen Sie folgende Zugriffsrechte für die Dateien qmail-queue und qmail-que fest:
16 -rws—x—x 1 qmailq qmail 12688 Mar 24 13:56 qmail-que 316 –rwx—x—x 1 qmailq qmail 315612 Apr 14 11:29 qmail-queue
4. Konfigurieren Sie Kaspersky Anti-Virus® auf die erforderliche Weise (s. Pkt. 4.4.5 auf S. 33).
5. Starten Sie das Mailsystem neu.
Wenn im Mailsystem Qmail die Utility softlimit verwendet wird, muss darin die Größe des verfügbaren Speichers erhöht werden (oder die Größenbeschränkung deaktiviert werden). Andernfalls kann es bei der Untersuchung voluminöser E-Mail-Nachrichten zu Schwierigkeiten kommen.
Konfiguration nach der Installation 32
4.4.3. Integration in das Mailsystem Postfix
Um Kaspersky Anti-Virus
1. Überprüfen Sie die Versionsnummer Ihres Postfix-Mailsystems. Die Version muss neuer sein als andernfalls eine neue Version von der Web-Seite des Programms
Postfix herunter (www.postfix.org
2. Fügen Sie der Konfigurationsdatei main.cf des Mailsystem Postfix folgende Zeile hinzu:
content_filter = lmtp:localhost:10025
3. Fügen Sie der Konfigurationsdatei master.cf des Mailsystem
Postfix folgende Zeilen hinzu:
localhost:10025 inet n n n ­ 10 spawn user=filter
argv=/opt/kav/bin/smtpscanner
localhost:10026 inet n - n -
®
in das Mailsystem Postfix zu integrieren,
snapshot_20000529. Laden Sie
).
10 smtpd -o content_filter= -o
myhostname=localhost
4. Legen Sie den Benutzer filter filter auf und legen Sie ein Home-Verzeichnis für ihn an
mkdir /var/spool/filter
groupadd filter
useradd filter –s /bin/false –d /var/spool/filter –g filter
chown filter.filter /var/spool/filter
5. Konfigurieren Sie Kaspersky Anti-Virus® auf die erforderliche Weise (s. Pkt. 4.4.5 auf S. 33).
6. Starten Sie das Mailsystem neu.
an, nehmen Sie ihn in die Gruppe
:
4.4.4. Integration in das Mailsystem Exim
Um Kaspersky Anti-Virus
1. Kopieren Sie die Konfigurationsdatei (z.B. exim.conf) in die Datei exim.conf.listen.
2. Korrigieren Sie die Datei exim.conf:
®
in das Mailsystem Exim zu integrieren,
33 Kaspersky Anti-Virus
Fügen Sie dem Abschnitt TRANSPORT CONFIGURATION folgende Zeilen hinzu:
kav_lmtp_transport: driver = lmtp command = /opt/kav/bin/smtpscanner
Legen Sie im Abschnitt ROUTERS CONFIGURATION die Parameter für die lokale Mailzustellung fest:
localuser: driver=accept transport=kav_lmtp_transport
Geben Sie die Parameter für die Remote-Mailzustellung an:
lookuphost: driver=dnslookup transport=kav_lmtp_transport
3. Konfigurieren Sie Kaspersky Anti-Virus Weise (s. Pkt. 4.4.5 auf S. 33).
4. Fügen Sie den Start-up-Skripts für Prozesse die zwei folgenden Prozesse hinzu:
exim -q10m -bd –C /etc/exim/exim.conf.listen exim -q10m –C /etc/exim/exim.conf
Wenn Sie die Komponente smtpscanner von einem anderen Benutzerkonto aus starten wollen, kompilieren Sie das Mailsystem Exim mit den definierten Variablen EXIM_GID und EXIM_UID (Details s. Dokumentation des Mailsystems Exim).
®
for Linux, FreeBSD and OpenBSD Mail Servers
®
auf die erforderliche
4.4.5. Konfiguration von Kaspersky Anti­Virus
®
zur Integration in das
Mailsystem
Ein wesentlicher Bestandteil der Integration von Kaspersky Anti-Virus® in das Mailsystem besteht in der Konfiguration des Antivirenprogramms.
Die Konfiguration kann direkt in der Konfigurationsdatei des Programms oder im Remote-Modus mit Hilfe des Pakets Webmin erfolgen.
®
Um Kaspersky Anti-Virus konfigurieren:
Nehmen Sie in der Konfigurationsdatei von Kaspersky Anti-Virus folgende Einstellungen vor:
für die Arbeit mit dem Mailsystem zu
®
Konfiguration nach der Installation 34
Geben Sie die Adresse an, von der aus Benachrichtigungen
versandt werden:
NotifyFromAddress=admin@yourhostname.ru
Legen Sie im Abschnitt [smtpscan.general] einen ID für das
Mailsystem fest. Der ID des Mailsystems hat folgende Struktur:
Protokoll:Host:Port
, wobei:
Protokoll – Name des Protokolls, nach dem der Mailtransfer
erfolgt (
smtp oder lmtp);
Host – Name oder IP-Adresse des Hosts, von dem aus die Mail
versandt wird, oder Name des Mailprogramms;
Wählen Sie das Protokoll aus (LMTP oder SMTP).
Der Name des Mailprogramms wird in runden Klammern angegeben und kann beliebige Parameter enthalten.
Port – Portnummer (Standardwert: Port 25).
Die Zeile kann z.B. folgendes Aussehen besitzen:
smtp:localhost.tu:1100 oder lmtp:(local.mail –l)
Für sendmail
Für qmail:
Für postfix:
Für exim
:
ForwardMailer=smtp:(/usr/sbin/sendmail –bs –C /etc/mail/sendmail.cf
ForwardMailer=qmail:(/var/qmail/bin/qmail­que)
ForwardMailer=smtp:localhost:10026
:
ForwardMailer=smtp:(exim –bs
-C/etc/exim/exim.conf)
)
Geben Sie für die Benutzergruppe im Abschnitt
[smtpscan.group:default] der Konfigurationsdatei an:
AdminAddress=admin@yourhostname.ru
AdminNotify=yes
Legen Sie im Abschnitt [smtpscan.limits] die maximale
Wartezeit (in Sekunden) für eine Antwort des Prozesses aveserver zum Ausführen einer Operation fest. Zum Beispiel:
MaxCheckTime=60
Kapitel 5. Arbeit mit Kaspersky
Anti-Virus®
Mit Kaspersky Anti-Virus® können Sie den vollständigen Antivirenschutz Ihres Servers organisieren: von einer einzelnen Datei, die auf dem Server gespeichert ist, bis zum eingehenden und ausgehenden Mailverkehr, einschließlich der Mails von externen Mailboxen.
Die Funktionalität des Produkts unterstützt den Administrator bei unter­schiedlichen Aufgaben. Alle mit Hilfe von Kaspersky Anti-Virus Aufgaben können in drei Gruppen unterteilt werden:
1. Aktualisierung der Antiviren-Datenbanken, die zur Suche von Viren und Desinfektion infizierter Objekte verwendet werden.
2. Antivirenschutz des Servermailverkehrs.
3. Antivirenschutz der Serverdateisysteme.
Jede Gruppe umfasst konkrete Aufgaben, die eine bestimmte Funktionalität des Produkts realisieren. In diesem Kapitel betrachten wir die aktuellsten Aufgaben. Im Rahmen eines konkreten Unternehmens kann der Administrator diese kombinieren und komplexer gestalten.
Wo dies möglich ist, werden Konfiguration und Start einer Aufgabe sowohl lokal aus der Befehlszeile als auch im Remote-Modus über das Programm Webmin beschrieben.
®
realisierbaren
In allen unten angeführten Aufgaben wird davon ausgegangen, dass der Administrator die nach der Installation erforderliche Konfiguration vorgenommen hat (s. Kapitel 4 auf S. 26).
Vor dem Start von Aufgaben, die mit der Antivirenuntersuchung von Mail verbunden sind, ist der Start des Prozesses aveserver erforderlich, falls dieser nicht beim Start des Betriebssystems geladen wurde.
5.1. Aktualisierung der Antiviren­Datenbanken
Ein obligatorischer Faktor des umfassenden Antivirenschutzes ist die Aktualisierung der Antiviren-Datenbanken. Als Quelle für die Updates der Antiviren-Datenbanken, die von Kaspersky Anti-Virus® während des Such- und
Arbeit mit Kaspersky Anti-Virus 36
Desinfektionsprozesses infizierter Dateien verwendet werden, dienen die Updateserver von Kaspersky Lab. Zum Beispiel:
http://downloads1.kaspersky-labs.com/updates/ http://downloads2.kaspersky-labs.com/updates/ ftp://downloads1.kaspersky-labs.com/updates/
Eine Liste der Adressen, von denen die Updates kopiert werden können, befindet sich in der Datei updcfg.xml, die zum Lieferumfang der Anwendung gehört. Diese Liste wird in bestimmten Zeitabständen automatisch aktualisiert.
Es ist unzulässig, die Datei updcfg.xml selbständig zu ändern!
Bei der Aktualisierung greift die Komponente keepup2date auf diese Liste zu, wählt eine Adresse und versucht, die Antiviren-Datenbanken vom Server herunterzuladen. Wenn die Aktualisierung von der gewählten Adresse erfolglos ist, wendet sich das Programm an die folgende Adresse und versucht erneut, die Datenbanken zu aktualisieren. Nach dem erfolgreichen Update erfolgt standardmäßig der automatische Neustart der Anwendung (Parameter PostUpdateCmd des Abschnitts [updater.options]).
Alle Einstellungen der Komponente keepup2date befinden sich in den Optionen [updater.*] der Konfigurationsdatei kav4mailservers.conf.
Wenn die Struktur Ihres lokalen Netzwerks eine gewisse Komplexität aufweist, wird empfohlen, die Updates von den Updateservern herunterzuladen, in einem bestimmten Netzwerkordner zu speichern und für die lokalen Computer den Download der Datenbanken aus diesem Ordner festzulegen.
und andere.
Es wird nachdrücklich empfohlen, die Antiviren-Datenbanken stündlich zu aktualisieren.
Die Aktualisierung lässt sich mit Hilfe des Programms cron nach Zeitplan (s. Pkt. 5.1.1 auf S. 36) organisieren oder wird auf Befehl des Administrators aus der Befehlszeile ausgeführt (s. Pkt. 5.1.4 auf S. 39).
5.1.1. Komponente zum Update der
Antiviren-Datenbanken
Beachten Sie, dass die Komponente zum Update der Antiviren­Datenbanken keepup2date eine Neuentwicklung ist, welche die Komponente kavupdater ersetzt!
keepup2date
37 Kaspersky Anti-Virus
In Version 5.5 von Kaspersky Anti-Virus wurde die Komponente zum Update
der Antiviren-Datenbanken ersetzt. In der neuen Komponente wurde eine Reihe bereits vorhandener Funktionen optimiert und neue Optionen wurden hinzugefügt:
Option zur automatischen Auswahl des geographisch nächsten Updateservers, basierend auf der in der Konfigurationsdatei angegebenen Region.
Download und Installation inkrementeller Updates beim Erscheinen eines kumulativen Updates. Dadurch können Netzwerkressourcen eingespart werden.
Wenn die Verbindung während des Kopierens der Antiviren-Datenbanken getrennt wird oder nach dem Wiederherstellen der Verbindung der Updateserver gewechselt wird, lädt die Komponente automatisch den verbleibenden Teil der Antiviren-Datenbanken herunter und beginnt den Download nicht von vorne.
Erneutes Laden der Antiviren-Datenbanken sofort nach dem erfolgreichen Update.
Unterstützung der Option für die Rückkehr zu der vorigen Version der Antiviren-Datenbanken (rollbacks);
Für die Arbeit der neuen Komponente ist das Programm wget nicht erforderlich;
Zur Durchführung von lokalen Updates aus einem Netzwerkordner können Ordner dienen, die sich auf einem Samba-Server oder auf einem Computer mit dem Betriebssystem Microsoft Windows befinden.
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.1.2.
Verbunden mit den Änderungen der Update-Komponente werden einige Optionen der Konfigurationsdatei, die für die Komponente kavupdater spezifisch waren, nicht mehr verwendet. Es wird empfohlen, alle genannten Optionen manuell aus der Konfigurationsdatei zu entfernen. Sollten die darin enthaltenen Daten von Bedeutung sein (z.B. Adresse des Proxyservers), dann müssen diese Werte in die neuen Abschnitte der Komponente übertragen werden.
Empfohlene Einstellungen der
Komponente
Folgende Optionen werden nicht mehr verwendet und sind aus der Konfigurationsdatei der Anwendung im Abschnitt [updater.options] zu löschen:
keepup2date
Arbeit mit Kaspersky Anti-Virus 38
RandomServerOrder – Diese Option wurde aufgrund des veränderten
Vorgehens zur Serverauswahl ausgeschlossen.
ReloadApplication – Diese Option wurde durch eine umfassendere Option
ersetzt (Ausführung des Skripts PostUpdateCmd
).
ExtraWgetOptions – Das externe Programm wget wird nicht mehr
verwendet.
ShowExternalCmdOutput – Externe Befehle werden nicht mehr ausgeführt.
Außerdem wird die Option UpdateServersFile im Abschnitt [path] nicht mehr verwendet, weil die Liste der Server nun dynamisch aktualisiert wird.
Das Update der Antiviren-Datenbanken kann auf unterschiedliche Weise erfolgen:
Um das Update der Antiviren-Datenbanken von einem der Kaspersky­Lab-Updateserver zu konfigurieren, deren Adressen in der Liste der Komponente keepup2date enthalten sind:
Geben Sie für den Parameter UseUpdateServerUrl im Abschnitt [updater.options] den Wert No an.
Um das Update der Antiviren-Datenbanken von einer benutzerdefinierten Adresse zu konfigurieren, bei Fehlschlag aber den Updateprozess abzubrechen:
Geben Sie für die Parameter UseUpdateServerUrl und UseUpdateServerUrlOnly im Abschnitt [updater.options] den Wert Yes an. Außerdem muss der Parameter UpdateServerUrl die Adresse
des Updateservers enthalten.
Um das Update der Antiviren-Datenbanken von einer benutzerdefinierten Adresse zu konfigurieren, bei Fehlschlag aber die Datenbanken von einer Adresse zu aktualisieren, die in der Updateserver-Liste der Komponente enthalten ist:
Geben Sie für den Parameter UseUpdateServerUrl im Abschnitt [updater.options] den Wert Yes an, und für den Parameter UseUpdateServerUrlOnly den Wert No. Außerdem muss der Parameter UpdateServerUrl die Adresse des Updateservers enthalten.
39 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.1.3. Planung von Updates der Antiviren­Datenbanken mit Hilfe von cron
Sie können die regelmäßige automatische Aktualisierung der Antiviren-Daten­banken mit Hilfe des Programms cron planen.
Aufgabe: Festlegen der automatischen Aktualisierung der Antiviren­Datenbanken im Drei-Stunden-Takt. Festlegen der zufälligen Auswahl des Updateservers. Aktivieren des Modus für den automatischen Neustart des Prozesses aveserver sofort nach der Aktualisierung der Datenbanken. Im Systemprotokoll sollen nur Fehler beim Update aufgezeichnet werden. In einem allgemeinen Protokoll werden alle Taskstarts aufgezeichnet. Auf der Konsole werden keine Informationen angezeigt.
Lösung
1. Legen Sie in der Konfigurationsdatei der Anwendung die
2. Ändern Sie die Datei, welche die Regeln für die Arbeit des
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
entsprechenden Parameterwerte fest:
[updater.options]
KeepSilent=yes
[updater.report]
Append=yes
ReportLevel=1
Prozesses cron (
0 * 3/3 * * * /opt/kav/5.5/kav4mailservers /bin/keepup2date
crontab –e) festlegt. Geben Sie folgende Zeile ein:
5.1.4. Einmalige Aktualisierung der Antiviren-Datenbanken
Die Aktualisierung der Antiviren-Datenbanken kann jederzeit aus der Befehlszeile gestartet werden.
Aufgabe: Start der Aktualisierung der Antiviren-Datenbanken, Speichern der Arbeitsergebnisse in der Datei /tmp/updatesreport.log.
Lösung
: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:
Arbeit mit Kaspersky Anti-Virus 40
keepup2date –l /tmp/updatesreport.log
Ist es erforderlich, die Antiviren-Datenbanken auf mehreren Computern zu aktualisieren, dann bietet sich an, anstelle des mehrmaligen Downloads der Datenbanken aus dem Internet, die Datenbanken einmal von den Updateservern herunterzuladen, sie in einem bestimmten Verzeichnis zu speichern und die Datenbanken danach aus diesem Verzeichnis zu aktualisieren.
Aufgabe: Organisation der Aktualisierung der Antiviren-Datenbanken aus dem Netzwerkverzeichnis Verzeichnis nicht verfügbar oder leer ist, Aktualisierung von den
Kaspersky-Lab-Servern. Die Arbeitsergebnisse werden in einer Protokolldatei aufgezeichnet.
Lösung
1. Legen Sie in der Konfigurationsdatei der Anwendung die
2. Geben Sie in der Befehlszeile ein:
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
entsprechenden Parameterwerte fest:
[updater.options]
UpdateServerUrl=/home/bases
UseUpdateServerUrl=yes
UseUpdateServerUrlOnly=no (oder verwenden Sie den Parameter –g /home/bases)
keepup2date –l /tmp/report.txt
/home/bases, und wenn dieses
5.1.5. Erstellen eines Netzwerkordners zum Speichern und Kopieren der Antiviren-Datenbanken
Da die als Quelle für Updates der Antiviren-Datenbanken dienenden Kaspersky­Lab-Seiten eine komplexe Struktur aufweisen, muss bei der Konfiguration des Updates der lokalen Computer Ihres Netzwerks aus einem bestimmten Netzwerkordner eine analoge Dateistruktur erstellt werden
Aufgabe Datenbanken auf die lokalen Computer des Netzwerks kopiert werden.
Lösung
: Erstellen eines Netzwerkordners, aus dem die Antiviren-
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
41 Kaspersky Anti-Virus
1. Erstellen Sie einen lokalen Ordner.
2. Starten Sie die Komponente keepup2date auf folgende Weise:
keepup2date –u rdir
wobei rdir – vollständiger Pfad des erstellten Ordners.
3. Erlauben für die die lokalen Computer den Netzwerkzugriff auf diesen Ordner.
®
for Linux, FreeBSD and OpenBSD Mail Servers
Aufgabe einen Proxyserver.
Lösung
: Konfiguration des Updates der Antiviren-Datenbanken über
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Geben Sie im Abschnitt [updater.options] der Konfigurationsdatei
für den Parameter UseProxy den Wert Yes an.
2.
Vergewissern Sie sich, dass der Parameter ProxyAddress im Abschnitt des Proxyservers enthält. Die Adresse muss folgendes Format besitzen: http://username:password@ip_address:port. Dabei gelten die Werte ip_address und port als obligatorisch, username und password sind nur erforderlich, wenn die Autorisierung auf dem Proxyserver erforderlich ist.
oder:
[updater.options] der Konfigurationsdatei die Adresse
1. Geben Sie im Abschnitt [updater.options] der Konfigurationsdatei
für den Parameter UseProxy den Wert Yes an.
2. Legen Sie die Umgebungsvariable http_proxy im Format http://username:password@ip_address:port fest. Beachten Sie, dass die Variable nur dann berücksichtigt wird, wenn der Parameter UseProxy im Abschnitt [updater.options] fehlt oder den Wert Yes besitzt.
5.2. Antivirenschutz des Mailverkehrs des Servers
Die Antivirenfilterung des Mailverkehrs (eingehender und ausgehender Traffic, sowie Transit) ist die Hauptaufgabe von Kaspersky Anti-Virus und wird mit Hilfe der Komponente smtpscanner realisiert.
Arbeit mit Kaspersky Anti-Virus 42
Mit Hilfe von smtpscanner können Sie den Schutz Ihrer Benutzer vor infizierten Briefen gewährleisten und die Zustellung von virusfreien und desinfizierten Nachrichten mit Benachrichtigungen über die Untersuchungsergebnisse jedes Briefes organisieren.
Die Realisierung der sekundären Filterung nach den Typen angehängter Dateien erlaubt es, die Serverbelastung während der Antivirenbearbeitung des Mail­verkehrs zu verringern. Und dies ist nur ein Teil der Funktionalität des Produkts. Weitere Möglichkeiten von Kaspersky Anti-Virus benen Aufgaben zum Schutz des Mailverkehrs gezeigt.
Alle Parameter der Komponente smtpscanner befinden sich in den Optionen [smtpscan.*] der Konfigurationsdatei kav4mailservers.conf.
Im Folgenden betrachten wir typische Aufgaben, die den Antivirenschutz des Mailverkehrs realisieren.
Beachten Sie, dass der Prozess aveserver gestartet sein muss, damit die Antivirenuntersuchung des Mailverkehrs von der Anwendung durchgeführt werden kann!
®
werden in den unten beschrie-
5.2.1. Nur virusfreie und desinfizierte E-
Mails sollen zugestellt werden
Diese Art der Konfiguration von Kaspersky Anti-Virus® wird verwendet, wenn keine Unterteilung der Benutzer in Absender-Empfängergruppen vorgesehen ist. Von Nutzen ist dies z.B., wenn die Zustellung von ausschließlich virusfreien und desinfizierten Mail-Nachrichten an alle Adressaten des Servers konfiguriert werden soll.
43 Kaspersky Anti-Virus
Aufgabe:
Untersuchung des gesamten Mailverkehrs auf das Vorhan­densein von Viren und Desinfektion aller infizierten Mail­Nachrichten;
Löschen von infizierten Mail-Nachrichten, die nicht desinfiziert werden konnten;
Zustellung von desinfizierten Nachrichten an die Adressaten;
Benachrichtigung von Absendern, Empfängern und Admini-
stratoren über desinfizierte, gelöschte, verdächtige und beschädigte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unveränderter Form angehängt;
Aufzeichnung der Arbeitsergebnisse in der Datei /tmp/report.log.
Lösung
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Legen Sie für die Gruppe [smtpscan.group:default] folgende
Konfigurationsparameter fest:
[smtpscan.group:default]
Check=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
Die Parameter Sender*, Recipient* und Admin* bestimmen die Bearbeitungsregeln für alle Objekttypen außer Clean. Jede Regel, die für ein konkretes Objekt festgelegt wird, besitzt höhere Priorität. Im vorliegenden Beispiel werden alle Objekttypen aus der Mail eines Empfängers entfernt (RecipientAction=remove), außer dem Objekt Cured (CuredRecipientAction=cured).
®
for Linux, FreeBSD and OpenBSD Mail Servers
Arbeit mit Kaspersky Anti-Virus 44
2. Konfigurieren Sie den Protokolleintrag über die Arbeitsergebnisse der Komponente in der Datei /tmp/report.log:
[smtpscan.report]
ReportOk=yes
ReportFileName=/tmp/report.log
ReportFilePermission=0660
5.2.2. Infizierte E-Mails zustellen
In bestimmten Situationen kann die Zustellung beliebiger Nachrichten, ein­schließlich infizierter, an eine ausgewählte Empfängergruppe erforderlich sein.
Aufgabe
Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Legen Sie für die Gruppe [smtpscan.group:default] folgende
:
Untersuchung des gesamten Mailverkehrs auf das Vorhanden­sein von Viren;
Desinfektion aller infizierten Nachrichten für alle Empfänger, außer jenen der Gruppe urgent;
Verschieben von Mail-Nachrichten, die nicht desinfiziert werden konnten, sowie von verdächtigen und beschädigten Briefen in das Quarantäneverzeichnis für alle Empfänger, außer jenen der Gruppe urgent;
Benachrichtigung von Absendern, Empfängern und Admini­stratoren über gesperrte, desinfizierte, gelöschte, verdächtige und beschädigte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unver­änderter Form angehängt;
Zustellung aller Briefe, einschließlich infizierter, an die Benutzer der Gruppe urgent zusammen mit einem obligatorischen Hinweis auf die Möglichkeit einer Virusinfektion.
Konfigurationsparameter fest:
[smtpscan.group:default]
Check=yes
QuarantinePath=/var/db/Quarantine
45 Kaspersky Anti-Virus
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
ProtectedQuarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
2. Konfigurieren Sie die Parameter der Gruppe
[smtpscan.group:urgent] folgendermaßen:
[smtpscan.group:urgent]
Check=yes
Quarantine=no
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes RecipientAction=unchanged
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.2.3. Zustellung von Nachrichten, die ein kennwortgeschütztes Archive enthalten
Es kommt häufig vor, dass eine E-Mail-Nachricht ein durch Kennwort geschütztes Archiv enthält. Kaspersky Anti-Virus desinfiziert infizierte Dateien, die in Archive verpackt sind (Details s. Pkt. 5.3.3.1 auf S. 52). Deshalb stellt die
Arbeit mit Kaspersky Anti-Virus 46
Anwendung standardmäßig Briefe zu, die ein kennwortgeschütztes Archiv enthalten, ohne sie zu untersuchen. Dabei wird ein Brief erstellt, der darüber informiert, dass dieses Archiv nicht untersucht wurde. Die Benachrichtigung wird an den Nachrichtenempfänger und an den Administrator geschickt.
Um die Funktion zur Benachrichtigung über die Zustellung eines nicht untersuchten Archivs zu deaktivieren:
Wählen Sie im Abschnitt [smtpscan.group:default] der
Konfigurationsdatei der Anwendung für den Parameter ProtectedRecipientAttachReport den Wert no. Dadurch wird die Zustellung der Benachrichtigung an den Empfänger deaktiviert.
Wählen Sie im Abschnitt [smtpscan.group:default] der
Konfigurationsdatei der Anwendung für den Parameter ProtectedAdminNotify den Wert no. Dadurch wird die Zustellung der Benachrichtigung an den Gruppenadministrator deaktiviert.
5.2.4. Zustellung von Nachrichten an Adressaten sperren
Gewöhnlich besteht für den Administrator die Notwendigkeit, den Empfang bestimmter Nachrichten für Empfänger zu blockieren.
Betrachten wir folgendes Beispiel: Eine Mail-Nachricht ist virusverdächtig, enthält aber wichtige Daten, die unbedingt gespeichert werden müssen. Bei der Desin­fektion könnten die Daten verloren gehen. In dieser Situation ist es besser, die Mail-Nachricht zu isolieren und z.B. zur Untersuchung durch Spezialisten an Kaspersky Lab zu senden.
Aufgabe
:
Untersuchung des gesamten Mailverkehrs auf das Vorhan-
densein von Viren und Desinfektion aller infizierten Mail­Nachrichten;
Blockieren der Zustellung von infizierten, verdächtigen,
beschädigten und durch Kennwort geschützten Mail-Nach­richten, sowie Nachrichten, durch deren Untersuchung ein Fehler auftrat;
Zustellung von ausschließlich desinfizierten Nachrichten an die
Adressaten;
47 Kaspersky Anti-Virus
Benachrichtigung von Absendern, Empfängern und Admini-
stratoren über blockierte, desinfizierte, gelöschte, verdächtige und beschädigte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unver­änderter Form angehängt.
Lösung
Nehmen Sie in der Konfigurationsdatei kav4mailservers.conf folgende Einstellungen vor:
[smtpscan.group:default]
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
ProtectedQuarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.2.5. E-Mails zusätzlich nach dem Typ der Anlagen filtern
Häufig enthalten Mail-Nachrichten Dateien, die mit hoher Wahrscheinlichkeit einen Virus (z.B. eine exe-Datei) enthalten. Zur Verhinderung einer Infektion empfehlen wir, die Filterung des Mailverkehrs nach Name und/oder Typ solcher
Arbeit mit Kaspersky Anti-Virus 48
Objekte zu organisieren und sie zur weiteren Bearbeitung in einem separaten Verzeichnis zu blockieren.
Es existieren auch solche Objekte, die nicht infiziert sein können. Zur Verringerung der Serverbelastung bei der Antivirenbearbeitung von Mail­Nachrichten empfehlen wir, die Typen und/oder Namen solcher angehängter Dateien vorher zu bestimmen und sie bei der Mailuntersuchung auszufiltern.
Aufgabe
:
für Benutzergruppe users:
! Untersuchung von Mail-Nachrichten der Gruppe auf
das Vorhandensein von Viren;
! Filterung der Mail nach angehängten exe-Dateien;
Blockieren der ausgefilterten Nachrichten in einem Quarantäneverzeichnis;
! Desinfektion von infizierten Mail-Nachrichten; wenn
der Desinfektionsversuch eines Objekts erfolglos war, dann soll es aus dem Brief an den Empfänger entfernt werden, jedoch in unveränderter Form an den Gruppenadministrator zugestellt werden;
! Benachrichtigung über blockierte Objekte nur an den
Gruppenadministrator und die Empfänger;
! Benachrichtigung von Absendern, Empfängern und
Administrator über gelöschte, infizierte, beschädigte und durch Kennwort geschützte Objekte, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat.
für alle übrigen Empfänger:
! Untersuchung des gesamten Mailverkehrs des
Servers auf das Vorhandensein von Viren und Desinfektion aller infizierten Mail-Nachrichten;
! Blockieren von infizierten Objekten, deren
Desinfektion erfolglos war, sowie von verdächtigen, beschädigten Briefen, und Objekten, durch deren Untersuchung ein Fehler auftrat, in einem Quarantäneverzeichnis;
! Zustellung von desinfizierten Nachrichten an die
Adressaten;
49 Kaspersky Anti-Virus
! Zustellung von durch Kennwort geschützten Dateien
mit einem Hinweis über die Möglichkeit einer Virusinfektion;
! Benachrichtigung von Absendern, Empfängern und
Administrator über gelöschte, infizierte, beschädigte, blockierte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden alle Objekttypen in unveränderter Form angehängt.
Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Passen Sie die Konfiguration für die Gruppe
[smtpscan.group:users] folgendermaßen an:
[smtpscan.group:users]
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=remove
FilterName=*.exe$
FilteredQuarantine=yes
FilteredRecipientNotify=yes
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
ProtectedRecipientNotify=yes
ProtectedRecipientAction=unchanged
ProtectedRecipientAttachReport=no
ProtectedSenderNotify=no
ProtectedAdminNotify=no
2. Passen Sie die Konfiguration für die Gruppe
[smtpscan.group:default] folgendermaßen an:
®
for Linux, FreeBSD and OpenBSD Mail Servers
Arbeit mit Kaspersky Anti-Virus 50
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
AdminAddress=admin2@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=no
RecipientAction=remove
ProtectedRecipientNotify=yes
ProtectedRecipientAttachReport=yes
ProtectedRecipientAction=unchanged
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
Details zum Erstellen einer Liste der Benutzergruppen s. Pkt. 6.1.1 auf S. 64
5.3. Antivirenschutz von
Dateisystemen
Der Antivirenschutz der Dateisysteme eines Servers erfolgt mit Hilfe der Komponente kavscanner, die Serverdateien auf das Vorhandensein von Viren untersucht und entsprechend den Funktionsparametern die Bearbeitung infizierter und verdächtiger Objekte vornimmt. Die Bearbeitung der Objekte kann entweder rein informativen Charakter besitzen (Anzeige von Informationen im Protokoll und auf der Serverkonsole, Benachrichtigung des Administrators) oder auch zur Veränderung des Objekts führen (Desinfektion, Verschieben in ein Quarantäneverzeichnis, Löschen).
Alle Parameter der Komponente kavscanner befinden sich in den Optionen [scanner.*] der Konfigurationsdatei kav4mailservers.conf.
51 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Die Untersuchung des Dateisystems Ihres Servers kann einmalig aus der Befehlszeile ausgeführt werden oder nach Taskplan mit Hilfe des Standard­dienstprogramms cron. Sie können entweder die Untersuchung aller Datei­systeme des Servers oder eines bestimmten Verzeichnisses festlegen.
Im Folgenden betrachten wir typische Aufgaben für den Antivirenschutz eines Serverdateisystems.
Der Prozess einer Virusuntersuchung des gesamten Servers ist eine Prozedur mit relativ hohem Ressourcenbedarf. Es ist zu beachten, dass sich bei ihrem Start die Funktionsgeschwindigkeit verlangsamt. Deshalb wird empfohlen, parallel keine anderen Prozesse zu starten. Zur Vermeidung solcher Probleme wird empfohlen, einzelne Verzeichnisse zu untersuchen.
5.3.1. Untersuchung von Dateien auf Befehl
Eine der Aufgaben, die mit Kaspersky Anti-Virus® gelöst werden können, ist die Virus-Untersuchung und Desinfektion der Dateien eines bestimmten Serververzeichnisses.
Aufgabe mit automatischer Desinfektion aller infizierten Objekte. Alle Objekte, deren Desinfektion nicht möglich ist, sollen gelöscht werden.
: Start der rekursiven Untersuchung des Verzeichnisses /tmp
Die Arbeitsergebnisse der Komponente (Startdatum, Informationen über alle Dateien außer virusfreien Objekten, mit Detailinfos) sollen nur in der Protokolldatei kavscanner-aktuelles_Datum-pid.log erscheinen, die im gleichen Verzeichnis gespeichert wird.
Lösung: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:
#./kavscanner -rlq
-о kavscanner-`date +%F`.log -i3 -ePASBME –j3 -mCn /tmp
Wenn bei der Untersuchung ein infiziertes Objekt in einem Archiv gefunden wird, dann wird das gesamte Archiv gelöscht!
Arbeit mit Kaspersky Anti-Virus 52
5.3.2. Tägliche Untersuchung eines Verzeichnisses nach Taskplan (cron)
In den Betriebssystemen der Unix-Familie wird der zeitgesteuerte Start von Programmen, wozu auch die Tasks von Kaspersky Anti-Virus des Dienstprogramms cron durchgeführt.
Aufgabe: Jeden Tag um 0 Uhr 00 Minuten soll die Virus-Untersuchung des Verzeichnisses /home gestartet werden. Dabei sollen die Scan­Parameter verwendet werden, die in der Konfigurationsdatei /etc/kav/scanhome.conf festgelegt sind.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Erstellen Sie die Konfigurationsdatei /etc/kav/kavscaner.cron und geben Sie dort alle erforderlichen Untersuchungsparameter an.
2. Ändern Sie die Datei, welche die Regeln für die Arbeit des Prozesses cron (
0 0 * * * /path/to/kavscanner -c /etc/kav/kavscaner.cron /home
crontab –e) festlegt, folgendermaßen:
®
zählen, mit Hilfe
5.3.3. Zusätzliche Optionen: Verwendung von Skriptdateien
Kaspersky Anti-Virus® bietet die Möglichkeit zur zusätzlichen Bearbeitung von Objekten, die der Antiviren-Analyse unterzogen wurden. Hierzu werden unterschiedliche Unix-Standardbefehle sowie Skriptdateien verwendet. Mit Hilfe solcher Werkzeuge können erfahrene Administratoren die Aktionen für Objekte mit unterschiedlichem Status selbständig festlegen und so die Funktionalität von Kaspersky Anti-Virus
®
erweitern.
5.3.3.1. Desinfektion infizierter Archiv-Objekte
Zur Untersuchung von Archiven müssen die entsprechenden Programme zur Arbeit mit den Archiven installiert sein!
53 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Kaspersky Anti-Virus® führt keine Desinfektion infizierter Dateien durch, die in Archive gepackt sind, findet aber in diesen enthaltene verdächtige und infizierte Objekte. Allerdings kann die Desinfektion durch eine zusätzliche Skriptdatei realisiert werden. In der vorliegenden Dokumentation wird ein Beispiel für die Desinfektion von Archiven des Typs tar, rar, tgz und zip mit Hilfe der Skriptdatei vox.sh besprochen. Dieses Skript gehört zum Lieferumfang von Kaspersky Anti­Virus®.
Aufgabe Typen tar und zip, und Desinfektionsversuch aller in Archiven gefundenen infizierten Objekte mit Hilfe des Skripts vox.sh. Als
: Untersuchung aller auf dem Server vorhandenen Archive der
Konfigurationsdatei soll /etc/kav/kavscanner.conf.in verwendet werden, in der vorher die Verwendung der Skriptdatei für die Archivdesinfektion festgelegt wird. Verwendung des Heuristischen Code-Analyzers. Aufzeichnung einer Liste aller infizierten Objekte mit vollständigem Pfad in der Datei /tmp/infected_archive.lst. Arbeitsprotokoll der Komponente in der Datei /tmp/logfile.log.
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
Lösung
1. Erstellen Sie die alternative Datei kavscanner.conf.in.
2. Legen Sie als Bearbeitungsregeln für infizierte Objekte im Abschnitt
[container] dieser Datei folgende Zeile fest:
OnInfected=exec /opt/kav/5.5/kav4mailservers./contrib/vox.sh %FULLPATH%/%FILENAME%
3. Geben Sie in der Befehlszeile ein:
# kavscanner –c kavscanner.conf.in –ePASE –qR –o /tmp/logfile.log –j3 –pi /tmp/infected_archive.lst /
5.3.3.2. Senden einer Benachrichtigung an den
Administrator
Durch die Verwendung von Unix-Standardwerkzeugen können Sie mit Kaspersky Anti-Virus
®
eine Benachrichtigung an den Serveradministrator konfigurieren, die über den Fund von infizierten, verdächtigen und beschädigten Dateien in den gemounteten Dateisystemen informiert.
Arbeit mit Kaspersky Anti-Virus 54
Aufgabe: Konfiguration einer Benachrichtigung des Administrators beim Fund infizierter Dateien und Archive in den Dateisystemen des Servers bei jeder Untersuchung des Servers, die entsprechend den Parametern der Konfigurationsdatei kav4mailservers.conf ausgeführt wird.
Lösung
Geben Sie in der Konfigurationsdatei kav4mailservers.conf die Bearbei­tungsregeln für gewöhnliche Objekte und Archiv-Objekte an:
[scanner.object]
OnInfected=exec echo %FULLPATH%/%FILENAME% is infected by %VIRUSNAME% |
mail -s kavscanner admin@localhost.ru
[scanner.container]
OnInfected=exec echo archive %FULLPATH%/%FILENAME% is infected, viruses list is in the attached file %LIST% | mail -s kavscanner -a %LIST% admin@localhost.ru
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
5.3.4. Verschieben von Objekten in ein
separates Verzeichnis (Quarantäne)
Sie können die Arbeit von Kaspersky Anti-Virus® so organisieren, dass alle infizierten Objekte des Serverdateisystems in ein separates Verzeichnis verschoben werden.
Diese Möglichkeit kann z.B. verwendet werden, wenn während der Antiviren­untersuchung eines Verzeichnisses eine infizierte Datei gefunden wurde, die wichtige Daten enthält. Bei der Desinfektion könnten die Daten teilweise verloren gehen. In dieser Situation ist es ratsam, das infizierte Objekt in einem separaten Verzeichnis zu isolieren, um es z.B. später zur Untersuchung an Kaspersky Lab zu schicken. Möglicherweise gelingt den Experten die Reparatur der Datei und die darin enthaltenen Daten können vollständig erhalten bleiben.
Wenn das Verzeichnis für isolierte Objekte in der Struktur des Server­dateisystems gespeichert werden soll, empfehlen wir, es für folgende Unter­suchungen aus dem Scanbereich auszuschließen, indem sein vollständiger Pfad als Wert des Parameters ExcludeDir der Konfigurationsdatei angegeben wird.
55 Kaspersky Anti-Virus
Aufgabe: Untersuchung aller Objekte, die in der Datei /tmp/download.lst aufgezählt werden, auf das Vorhandensein von Viren und Verschieben von gefundenen infizierten Objekten mit vollständigem Pfad in das Ver­zeichnis /tmp/infected. Verwendung des Heuristischen Code-Analyzers; Rekursion deaktivieren. Informationen über infizierte, verdächtige und beschädigte Objekte werden in einer Protokolldatei aufgezeichnet.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Geben Sie als Aktion für infizierte Objekte in den Abschnitten
[scanner.object] und [scanner.container] der Konfigurationsdatei folgende Zeile an:
OnInfected=movePath /tmp/infected
2. Deaktivieren Sie den Desinfektionsmodus (Cure=no), falls dieser
aktiviert war.
3. Geben Sie in der Befehlszeile ein:
#kavscanner –@/tmp/download.lst –ePASBME –rq –i0 -o /tmp/report.log –j3 –mCn
Dieser Task lässt sich auch komplexer gestalten, indem die Forderung aufgestellt wird, den Zugriff auf Dateien des Verzeichnisses /tmp/infected auf Lesen und Schreiben zu beschränken. Dies kann mit Hilfe von Unix-Standard­werkzeugen (Befehl chmod) erreicht werden. Zur Lösung der Aufgabe sind folgende Änderungen erforderlich:
Geben Sie in den Abschnitten [scanner.object] und [scanner.container] der Konfigurationsdatei /etc/kav/kavscanner.conf als Bearbeitungsregeln für infizierte Objekte folgende Zeile an:
OnInfected=exec mv %FULLPATH%/%FILENAME% /tmp/infected/%FILENAME%; chmod –x /tmp/infected/%FILENAME%
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.3.5. Modus zum Erstellen von
Sicherheitskopien
Wenn bei der Untersuchung infizierte Dateien gefunden werden und als Aktion für infizierte Objekte das Löschen aus dem Dateisystem festgelegt wurde, besteht das Risiko des Verlusts wichtiger Daten. Um dies zu vermeiden, bietet Kaspersky Anti-Virus die Möglichkeit, Dateien in den Backup-Speicher zu kopieren.
Arbeit mit Kaspersky Anti-Virus 56
Vor der Desinfektion oder dem Löschen eines Objekts wird im Backup-Speicher (Abschnitt [scanner.path], Parameter BackupPath) automatisch eine Kopie angelegt. Die Sicherheitskopie bleibt auch dann erhalten (und bei Bedarf kann die ursprüngliche Datei wiederhergestellt werden), wenn das Objekt bei der Desinfektion beschädigt werden sollte. Das Objekt wird mit vollständigem Pfad in Backup gespeichert. Bei wiederholtem Speichern im Backup-Speicher wird die ältere Kopie eines Objekts automatisch durch die neuere ersetzt.
Bitte beachten Sie: Der Modus zum Anlegen von Sicherheitskopien im Backup­Speicher ist nicht standardmäßig aktiviert und der Ordner, in dem die Sicherheitskopien gespeichert werden sollen, ist nicht festgelegt. Um diese Option zu nutzen, muss dieser Pfad angegeben werden.
Wenn ein Objekt aus dem Dateisystem gelöscht wird, bleibt die Kopie im Backup-Speicher solange erhalten, bis sie vom Administrator gelöscht wird.
5.4. Verwaltung von
Lizenzschlüsseln
Der Lizenzschlüssel verleiht Ihnen das Recht zur Nutzung des Produkts und enthält alle erforderlichen Informationen, die mit der von Ihnen erworbenen Lizenz verbunden sind. Dazu zählen: Typ der Lizenz, Ende der Gültigkeitsdauer der Lizenz, Anzahl der geschützten Benutzer oder Volumen des lizenzierten Traffic (abhängig vom Typ der Lizenz), Händlerinformationen, usw.
Neben dem Recht zur Nutzung des Produkts während der Gültigkeitsdauer der Lizenz stehen Ihnen folgende Möglichkeiten zur Verfügung:
Technische Unterstützung (rund um die Uhr);
tägliches Update der Antiviren-Datenbanken;
Produktaktualisierung (Patch);
Download neuer Produktversionen (Upgrade);
frühzeitige Benachrichtigung über neue Viren.
Bei Ablauf der Gültigkeitsdauer der Lizenz verlieren Sie automatisch das Recht auf die oben genannten Leistungen. Kaspersky Anti-Virus Antivirenbearbeitung der Serverdateisysteme und des Mailverkehrs durchführen, dabei aber nur die Antiviren-Datenbanken verwenden, die am Datum des Ablaufs der Lizenzgültigkeit aktuell waren. Der Serveradministrator erhält eine Benachrichtigung über den Ablauf der Lizenzgültigkeit. Die automatische Updatefunktion für die Antiviren-Datenbanken steht nicht mehr zur Verfügung.
®
wird weiterhin die
57 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Aus diesem Grund ist es sehr wichtig, regelmäßig die im Lizenzschlüssel angegebenen Informationen zu überprüfen und das Ablaufdatum der Lizenz­gültigkeit zu verfolgen.
5.4.1. Lizenzierungsmechanismus
Kaspersky Anti-Virus Version 5.5 besitzt eine neue Technologie zur Lizenzierung. Beim Installationsvorgang der Anwendung auf dem Server wird der Administrator aufgefordert, eine Liste der Domänen anzulegen, deren Mail untersucht werden soll. Die Lizenzierung kann erfolgen:
entweder nach dem Volumen des untersuchten Traffics
nach der Anzahl der geschützten Benutzer.
Im ersten Fall gilt als lizenzierter Traffic das Gesamtvolumen der von der Anwendung empfangenen Nachrichten, die mit Hilfe des Antivirenkerns untersucht wurden und den Status Clean erhielten (d.h. keinen Virus enthielten).
Im zweiten Fall gilt jeder Absender und/oder Empfänger einer Nachricht, die von der Anwendung untersucht und bearbeitet wurde und nicht infiziert war, als lizenzierter Benutzer.
Vierzehn Tage bevor die Gültigkeitsfrist der Lizenz abläuft, wird automatisch eine entsprechende Benachrichtigung an den Administrator erstellt. Diese Meldung erfolgt einmal täglich sowie bei jedem erneuten Start der Anwendung.
Durch einen analogen Mechanismus erfolgt auch eine Benachrichtigung, wenn die Gültigkeitsdauer der Lizenz endet und das lizenzierte Trafficvolumen erschöpft ist.
Wenn das Trafficvolumen den lizenzierten Umfang um über 10 Prozent übersteigt, erhält der Administrator jedes Mal eine entsprechende Benachrichtigung, wenn eine Nachricht mit einem anderen Status als Clean gefunden wird.
Zur korrekten Konfiguration des Lizenzierungsmechanismus ist es erforderlich:
den Parameter LicenseDomain Abschnitt [smtpscan.license] festzulegen. Dieser Parameter bestimmt die Maske der Domänen (unter Verwendung des Standards POSIX regexp), deren Benutzer als lizenzierte Benutzer gelten. Als Argument dieses Parameters müssen alle E-Mail-Domänen angegeben werden, die von Kaspersky Anti-Virus geschützt werden sollen. Die Domänen müssen im Format POSIX regexp angegeben werden und werden in separaten Zeilen durch Komma getrennt aufgezählt.
Arbeit mit Kaspersky Anti-Virus 58
Beachten Sie, dass das Symbol "." im Format POSIX regexp eine eigene Bedeutung besitzt. Es muss deshalb von dem Zeichen "\" begleitet werden.
5.4.2. Anzeige von Informationen über den
Lizenzschlüssel
Sie können Informationen über die installierten Lizenzschlüssel in den Arbeitsprotokollen der Komponenten kavscanner, keepup2date und aveserver kontrollieren. Beim Start jeder dieser Komponenten werden Informationen über die Schlüssel geladen.
Daneben ist in Kaspersky Anti-Virus licensemanager vorgesehen, die es ermöglicht, nicht nur ausführliche Informationen über die Schlüssel, sondern auch bestimmte analytische Daten zu erhalten.
Wenn Sie Kaspersky Anti-Virus
®
mit dem Lizenztyp NACH VOLUMEN DES
MAILVERKEHRS erworben haben, erlaubt Ihnen die Komponente licensemanager, zu überprüfen, welches Trafficvolumen bereits verbraucht
wurde und welches Volumen (in MB) des lizenzierten Mailverkehrs im Moment noch verbleibt.
Außerdem können Sie Informationen über das Volumen des innerhalb eines Tages (nach Stunden) bearbeiteten Traffic erhalten und auf diese Weise Zeiten mit hoher Belastung ermitteln. Diese Informationen können z.B. dann nützlich sein, wenn Probleme mit dem Produkt auftreten und Sie den Service für Technische Unterstützung in Anspruch nehmen möchten.
Beim Erwerb von Kaspersky Anti-Virus BENUTZERANZAHL können Sie die Gesamtzahl der lizenzierten Benutzer ermitteln, die der erworbenen Lizenz entspricht.
Alle oben genannten Informationen können auf der Serverkonsole angezeigt werden oder im Remote-Modus mit Hilfe des Programms Webmin von jedem Computer Ihres Netzwerks gelesen werden.
®
eine spezielle Komponente
®
mit dem Lizenztyp NACH
Um Informationen über alle installierten Lizenzschlüssel anzuzeigen,
geben Sie in der Befehlszeile ein:
licensemanager –s
Auf der Serverkonsole werden folgende Informationen angezeigt:
Kaspersky license manager Version 5.5
59 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Copyright (C) Kaspersky Lab. 1998-2005.
License file 0003D3EA.key, serial 0038-000419­0003D3EA, "Kaspersky Anti-Virus for Unix Mail Servers", expires 04-07-2003 in 28 days
License file 0003E3E8.key, serial 011E-000413­0003E3E8, "Kaspersky Anti-Virus for Unix Mail Servers (licence per e-mail address)", expires 25-01-2004 in 234 days
Um Informationen über eine bestimmte Lizenzdatei anzuzeigen,
Geben Sie in der Befehlszeile z.B. folgende Zeile ein:
licensemanager –k 0003D3EA.key
Auf der Konsole werden folgende Informationen angezeigt:
Kaspersky license manager Version 5.5
Copyright (C) Kaspersky Lab. 1998-2005.
Serial 0038-000419-0003D3EA, "Kaspersky Anti-Virus for Unix Mail Servers", expires 04-07-2003 in 28 days
Um Informationen über den lizenzierten Mailverkehr oder die Anzahl der geschützten Benutzer zu erhalten,
Geben Sie in der Befehlszeile ein:
licensemanager –i
Auf der Serverkonsole werden folgende Informationen angezeigt:
für den Lizenztyp NACH BENUTZERANZAHL:
Kaspersky license manager for Linux. Version
5.5.0/RELEASE #68
Copyright (C) Kaspersky Lab, 1997-2005.
Portions Copyright (C) Lan Crypto
License users units: 5
Users units used: 0
Users units left: 5
für den Lizenztyp NACH VOLUMEN DES MAILVERKEHRS:
Kaspersky license manager Version 5.5
Copyright (C) Kaspersky Lab. 1998-2005.
Arbeit mit Kaspersky Anti-Virus 60
Daily traffic statistic(Bytes):
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0
License traffic units: 10 (MB)
Traffic units used: 0 (MB)
Traffic units left: 10 (MB)
®
Für Kaspersky Anti-Virus
mit dem Lizenztyp NACH BENUTZERANZAHL besteht die zusätzliche Möglichkeit, während der Arbeit mit dem Programm jederzeit zu überprüfen, ob ein bestimmter Benutzer geschützt ist, d.h. ob eingehende und ausgehende Mail-Nachrichten des Benutzers der Antivirenbearbeitung unterzogen werden.
Diese Option kann z.B. dann benutzt werden, wenn sich die erworbene Lizenz auf eine große Benutzerzahl erstreckt und vor der Aufnahme eines bestimmten Benutzers in die Liste der lizenzierten Benutzer kontrolliert werden muss, ob dieser bereits in die Lizenzliste aufgenommen wurde.
5.4.3. Lizenzverlängerung
Die Verlängerung der Lizenz für die Benutzung von Kaspersky Anti-Virus® verleiht Ihnen das Recht auf die Wiederherstellung der vollen Funktionalität des Produkts, einschließlich der Aktualisierung der Antiviren-Datenbanken. Außerdem werden die Zusatzleistungen, die in Pkt. 5.3.3 auf S. 52 genannt sind, erneuert.
®
Um die Lizenz für die Benutzung von Kaspersky Anti-Virus Mail Servers zu verlängern:
for Unix
Setzen Sie sich mit der Firma in Verbindung, bei der Sie das Produkt gekauft haben, und erwerben Sie eine Lizenzverlängerung für die Nutzung von Kaspersky Anti-Virus
®
.
oder:
Verlängern Sie die Lizenz direkt bei Kaspersky Lab, indem Sie an die Verkaufsabteilung (sales@kaspersky.com
) schreiben oder auf unserer
Internetseite (www.kaspersky.com/de) im Abschnitt Erneuern Sie Ihre Lizenz das entsprechende Formular ausfüllen. Nach Eingang der Bezahlung wird Ihnen der Lizenzschlüssel per E-Mail an die Adresse zugeschickt, die im Bestellformular angegeben wurde.
Nach dem Erwerb ist die Installation des neuen Lizenzschlüssels erforderlich. Kopieren Sie dazu den Schlüssel in das Verzeichnis, in dem die Schlüssel gespeichert sind (Parameter LicensePath in der Konfigurationsdatei), und starten Sie den Server neu.
61 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Es wird empfohlen, anschließend die Antiviren-Datenbanken zu aktualisieren (s. Pkt. 5.1 auf S. 35).
Kapitel 6. Erweiterte
Einstellungen
In diesem Kapitel behandeln wir die zusätzlichen Funktionalitätseinstellungen von Kaspersky Anti-Virus (s. Kapitel 4 auf S. 26), ohne die das Produkt nicht funktionsfähig ist, erfolgen die Zusatzeinstellungen nach Ermessen des Administrators. Sie dienen der Erweiterung der Funktionalität des Produkts und dessen Anpassung an die Verwendungsbedingungen im Rahmen eines konkreten Unternehmens.
®
. Im Unterschied zu den obligatorischen Einstellungen
6.1. Konfiguration des
Antivirenschutzes für den Mailverkehr
Beim Scannen des Mailverkehrs auf das Vorhandensein von Viren gelten als Hauptkriterium für die Auswahl der Bearbeitungsregeln jeder Mail-Nachricht die Absender- und Empfängeradressen und die Parameter der entsprechenden Gruppe. Deshalb ist es die Zuordnung von Adressen zu den erforderlichen Gruppen sehr wichtig.
Die Zugehörigkeit einer Mail-Nachricht zu einer konkreten Gruppe wird dadurch bestimmt, dass sowohl Absenderadresse als auch Empfängeradresse in dieser Gruppe vorhanden sind. Das Programm durchsucht die Adressenliste der Gruppe nach beiden Adressen. Sobald in einer durchsuchten Gruppe die Adressenkombination "Absender-Empfänger" gefunden wird, werden auf die Nachricht jene Bearbeitungsregeln angewandt, die durch die Parameter dieser Gruppe definiert sind.
®
Kaspersky Anti-Virus Parametern der Konfigurationsdatei kav4mailservers.conf aus. Die Datei kann lokal geändert werden. Das Vorhandensein einer Zeile mit der Adresse der Nachricht in einer Gruppe wird entsprechend POSIX regex überprüft.
In der Grundeinstellung enthält die Konfigurationsdatei die Gruppe [smtpscan.group:default], in der die Bearbeitungsregeln für Mail-Nachrichten definiert werden. Da die Gruppe ursprünglich keine Absender- und Empfänger­namen enthält, werden die in dieser Gruppe definierten Regeln auf alle Nach­richten angewandt. Sie können die Parameter der Gruppe default ändern und neue Gruppen anlegen.
führt die Antiviren-Filterung entsprechend den
63 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Wenn Sie andere Gruppen in die Konfigurationsdatei eingetragen haben (s. Pkt. 6.1.1 auf S. 64), dann gilt folgende Bearbeitungsreihenfolge für Mail­Nachrichten:
1. Das Programm überprüft das Vorhandensein der Adressen einer Nachricht in den Gruppen, die vom Administrator angelegt wurden. Wenn die Adressen der Nachricht zu einer bestimmten Benutzer­adressenliste gehören, dann werden auf die Nachricht die Bearbei­tungsregeln angewandt, die durch die Parameter dieser Gruppe definiert sind.
Wenn die Absender- und Empfängeradressen einer zu bearbeitenden Nachricht zum Adressenintervall mehrerer Gruppen gehören, verwendet das Programm die Parameter der ersten Gruppe.
2. Wenn die Adressen zu keiner der vom Administrator angelegten Adressengruppe gehören, dann werden auf die Nachricht die Prog­rammaktionen angewandt, die in der Gruppe default definiert sind.
®
Die Reihenfolge der Aktionen von Kaspersky Anti-Virus
bei der Bearbeitung
einer empfangenen Mail-Nachricht wird auf Abb. 5 grafisch dargestellt.
Erweiterte Einstellungen 64
Abb. 5. Bearbeitung einer E-Mail-Nachricht
6.1.1. Erstellen von Benutzergruppen
In der Grundeinstellung enthält die Konfigurationsdatei von Kaspersky Anti-
®
die Gruppe [smtpscan.group:default], die alle Absender-Empfänger des
Virus Servers enthält. Für sie gelten folgende Regeln zur Bearbeitung von Mail­Nachrichten:
Untersuchung aller Mail-Nachrichten.
Desinfektion von gefundenen infizierten Briefen.
Zustellung von ausschließlich virusfreien und desinfizierten Mail-
Nachrichten an die Adressaten.
Briefe, deren Desinfektion erfolglos war, sowie verdächtige, beschädigte, durch Kennwort geschützte Briefe und Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat, nur an den Administrator zustellen.
Benachrichtigung von Absendern, Empfängern und Gruppenadministrator über infizierte, desinfizierte, verdächtige, beschädigte, durch Kennwort
65 Kaspersky Anti-Virus
geschützte Briefe und Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat.
Wenn Sie wünschen, dass Kaspersky Anti-Virus Empfänger Mail-Nachrichten nach separaten Regeln bearbeitet, dann ist das Erstellen von Gruppen erforderlich.
Um eine neue Benutzeradressengruppe zu erstellen,
1. Erstellen Sie in der Konfigurationsdatei den Abschnitt
[smtpscan.group:Name_der_Gruppe].
2. Definieren Sie die Adressen (Adressmasken) von Absendern und Empfängern der Gruppe, indem Sie diese durch Komma getrennt als Werte der Parameter Senders und Recipients angeben.
Benutzen Sie bei der Eingabe von Masken den Standard POSIX regex. Verwenden Sie zur Aufzählung von Adressen ein Komma.
Wenn Sie keinen Wert für den Parameter Recipients Senders festlegen, wird er definiert als
In Kaspersky Anti-Virus Version 5.5 wurde der Konfigurationsdatei die Gruppe kavadministrators hinzugefügt. Während des Installationsprozesses der Anwendung werden dieser Gruppe automatisch alle E-Mail-Adressen der Administratoren hinzugefügt, die im Ordner /var/qmail/alias/postmaster enthalten sind.
Wenn sich die Adresse eines Administrators ändert (Parameter AdminAddress der Gruppe [smtpscan.group:default] oder einer anderen Gruppe), muss diese Adresse (sowie alle anderen Adressen, für welche die neue Adresse des Administrators als alias gilt) zur Liste des Parameters Recipients der Gruppe [smtpscan.group:kavadministrators] hinzugefügt werden.
Dies ist wichtig, wenn infizierte E-Mail-Nachrichten an den Administrator weitergeleitet werden.
®
for Linux, FreeBSD and OpenBSD Mail Servers
®
für unterschiedliche Absender-
ODER
.*@.*
6.1.2. Modus zur Untersuchung und Desinfektion von Nachrichten
Damit die Antivirenuntersuchung des Mailverkehrs einer konkreten Absender­Empfängergruppe durchgeführt wird, muss der Serveradministrator den entspre­chenden Modus in den Parametern der Gruppe aktivieren.
Erweiterte Einstellungen 66
Definieren Sie dazu in der Konfigurationsdatei kav4mailservers.conf für die Grup- pe den Parameter Check=yes.
Ist der Untersuchungsmodus aktiviert, dann werden alle Mail-Nachrichten, die hinsichtlich des Kriteriums Absender-Empfänger zu dieser Gruppe gehören, von Kaspersky Anti-Virus
®
auf das Vorhandensein von Viren untersucht. Allerdings
werden gefundene infizierte Mail-Nachrichten nicht desinfiziert.
Um den DESINFEKTIONSMODUS für infizierte Briefe ZU AKTIVIEREN, muss in der Gruppe mindestens ein Parameter für desinfizierte Objekte (Cured) fest­gelegt werden. Geben Sie in der Gruppe neben anderen Parametern z.B. an:
[smtpscan.group:account]
Check=yes
CuredRecipientNotify=yes
Dies entspricht folgenden Regeln:
Untersuchung aller Mail-Nachrichten für die Absender-Empfänger der
Gruppe account auf das Vorhandensein von Viren;
Desinfektion von gefundenen infizierten Objekten;
Benachrichtigung an Empfängern über desinfizierte Objekte.
6.1.3. Aktionen für Mail-Nachrichten
Für die Aktionen, die mit Mail-Nachrichtenobjekte durchgeführt werden, sind zwei Faktoren bestimmend:
Objektstatus, den das Objekt nach der Untersuchung erhält (s. Pkt. 6.2.2 auf S. 72);
Aktion, die für einen konkreten Objektstatus in der Konfigurationsdatei festgelegt ist.
Der Status eines Objekts wird diesem direkt nach der Virus-Untersuchung vom Prozess aveserver zugewiesen. Die Aktion, die nach der Untersuchung mit dem Objekt durchgeführt werden soll, wird vom Serveradministrator festgelegt.
Kaspersky Anti-Virus richtenobjekte festzulegen, die an Empfänger und Gruppen­administrator zugestellt werden. Für die Absender von Mail-Nachrichten kann NUR eine Benachrichtigung festgelegt werden.
Für Mail-Nachrichtenobjekte kann eine der folgenden Aktionen festgelegt werden:
Remove – Löschen des Objekts aus der Mail-Nachricht.
®
erlaubt es, die Aktionen für Mail-Nach-
67 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Unchanged – Objekt nicht ändern. In diesem Fall wird das Objekt nicht der Desinfektion unterzogen und in ursprünglicher Form zugestellt.
Cured – Nur das desinfizierte Objekt zustellen (nur für Objekte des Typs Cured).
Sie können einheitliche Aktionen für alle Objekttypen festlegen oder jedem Typ eine Aktion zuordnen.
Um einheitliche Aktionen für alle Objekttypen festzulegen,
Legen Sie die entsprechenden Werte für die Parameter AdminAction und ReсipientAction fest. Diese Parameter bestimmen die Aktionen für alle Objekttypen. Zum Beispiel:
AdminAction=unchanged
RecipientAction=remove
Alle Mail-Nachrichten der Gruppe werden in unveränderter Form an den Administrator zugestellt, jedoch aus Mail-Nachrichten für den Empfänger gelöscht.
Wenn Sie für jeden Objekttyp eine individuelle Aktion festlegen wollen,
legen Sie die entsprechenden Werte für die Parameter <Objekttyp>AdminAction und <Objekttyp>RecipientAction fest.
Beispiel:
AdminAction=unchanged
RecipientAction=remove
CuredRecipientAction=cured
In diesem Fall werden alle Mail-Nachrichten unabhängig vom Objekttyp in unveränderter Form an den Administrator zugestellt. Der Empfänger erhält aber nur desinfizierte Briefe. Alle übrigen Objekttypen werden aus Mail-Nachrichten für den Empfänger gelöscht.
Zusätzlich zu den oben genannten Aktionen für Objekte ist das Blockieren des Objekts im Quarantäneverzeichnis vorgesehen.
Um Mail-Nachrichtenobjekte in das Quarantäneverzeichnis zu verschieben,
Legen Sie in der Konfigurationsdatei der Gruppe folgende Parameter fest:
Erweiterte Einstellungen 68
QuarantinePath=/var/db/Quarantine
Quarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
6.1.4. Benachrichtigung an Absender, Empfänger und Administratoren
Kaspersky Anti-Virus® erlaubt die Konfiguration von Benachrichtigungen (Modus zu deren Versenden, Parameter für das Erstellen und Text) an die Absender von Mail-Nachrichten, deren Empfänger und Gruppenadministratoren über Objekte mit jedem möglichen Status (verdächtig, infiziert, desinfiziert, beschädigt usw.). Das Senden von Benachrichtigungen wird durch folgende Konfigurations­parameter festgelegt:
RecipientNotify – Versenden einer Benachrichtigung an den Empfänger
einer Mail-Nachricht;
SenderNotify – Versenden einer Benachrichtigung an den Absender
einer Mail-Nachricht;
AdminNotify – Versenden einer Benachrichtigung an den Gruppen-
administrator.
Diese Parameter definieren das Senden von Benachrichtigungen für Objekte mit beliebigem Status. Wenn Sie das Senden von Benachrichtigungen für Objekte mit einem konkreten Status festlegen wollen, dann aktivieren Sie folgende Modi:
<Objektstatus>RecipientNotify;
<Objektstatus>SenderNotify;
<Objektstatus>AdminNotify.
In diesem Fall wird eine Benachrichtigung an den Adressaten nur beim Fund eines Objekts mit dem festgelegten Status gesandt.
Durch die Angabe folgender Parameter in der Gruppe:
InfectedRecipientNotify=yes CuredRecipientNotify=yes CorruptedRecipientNotify=yes SenderNotify=yes
AdminNotify=yes
69 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
werden z.B. Benachrichtigungen an den Administrator und Absender für Objekte mit beliebigem Status gesendet. Der Empfänger erhält nur Benachrichtigungen über Objekte mit dem Status infiziert, desinfiziert und beschädigt.
Für das Senden von Benachrichtigungen ist außerdem die Angabe der Adresse erforderlich, von der diese abgeschickt werden (Parameter NotifyFromAddress Abschnitt [smtpscan.general]).
®
In der Grundeinstellung benachrichtigt Kaspersky Anti-Virus
über Objekte mit
beliebigem Status. Alle Benachrichtigungen enthalten einen universalen Text, der auf der im Lieferumfang des Produkts enthaltenen Vorlage /etc/kav/5.0/template_notify_main beruht.
Wenn Sie den Benachrichtigungstext ändern möchten, können Sie:
den Text der im Lieferumfang des Produkts enthaltenen Vorlage ändern.
eine neue Vorlagendatei erstellen und den vollständigen Pfad der Datei
als Wert des Parameters Template im Abschnitt [smtpscan.notify] angeben.
Im Text der Vorlage können Sie folgende Makros verwenden, die vom Programm auf Basis der Antworten des Prozesses aveserver automatisch durch die ent­sprechenden Werte ersetzt werden:
®
%VERSION% – Version von Kaspersky Anti-Virus
.
%SENDER% – Mail-Adresse des Absenders der Nachricht. %RECIPIENT% – Liste aller Empfänger der Nachricht, durch
Zeilenumbruch getrennt.
%MSGID% – ID-Nummer des Briefs. %VIRUSNAME% – Textbeschreibung des Problems. Sie können diesen
Text in jede beliebige Sprache übersetzen. Geben Sie dazu die entsprechenden Zeilen für das Objekt jedes Status im Abschnitt [locale] ein.
%SUBJECT% – Text, der in die Betreffzeile der ursprünglichen E-Mail-
Nachricht eingefügt werden soll.
%DATETIME% – Datum und Uhrzeit der Bearbeitung der Mail-
Nachricht. Das Format von Datum und Uhrzeit kann ebenfalls geändert werden.
%HEADERS% – Alle Header des ursprünglichen Briefs zum
Benachrichtigungstext hinzufügen.
%ACTION% – Beschreibung der Aktionen, die mit angehängten
Objekten des Briefs vorgenommen wurden. Dieses Makro kann in allen Vorlagen verwendet werden, außer in Benachrichtigungen für den Nachrichtenabsender. Folgende Aktionen sind möglich:
Erweiterte Einstellungen 70
attachement not modified – Die Anlage wurde nicht
verändert.
attachement cured – Die Anlage war infiziert und wurde erfolgreich desinfiziert.
attachment removed – Die Anlage wurde gelöscht. attachments cured and removed – Die Anlagen waren
infiziert. Ein Teil der Anlagen wurde desinfiziert und dem Adressaten zugestellt, ein Teil wurde gelöscht.
Solche Makros können auch beim Erstellen der Betreffzeile eines Briefs verwendet werden.
Die Parameter für das Erstellen von Benachrichtigungen (MIME-Typ, Betreff des Briefs, Codierung usw.) befinden sich im Abschnitt [smtpscan.notify] der Konfigurationsdatei.
6.2. Konfiguration des Antiviren-
schutzes für Serverdateisysteme
Die Gesamtauswahl der Parameter für den Antivirenschutz der Server­dateisysteme lassen sich nach ihren Funktionen in folgende Gruppen unterteilen:
Scanbereich (s. Pkt. 6.2.1 auf S. 70).
Modus zur Untersuchung und Desinfektion von Dateien (s. Pkt. 6.2.2 auf
S. 72).
Aktionen für Dateien (s. Pkt. 6.2.3 auf S. 72).
Parameter für das Erstellen des Protokolls über die Arbeitsergebnisse (s.
Pkt. 6.5 auf S. 77).
Betrachten wir die Einstellungen jeder einzelnen Gruppe.
6.2.1. Untersuchungsbereich
Der Scanbereich lässt sich bedingt in zwei Teile gliedern:
Scanpfad – Liste der Verzeichnisse und Dateien, in denen die Virussuche durchgeführt wird.
Scanobjekte – Typen der Dateien, die auf das Vorhandensein von Viren gescannt werden (Archive, Mail-Nachrichten usw.).
71 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
In der Grundeinstellung werden alle Objekte der verfügbaren Dateisysteme untersucht, wobei mit dem aktuellen Verzeichnis begonnen wird.
Zur Untersuchung aller Dateisysteme des Servers ist es erforderlich, in das Stammverzeichnis zu wechseln oder in der Befehlszeile den Untersuchungsbereich / anzugeben.
Der Scanpfad kann durch folgende Methoden geändert werden:
Durch Leerzeichen getrennte Angabe der Verzeichnisse und Dateien mit absoluten oder relativen (im Bezug auf das aktuelle Verzeichnis) Pfaden direkt in der Befehlszeile beim Start der Komponente.
Angabe des Scanpfads in einer Textdatei und Festlegen der Verwendung dieser Datei in der Befehlszeile durch den Parameter
-@ <Dateiname>.
Jedes Objekt in dieser Datei wird in einer separaten Zeile und mit absoluter Pfadangabe angegeben.
Werden in der Befehlszeile sowohl der Scanpfad als auch eine Textdatei mit einer Liste von Untersuchungsobjekten angegeben, dann wird der in der Datei angegebene Bereich untersucht. Der in der Befehlszeile angegebene Pfad wird ignoriert.
Einschränkung der Pfade, die standardmäßig festgelegt sind (alle, beginnend mit dem aktuellen Verzeichnis) oder in der Befehlszeile aufgezählt werden, indem in der Konfigurationsdatei kav4mailservers.conf Masken für Dateien und Verzeichnisse angegeben werden, die aus dem Scanbereich ausgeschlossen werden sollen (Abschnitt [scanner.options], Parameter ExcludeMask und ExcludeDirs).
Deaktivieren der rekursiven Untersuchung von Verzeichnissen (Abschnitt
[scanner.options], Parameter Recursion oder Befehlszeilenparameter –r).
Erstellen einer alternativen Konfigurationsdatei und Festlegen der Verwendung dieser Datei durch den Befehlszeilenparameter
с
<Dateiname> beim Start der Komponente.
Die standardmäßigen Scanobjekte werden ebenfalls in der Konfigurationsdatei kav4mailservers.conf (Abschnitt [scanner.options]) festgelegt und können auf folgende Weise geändert werden:
durch Befehlszeilenparameter beim Start der Komponente;
durch Verwendung einer alternativen Konfigurationsdatei.
Erweiterte Einstellungen 72
6.2.2. Modus zur Untersuchung und Desinfektion von Dateien
Die Option zur Dateidesinfektion ist sehr wichtig, da von ihr abhängt, ob die Desinfektion von infizierten Dateien, die bei der Untersuchung gefunden werden, erfolgt.
In der Grundeinstellung ist diese Option deaktiviert. Das bedeutet, es erfolgt nur die Untersuchung von Dateien und die Benachrichtigung über den Fund von Viren und anderen verdächtigen oder beschädigten Dateien durch Ausgabe von Meldungen auf der Konsole und im Protokoll (s. Pkt. 6.5 auf S. 77).
Als Ergebnis der Virus-Untersuchung erhält eine Datei einen der folgenden Status:
Clean – Es wurden keine Viren in der Datei gefunden.
Infected – Datei ist infiziert.
Warning – Code der Datei besitzt Ähnlichkeit mit dem Code eines
bekannten Virus.
Suspicion – Code der Datei besitzt Ähnlichkeit mit dem Code eines
unbekannten Virus.
Corrupted – Datei ist beschädigt.
Protected – Datei ist durch Kennwort geschützt.
Ist der Desinfektionsmodus aktiviert (Abschnitt [scanner.options], Parameter Cure=yes), dann werden nur Dateien mit dem Status Infected der
Antivirenbearbeitung unterzogen. Als Ergebnis der Desinfektion erhält die Datei einen der folgenden Status:
Cured – Datei wurde erfolgreich desinfiziert.
CureFailed – Datei konnte nicht desinfiziert werden. Eine Datei mit
diesem Status wird nach den Regeln bearbeitet, die für infizierte Dateien festgelegt wurden.
6.2.3. Aktionen für Dateien
Abhängig vom Status einer Datei (s. Pkt. 6.2.2 auf S. 72) können bestimmte Aktionen auf diese angewandt werden. In der Grundeinstellung erfolgt nur die Benachrichtigung über den Fund von Dateien mit einem bestimmten Status, wozu die Ausgabe von Meldungen auf der Konsole und im Protokoll dient.
73 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Allerdings kann für Dateien mit den Status Infected, Suspiсious, Warning und Corrupted die Ausführung einer Reihe von Aktionen festgelegt werden:
Verschieben in ein bestimmtes Verzeichnis – Verschieben von Dateien mit einem konkreten Status in ein bestimmtes Verzeichnis; möglich ist einfaches und rekursives Verschieben.
Löschen der Datei aus dem Dateisystem.
Ausführen eines bestimmten Befehls – Bearbeitung von Dateien durch
Unix-Standardbefehlen, Skriptdateien usw.
Für die Dateitypen Protected und Cured erfolgt lediglich eine Meldung, die auf der Konsole und im Protokoll angezeigt wird.
Es ist anzumerken, dass Kaspersky Anti-Virus
®
zwischen gewöhnlichen Objekten (Dateien) und zusammengesetzten (die aus mehreren Objekten bestehen, z.B. Archive) unterscheidet. Auch die Aktionen, die mit solchen Objekten durchgeführt werden, unterscheiden sich; in der Konfigurationsdatei werden sie in unterschiedlichen Abschnitten festgelegt. Für gewöhnliche Objekte im Abschnitt [scanner.object], für zusammengesetzte Objekte im Abschnitt [scanner.container].
Aktionen für selbstextrahierende Archive sind nicht eindeutig: Ist das Archiv selbst infiziert, wird es als gewöhnliches Objekt betrachtet, ist aber ein Objekt innerhalb des Archivs infiziert, als zusammengesetztes. Dementsprechend werden in solchen Fällen auch die Aktionen für Archive durch die Parameter unterschiedlicher Abschnitte der Konfigurationsdatei bestimmt!
Zur Auswahl der Aktion für bestimmte Dateien dienen folgende Methoden:
Angabe der Aktionen in der Konfigurationsdatei kav4mailservers.conf, wenn sie als Standardaktionen verwendet werden sollen (Abschnitte [scanner.object] und [scanner.container]).
Angabe der Aktionen in einer alternativen Konfigurationsdatei und Verwendung der Datei beim Start der Komponente.
Angabe der Aktionen für die laufende Session durch Befehlszeilen­parameter beim Start der Komponente kavscanner.
Die Syntax der Aktionen ist für gewöhnliche Objekte und für zusammengesetzte Objekte identisch (Abschnitte [scanner.object] und [scanner.container]).
Erweiterte Einstellungen 74
6.2.4. Modus zum Erstellen von Sicherheitskopien
Im Folgenden wird am Beispiel einer konkreten Aufgabe die Konfiguration des Backup-Modus beschrieben.
Aufgabe die in der Datei /tmp/download.lst genannt werden, und Desinfektion von infizierten Objekten. Bei erfolgloser Desinfektion werden infizierten Objekte mit vollständiger Pfadangabe in den Ordner /tmp/infected, verdächtige nach /tmp/suspicious, Warnungen nach /tmp/warning verschoben.
Lösung
1. Erstellen Sie die alternative Konfigurationsdatei scan_sample.conf
2. Vergewissern Sie sich, dass der Modus zur Desinfektion von infizierten
Objekten aktiviert ist (Cure=yes im Abschnitt [scanner.options]).
3. Legen Sie Regeln für die Bearbeitung von infizierten Objekten fest.
Geben Sie dazu in den Abschnitten [scanner.object] und [scanner.container] der Konfigurationsdatei scan_sample.conf folgende Parameter an:
4. Geben Sie in der Befehlszeile ein:
: Virusuntersuchung aller Objekte in den Ordnern und Dateien,
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
OnInfected=MovePath /tmp/infected
OnSuspicion=MovePath /tmp/suspicious
OnWarning=MovePath /tmp/warning
# kavscanner -@/tmp/downloads.lst -c sample_scan.conf
6.3. Optimierung der Arbeit von
Kaspersky Anti-Virus
Zur Verringerung der Serverbelastung bietet Kaspersky Anti-Virus eine effektive Optimierungsmethode für seine Arbeit. Im Folgenden wird diese genauer betrachtet.
75 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
6.3.1. Verwendung der iChecker™­Datenbank
Die Anwendung verwendet eine Reihe von Technologien, die es erlauben, die Antivirenuntersuchung einer Datei nicht bei jedem Zugriff auf die Datei durchzuführen, sondern möglichst auf eine Vergleichsoperation mit bereits darüber existierenden Daten zu beschränken. Der Algorithmus zur Untersuchung eines Objekts (einer Datei) auf Viren lässt sich folgendermaßen beschreiben:
Bei der ersten Untersuchung
darüber (Name, Kontrollsumme) in der Datenbank iChecker gespeichert. Das ist eine Datenbank, die Informationen über untersuchte virusfreie Dateien bestimmter Formate enthält. Diese Datenbank enthält Informationen über Objekte, die mit der Komponente kavscanner untersucht wurden.
Bei jedem folgenden Zugriff
zuerst in der Datenbank iChecker. Als Suchkriterium dient der Dateiname. Wird eine solche Datei in der iChecker-Datenbank gefunden, dann werden die Informationen über die Datei mit den in der Datenbank vor­handenen verglichen. Unter der Voraussetzung der vollständigen Identität des aktuellen Objektzustands und seiner Beschreibung in der Datenbank gilt die Datei als unverändert und wird nicht auf das Vorhandensein von Viren untersucht.
Wenn keine Informationen über die angeforderte Datei gefunden werden, wird eine vollständige Antivirenuntersuchung der Datei durchgeführt.
einer beliebigen Datei werden Informationen
eines Benutzers auf die Datei erfolgt die Suche
6.3.2. Begrenzung der Serverbelastung
Die Untersuchung von Serverdateisystemen kann bei einem großen Daten­volumen viel Zeit beanspruchen, wobei die Serverbelastung wesentlich wächst. Gleichzeitig muss der Server aber auch aktuelle Aufgaben ausführen, weshalb ein Mechanismus wünschenswert ist, welcher die Antivirenuntersuchung des Servers bei Überschreitung einer bestimmten Lastgrenze anhält.
Servers bei Überschreitung einer bestimmten Lastgrenze anhält.
Kaspersky Anti-Virus verfügt über einen solchen Mechanismus. In Version 5.5 der Anwendung wurde der Konfigurationsdatei der Parameter MaxLoadAvg im Abschnitt [scanner.options] hinzugefügt. Wenn der Parameter festgelegt wurde, überprüft kavscanner vor der Untersuchung jeder neuen Datei den aktuellen Wert der Serverbelastung (load average) und hält bei Überschreitung des in der Konfigurationsdatei angegebenen Werts die Arbeit von kavscanner
Erweiterte Einstellungen 76
an, bis der Wert des Parameters load average auf den entsprechenden Wert sinkt.
6.4. Konfiguration der Arbeit des
Prozesses aveserver
Wie oben erwähnt, findet die Antivirenbearbeitung des Mailverkehrs durch die Zusammenarbeit von zwei Komponenten statt, der Prozesse aveserver und
smtpscanner.
aveserver wird beim Start des Betriebssystems gestartet.
Die Herstellung der Verbindung mit aveserver erfolgt direkt beim Zugriff von smtpscanner auf diesen Prozess.
Eine Reihe von Parametern für die Arbeit des Prozesses können in der Konfigurationsdatei kav4mailservers.conf (Abschnitt [aveserver.options]):
Detach From Terminal – Trennen des Prozesses vom Terminal sofort
nach dem Start. Das Aktivieren dieses Modus ist erforderlich, da das Laden des Systems nicht fortgesetzt wird, bevor der Prozess nicht getrennt wurde. In der Grundeinstellung ist dieser Modus aktiviert (Wert
yes). Dieser Modus sollte nur dann deaktiviert werden (Wert no), wenn
der Prozess mit Programmen des Typs svc verwaltet wird.
Startup Mode – Wechsel des Prozesses vom Dialogmodus in den
Hintergrundmodus unter der Bedingung, dass DetachFromTerminal=yes. Der Wert fast legt fest, dass der Daemon sofort nach dem Laden der Konfigurationsdatei zum Hintergrundmodus übergeht und den Code 0 zurückgibt. Der Wert normal der Wechsel des Prozesses zum Hintergrundmodus erst stattfindet, nachdem die Antiviren-Datenbanken und Lizenzschlüssel in den Arbeitsspeicher geladen wurden.
bedeutet, dass
Im Modus fast ist die visuelle Geschwindigkeit beim Start des Prozesses höher. Allerdings besteht die Möglichkeit, dass der Daemon aufgrund eines fatalen Fehlers nicht gestartet wird und dabei keinerlei Meldung auf der Konsole erscheint!
Local Socket Permission – oktale Berechtigung, mit der ein Socket angelegt wird. In der Grundeinstellung Local Socket Permission=0666.
77 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
6.4.1. Neustart von
Der automatische Neustart des Prozesses aveserver erfolgt sofort nach der Aktualisierung der Antiviren-Datenbanken, unter der Bedingung, dass die entsprechende Option in der Konfiguration aktiviert wurde (ReloadApplication=yes).
Der Neustart wird durch den Befehl kill –HUP <PID des Prozesses> durchgeführt. Dadurch erhält der Prozess das Signal SIGHUP. Bei diesem Signal lädt der übergeordnete Prozess erneut die Konfigurationsdatei, Lizenzschlüssel und Datenbanken oder beendet die Arbeit mit einer entsprechenden Meldung im Protokoll, wenn der Pfad einer Datei nicht korrekt angegeben wurde. Alle offenen Verbindungen der Kopien des Prozesses mit Client-Programmen bleiben bis zu deren Schließen aktiv.
Ein solcher Neustart des Prozesses aveserver ist auch dann erforderlich, wenn z.B. die Konfigurationsdatei geändert oder ein neuer Lizenzschlüssel installiert wurde.
aveserver
6.4.2. Zwangsläufiges Beenden der Arbeit von
Ist das zwangsläufige Beenden der Arbeit des Prozesses aveserver erforderlich, dann verwenden Sie den Befehl kill < PID des Prozesses>. Der Befehl kill sendet das Signal SIGTERM an den Prozess, durch den die Arbeit von aveserver beendet wird und alle von ihm erzeugten Kopien geschlossen werden.
aveserver
Es wird ausdrücklich empfohlen, den Befehl kill –9 nicht zum Beenden der Arbeit mit dem Prozess aveserver zu verwenden. Durch das Ausführen dieses Befehls wird zwar die Arbeit des Prozesses beendet, jedoch bleibt im System eine Reihe von temporären und Arbeitsdateien erhalten, die nur manuell gelöscht werden können. Beim Vorhandensein solcher Dateien halten bestimmte Anwendungen (z.B. Webmin) den Prozess für gestartet.
6.5. Lokalisierung des Formats für
Datums- und Uhrzeitanzeige
Während der Arbeit mit Kaspersky Anti-Virus® wird für jede Komponente ein Protokoll erstellt. Außerdem werden unterschiedliche Benachrichtigungen für
Erweiterte Einstellungen 78
Benutzer und Administratoren generiert. Solche Informationen werden immer von einer Datums- und Uhrzeitangabe begleitet.
®
In der Grundeinstellung verwendet Kaspersky Anti-Virus die Formate, die dem Standard strftime entsprechen:
%H:%M:%S – angezeigtes Format der Uhrzeit; %d/%m/%y – angezeigtes Format des Datums;
Der Administrator kann das Format für Datum und Uhrzeit ändern. Die Lokalisierung der Formate wird im Abschnitt [locale] der Konfigurationsdatei kav4mailservers.conf vorgenommen. Sie können folgende Formate festlegen:
%I:%M:%S %P – zur Anzeige der Uhrzeit im Zwölfstunden-Format
(Parameter TimeFormat).;
%y/%m/%d und %m/%d/%y – zur Anzeige des Datums (Parameter
DateFormat).
für Datum und Uhrzeit
6.6. Parameter für die
Protokollerstellung von Kaspersky Anti-Virus
Die Arbeitsergebnisse aller Komponenten von Kaspersky Anti-Virus® werden in einem Protokoll aufgezeichnet. Das Protokoll wird in einer Datei gespeichert.
Die Ergebnisse der Antivirenbearbeitung der Serverdateisysteme wer­den auch auf der Konsole angezeigt. In der Grundeinstellung sind die Informationen, die im Report aufgezeichnet und auf dem Bildschirm angezeigt werden, identisch. Wenn Sie wollen, dass auf der Konsole andere Informationen angezeigt werden als in der Reportdatei, ist eine Reihe von Zusatzeinstellungen erforderlich (Details s. Pkt. 6.6.2 auf S. 82).
Der Umfang der angezeigten Informationen kann durch Änderung der Protokollgenauigkeit beeinflusst werden.
Die Protokollgenauigkeit wird durch eine Ziffer angegeben, welche die Genauigkeit der Informationen über die Arbeit der Komponenten im Protokoll festlegt. Jedes Folgeniveau umfasst die Informationen des vorhergehenden und bestimmte Zusatzinformationen.
In der folgenden Tabelle werden alle verfügbaren Niveaus der Protokoll­genauigkeit aufgezählt.
®
79 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Niveau
Name des Niveaus
Kritische Fehler
Bedeutung
Nur Informationen über kritische Fehler (Fehler, die zum Beenden der Arbeit des Programms führen, weil bestimmte Aktionen nicht ausgeführt werden können). Beispiel: Eine Komponente ist infiziert, oder bei der Untersuchung bzw. beim Laden von Datenbanken und Lizenzschlüsseln trat ein Fehler auf.
1 Errors Informationen über sonstige Fehler, einschließ-
lich Fehlern, die nicht zum Beenden der Arbeit von Komponenten führten; z.B.: Informationen über einen Fehler beim Scannen einer Datei.
2 Warning Informationen über Fehler, die zum Beenden der
Arbeit des Produkts führen können (z.B. Informationen über unzureichenden Platz auf einem Laufwerk).
3 Info, Notice Wichtige Meldungen mit informativem Charakter;
z.B.: Informationen darüber, ob eine Kompo­nente gestartet wurde, Pfad der Konfigurations­datei, Scanbereich, Informationen über die Antiviren-Datenbanken und über Lizenz­schlüssel, Ergebnisstatistik.
4 Activity Meldungen über das Scannen von Dateien
entsprechend dem Niveau der Protokollgenauigkeit (s. Pkt. 6.6.1 auf S. 80).
10 Debug Alle Meldungen die das Erkennen, Lokalisieren
und Korrigieren von Programmfehlern (Debuggen) betreffen; z.B.: Inhalt der Konfigu­rationsdatei.
Informationen über kritische Fehler bei der Arbeit einer Komponente werden unabhängig vom gewählten Genauigkeitsniveau angezeigt. Das optimale Niveau für die Arbeit der Komponente ist Niveau 4, das auch als Standard gilt.
Das generelle Format für die Anzeige von Informationen für alle genannten Genauigkeitsniveaus besitzt folgendes Aussehen:
[Datum Uhrzeit Protokollierungsniveau] STRING
wobei:
Erweiterte Einstellungen 80
[Datum Uhrzeit Protokollierungsniveau] – Parameter, der
vom System erstellt wird und Datum und Uhrzeit (im Format, das der Administrator gewählt hat) sowie das Niveau der Protokollgenauigkeit (den ersten Buchstaben, der dem Namen des Genauigkeitsniveaus entspricht) enthält.
Das Format der Datums- und Uhrzeitanzeige kann im Abschnitt [locale] der Konfigurationsdatei kav4mailservers.conf geändert werden.
STRING – Protokollzeile; besitzt abhängig von der Meldungsart
unterschiedliches Format. Folgende Meldungsarten sind vorgesehen:
Meldungen über das Scannen (s. Pkt. 6.6.1 auf S. 80).
Sonstige Meldungen (über den Start einer Komponente, über das Laden
der Antiviren-Datenbanken, Rückgabewerte usw.).
Meldungen, die auf der Konsole angezeigt werden (s. Pkt. 6.6.2 auf S. 82).
Betrachten wir die Meldungsarten und das ihnen entsprechende Format ausführlicher.
6.6.1. Format von Meldungen über das Scannen
Meldungen über die Untersuchung werden nur für die Komponenten kavscanner und aveserver generiert.
Das Format des Protokolls über das Scannen jeder Datei ist davon abhängig, zu welchem Objekttyp (gewöhnliches oder Archiv-Objekt) die Datei zählt.
Für ein gewöhnliches Objekt besitzen die Meldungen über das Scannen folgendes Format:
Erweitertes Meldungsformat (ShowObjectResultOnly=no):
"Dateiname" Ergebnis [Virusname]
Kurzes Meldungsformat (ShowObjectResultOnly=yes):
"Dateiname" Ergebnis
wobei:
81 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Virusname – Name des Virus für die Ereignisse CURED, INFECTED,
CUREFAILED, WARNING, SUSPICIOUS. Für andere Ereignisse bleibt dieses Feld leer.
Ergebnis – Status, den die Datei als Ergebnis der Untersuchung und
Desinfektion erhält. Die vollständige Liste der möglichen Ergebnisse befindet sich in der unten folgenden Tabelle.
Auch für Meldungen über zusammengesetzte Objekte (Archive) stehen ein erweitertes und ein kurzes Format für Meldungen über das Scannen zur Verfügung:
Erweitertes Meldungsformat (ShowContainerResultOnly=no):
"Archivname"
"Dateiname" Ergebnis [Virusname]
"Dateiname" Ergebnis [Virusname]
Kurzes Meldungsformat (ShowContainerResultOnly=yes):
"Dateiname" Ergebnis
Ereignis/Ergebnis Bedeutung
OK Datei ist virusfrei.
CURED (nur bei aktiviertem
Datei war infiziert und wurde erfolgreich desinfiziert.
Desinfektionsmodus)
INFECTED Datei ist von einem oder mehreren Viren infiziert;
Desinfektionsmodus wurde nicht aktiviert.
CUREFAILED (nur bei aktiviertem Desinfektionsmodus)
Datei ist von einem oder mehreren Viren infiziert; Desinfektionsmodus wurde aktiviert, aber Desinfektion der Datei ist nicht möglich.
WARNING Code der Datei besitzt Ähnlichkeit mit dem Code
eines bekannten Virus.
SUSPICIOUS Datei ist verdächtig auf Infektion durch einen
unbekannten Virus.
ERROR Datei kann nicht untersucht werden, weil ein Fehler
aufgetreten ist (z.B. als Ergebnis der Bearbeitung eines beschädigten Archivs).
Erweiterte Einstellungen 82
Ereignis/Ergebnis Bedeutung
PROTECTED Datei kann nicht untersucht werden, weil sie
verschlüsselt ist.
CORRUPTED Datei ist beschädigt.
6.6.2. Format von Meldungen, die auf der Konsole angezeigt werden
Die Anzeige von Meldungen auf der Konsole betrifft die Komponenten kavscanner und keepup2date!
Die Anzeige von Informationen der Komponente kavscanner auf der Konsole wird durch das Vorhandensein oder Fehlen des Befehlszeilenparameters –q beim Start der Komponente reguliert. Wenn der Parameter angegeben wird, werden keine Informationen auf der Konsole angezeigt. Die Anzeige von Meldungen über die Arbeit der Komponente keepup2date auf der Konsole wird durch den Parameter KeepSilent=no in der Konfigurationsdatei festgelegt.
In der Grundeinstellung entsprechen Format und Umfang der auf dem Bildschirm angezeigten Informationen vollständig den in der Reportdatei aufgezeichneten Daten.
Für die Komponente kavscanner kann die Auswahl von auf der Konsole ange­zeigten Informationen geändert werden. Dazu ist es erforderlich, den Abschnitt [display] in die Konfigurationsdatei (kav4mailservers.conf oder alternative Datei) aufzunehmen.
Hier kann die Bildschirmanzeige von Informationen über das Scannen von Objekten innerhalb eines Archivs (ShowContainerResultOnly), über virusfreie Dateien (ShowOK) und über die aktuellen Arbeitsergebnisse der Komponente (ShowProgress) eingestellt werden.
Die Genauigkeit des Untersuchungsprotokolls wird bei Vorhandensein des Abschnitts [scanner.display] durch den Parameter –x<Option> aus der Befehlszeile reguliert.
6.6.3. Antiviren-Statistik der Anwendung
In Kaspersky Anti-Virus Version 5.5 sind das Erstellen und die Anzeige einer Statistik über die Virenaktivität für einen bestimmten Zeitraum möglich. Auf diese
83 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Funktionalität kann über das Web-Interface des Programms Webmin zugegriffen werden.
Um das automatische Erstellen der Antiviren-Statistik zu konfigurieren,
Legen Sie in der Konfigurationsdatei der Anwendung im Abschnitt
екции [smtpscan.report] für den Parameter AVStatistics folgenden Wert fest:
AVStatistics= /var/log/kav/5.5/kav4mailservers/smtpscanner.stat
Starten Sie das Skript, das Informationen für die Statistik aus der
Protokolldatei sammelt, in den gewünschten Zeitabständen. Geben Sie dazu in der Befehlszeile ein:
perl /usr/libexec/webmin/kavms5.5/parse_avstat.pl \
-sd=/var/db/kav/5.5/kav4mailservers/proc_avstat\
/var/log/kav/5.5/kav4mailservers/smtpscanner.stat
Lesen Sie die aktualisierten statistischen Daten mit Hilfe des
Programms Webmin erst nach dem Start des oben genannten Skripts.
Wenn das Programm Webmin nicht am standardmäßigen Ort installiert ist, dann ändert sich auch der Pfad /usr/libexec/webmin/kavms5.5/parse_avstat.pl!
Erweiterte Einstellungen 84
Kapitel 7. Deinstallation von
Kaspersky Anti-Virus®
Für die Deinstallation von Kaspersky Anti-Virus sind erforderlich:
Vorhandensein der Rechte eines privilegierten Benutzers (root). Wenn
Sie im Moment der Deinstallation nicht über diese Rechte verfügen, ist die Anmeldung am System als Benutzer root erforderlich.
Vorhandensein der Protokolldatei über den Installationsprozess.
Vollständige Übereinstimmung von Namen und Größen der installierten
Dateien von Kaspersky Anti-Virus mit den Angaben in der Installations­Protokolldatei.
Beenden des Prozesses aveserver.
Beenden des Maildiensts.
Abhängig vom verwendeten Paket-Manager erfolgt der Start der Deinstallationsprozedur auf unterschiedliche Weise. Betrachten wir die möglichen Varianten genauer.
Wenn Sie bei der Installation das rpm-Paket für Kaspersky Anti-Virus verwendet haben, geben Sie zum Start der Deinstallation in der Befehlszeile ein:
rpm -e <Paketname>
Wenn Sie bei der Installation das deb-Paket für Kaspersky Anti-Virus verwendet haben, geben Sie zum Start der Deinstallation in der Befehlszeile ein:
dpkg -r <Paketname>
Wenn Sie bei der Installation das pkg-Paket für Kaspersky Anti­Virus verwendet haben, geben Sie zum Start der Deinstallation in der Befehlszeile ein:
pkg-delete <Paketname>
Die Deinstallationsprozedur wird automatisch ausgeführt. Wenn die Deinstallation der Anwendung erfolgreich abgeschlossen wird, erfolgen keine weiteren Meldungen.
85 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Kapitel 8. Testen der
Funktionalität von Kaspersky Anti-Virus
Wir empfehlen, nach der Installation und Konfiguration von Kaspersky Anti-Virus mittels eines "Test-Virus" und dessen Modifikationen zu überprüfen, ob die Anwendung richtig funktioniert.
Der "Test-Virus" wurde von der Organisation (The European Institute for Computer Antivirus Research) speziell zum Testen von Antivirenprodukten entworfen.
Der "Test-Virus" IST KEIN VIRUS und enthält keinen Programmcode, der Ihrem Computer schaden könnte. Die meisten Antivirenprodukte der meisten Hersteller identifizieren diese Datei jedoch als Virus.
Verwenden Sie niemals einen echten Virus, um die Funktionsfähigkeit eines Antivirenprodukts zu testen!
Sie können den "Test-Virus" von der offiziellen Webseite der Organisation EICAR unter http://www.eicar.org/anti_virus_test_file.htm keine Internetverbindung besteht, können Sie selbst einen "Test-Virus" herstellen. Geben Sie dazu in einen beliebigen Texteditor folgende Zeichenkette ein und speichern Sie die Datei als eicar.com:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST­FILE!$H+H*
Die Datei, die Sie von der EICAR-Webseite heruntergeladen oder wie oben beschrieben hergestellt haben, enthält den Körper des standardmäßigen "Test­Virus". Das Antivirenprogramm entdeckt diese Datei, markiert sie als Infiziert und irreparabel, und wendet die vom Administrator für diesen Objekttyp festgelegte Aktion darauf an.
Um die Reaktion des Antivirenprogramms auf den Fund anderer Objekttypen zu testen, verändern Sie den Inhalt des standardmäßigen "Test-Virus", indem Sie eines der Präfixe aus der unten folgenden Tabelle hinzufügen.
downloaden. Falls
Erweiterte Einstellungen 86
Tabelle. Modifikationen des
"Test-Virus"
Präfix Objekttyp
Kein Präfix, standardmäßiger "Test-Virus"
CORR–
SUSP–
WARN–
ERRO–
CURE–
DELE– Objekt wird automatisch gelöscht.
In der ersten Spalte der Tabelle sind die Präfixe aufgeführt, die am Anfang der Zeichenkette des standardmäßigen "Test-Virus" angefügt werden können (zum Beispiel: CORR–X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD­ANTIVIRUS-TEST-FILE!$H+H*). Die zweite Spalte der Tabelle enthält die Typen von Objekten, die nach dem Hinzufügen der Präfixe von einem Antivirenpro­gramm identifiziert werden. Die Aktionen für jeden Objekttyp sind durch die vom Administrator angepassten Einstellungen des Antivirenprogramms festgelegt.
Infiziert. Objekt kann nicht desinfiziert werden.
Unbekannt.
Verdächtig (unbekannter Viruscode).
Verdächtig (veränderter Code eines bekannten Virus).
Nicht untersucht wegen Fehler.
Desinfiziert. Objekt kann desinfiziert werden, wobei der
Text des "Virus"-Körpers in CURED geändert wird.
Kapitel 9. Häufige Fragen über
die Arbeit mit dem Produkt
In diesem Kapitel beantworten wir ausführlich die von Benutzern häufig gestellten Fragen über Installation, Konfiguration und Funktion von Kaspersky Anti-Virus.
Frage: Kann Kaspersky Anti-Virus gleichzeitig mit Antivirenprodukten anderer Hersteller verwendet werden?
Um Konflikte zu vermeiden, empfehlen wir, die Antivirenprodukte anderer Hersteller vor der Installation von Kaspersky Anti-Virus zu entfernen.
Frage
: Kaspersky Anti-Virus untersucht eine Datei nicht wiederholt.
Warum?
Tatsächlich untersucht Kaspersky Anti-Virus Dateien nicht erneut, die sich seit der letzten Untersuchung nicht verändert haben.
Dies wird durch die Verwendung der neuen Technologien iChecker und iStreams ermöglicht. Dabei wird eine Datenbanken mit Kontrollsummen von Objekten verwendet.
Frage: Warum ruft Kaspersky Anti-Virus eine gewisse Senkung der Leistungsfähigkeit des Computers hervor und führt zu bemerkbarer Prozessorbelastung?
Das Erkennen von Viren ist eine rechnerische (mathematische) Aufgabe, die mit Strukturanalyse, Berechnung von Kontrollsummen und mathematischer Datenumformung zusammenhängt. Deshalb ist die Hauptressource, die bei der Arbeit von Anti-Virus verbraucht wird, die Prozessorzeit. Dabei erhöht jeder neue Virus, der den Antiviren­Datenbanken hinzugefügt wird, die Gesamtzeit der Untersuchung.
Andere Antivirenprogramme verkürzen die Untersuchungszeit, indem schwierig zu erkennende oder (in geografischer Hinsicht) seltene Viren, sowie kompliziert zu analysierende Dateiformate (z.B. pdf) nicht in die Antiviren-Datenbanken aufgenommen werden. Im Unterschied dazu ist sich Kaspersky Lab sicher, dass die Aufgabe eines Antivirenprogramms darin besteht, den Benutzern reale Antivirensicherheit zu garantieren.
Kaspersky Anti-Virus erlaubt erfahrenen Benutzern, die Antivirenuntersuchung zu beschleunigen, indem bestimmte Dateitypen von der Antivirenuntersuchung ausgeschlossen werden.
Häufige Fragen 88
Kaspersky Anti-Virus erkennt über 700 Formate von archivierten und komprimierten Dateien. Für die Antivirensicherheit ist das sehr wichtig, weil jedes der erkennbaren Formate einen ausführbaren schädlichen Code enthalten kann. Trotzdem arbeitet die neue Version des Produkts im Vergleich zur vorhergehenden schneller, obwohl sich die Gesamtzahl der von Kaspersky Anti-Virus erkennbaren Viren täglich erhöht (ungefähr 30 neue Viren pro Tag) und die Anzahl der unterstützten Formate ständig steigt. Das wird durch die Verwendung neuer unikaler Technologien wie iChecker™ und iStreams™ erreicht, die von Kaspersky Lab entwickelt wurden.
: Wozu wird der Lizenzschlüssel benötigt? Funktioniert mein Anti-
Frage Virus ohne Lizenzschlüssel?
Kaspersky Anti-Virus funktioniert nicht ohne Lizenzschlüssel.
Wenn Sie sich noch nicht zum Erwerb von Kaspersky Anti-Virus entschlossen haben, können wir Ihnen einen Probeschlüssel (Evaluierungsschlüssel) anbieten, der für zwei Wochen oder einen Monat gültig ist. Nach Ablauf der Gültigkeitsdauer wird der Schlüssel gesperrt.
: Was passiert, wenn die Lizenz zur Produktnutzung abläuft?
Frage
Bei Ablauf der Gültigkeitsdauer der Lizenz für die Nutzung von Kaspersky Anti-Virus setzt das Produkt seine Arbeit fort, aber die Verwendung neuer Antiviren-Datenbanken ist nicht mehr möglich. Anti­Virus wird weiterhin die Desinfektion infizierter Objekte durchführen, dabei jedoch die alten Antiviren-Datenbanken benutzen.
Sollte diese Situation eintreten, dann informieren Sie Ihren Systemadministrator oder wenden Sie sich zur Lizenzverlängerung an die Firma, bei der Kaspersky Anti-Virus erworben wurde, oder direkt an Kaspersky Lab Ltd.
: Mein Anti-Virus funktioniert nicht.
Frage
Wie soll ich vorgehen?
Überprüfen Sie zuerst, ob in der vorliegenden Dokumentation, insbesondere im vorliegenden Kapitel, oder auf unserer Internetseite (Dienste # Technischer Support) eine Lösungsmethode für Ihr Problem enthalten ist. Außerdem empfehlen wir Ihnen, sich an die Firma zu wenden, bei der Sie Kaspersky Anti-Virus erworben haben, oder einen Brief an den Technischen Supportservice (support@kaspersky.com
) zu schreiben.
Um sicherzustellen, dass Ihre Frage möglichst schnell bearbeitet wird:
1. Geben Sie in der Betreffzeile Ihrer Nachricht das Betriebssystem Ihres Computers, den Namen des von Ihnen verwendeten
89 Kaspersky Anti-Virus for Unix Mail Servers
Kaspersky-Lab-Produkts und das Problem an. Zum Beispiel:
Linux, Webmin, kein Zugriff auf die Einstellungen der Liste
lizenzierter Benutzer.
2. Schreiben Sie Ihre Nachricht im Text-Format (plain text).
3. Geben Sie am Beginn der Nachricht die genaue Version des Betriebssystems, der Distribution von Kaspersky Anti-Virus und die Nummer Ihrer Lizenz an.
4. Beschreiben Sie das Problem möglichst kurz, aber verständlich. Denken Sie daran, dass der Support-Service vor der Lektüre Ihres Briefs noch nichts von Ihrem Problem weiß und Ihnen nur helfen kann, nachdem das Problem vollständig verstanden und nachvoll­zogen wurde.
5. Senden Sie folgende Daten an den Technischen Support-Service, nachdem Sie diese in ein Archiv gepackt haben:
alle Konfigurationsdateien Ihres Mailagenten (MTA)
Dateien des Ordners /etc/kav/
Protokolldatei des Mailsystems
Protokolldatei der Anti-Virus-Komponente, z.B.
/var/log/aveserver.log
Informationen, die durch den Befehl ps –ax auf der Konsole
erscheinen.
Lizenzschlüssel.
6. Machen Sie im Brief unbedingt Angaben über das Vorhandensein folgender Elemente:
SCSI- Controller
sehr alter oder sehr neuer Prozessor, mehrere Prozessoren
Arbeitsspeicher mit weniger als 64 MB oder über 2 GB
7. Geben Sie das Volumen des täglichen Traffics und eventuelle Belastungsspitzen an.
Frage
: Warum sind die täglichen Updates erforderlich?
Bis vor einigen Jahren wurden Viren auf Disketten weitergegeben und für den Schutz eines Computers genügte es, ein Antivirenprogramm zu installieren und ab und zu die Antiviren-Datenbanken zu aktualisieren. Doch die letzten Virenepidemien breiteten sich innerhalb weniger Stunden weltweit aus und ein installierter Anti-Virus mit alten
Häufige Fragen 90
Datenbanken ist gegenüber einer neuen Gefahr machtlos. Um solchen neuen Viren nicht zum Opfer zu fallen, müssen die Antiviren­Datenbanken täglich aktualisiert werden.
Kaspersky Lab beschleunigt jedes Jahr die Frequenz für das Update der Antiviren-Datenbanken. Momentan werden sie alle drei Stunden aktualisiert.
Eine Zusatzfunktion ist die Aufgabe zum Update der Programmmodule von Anti-Virus, in denen erkannte Sicherheitslücken korrigiert oder neue Funktionen zur Verfügung gestellt werden.
Frage
: Was hat sich im Update-Dienst seit Version 5.0 geändert?
Kaspersky Labs Produktlinie wurde ab Version 5.0 mit einem neuen Update-Dienst ausgestattet. Die Neuentwicklung beruht auf den Anregungen von Anwendern und auf Marketingüberlegungen. Daneben stellte sich die Aufgabe, die Technologie der gesamten Updateprozedur zu optimieren, die mit Vorbereitung der Datenbanken bei Kaspersky Lab beginnt und mit dem Update der Benutzerdateien endet.
Vorteile des neuen Update-Diensts:
Vervollständigung des Datei-Downloads bei
Verbindungsunterbrechung. Bereits heruntergeladene Updates
müssen nach dem Wiederaufbau der Verbindung nicht mehr wiederholt geladen werden.
Halbierung der Größe des kumulativen Updates. Ein kumulatives Update enthält die gesamte Antiviren-Datenbank, weshalb die Größe des Kumulativums jene eines gewöhnlichen Updates wesentlich übersteigt. Im neuen Update-Dienst kommt eine spezielle Technologie zum Einsatz, die es erlaubt, die bereits vorhandenen Antiviren-Datenbanken für das kumulative Update zu verwenden.
Beschleunigter Download aus dem Internet. Kaspersky Anti- Virus wählt den Kaspersky-Lab-Updateserver, der in Ihrer Nähe liegt. Außerdem wird die Belastung der Server entsprechend ihrer Leistungsfähigkeit bestimmt, d.h. es wird kein überlasteter Server für den Download verwendet, wenn gleichzeitig ein anderer Server freie Ressourcen besitzt.
Verwendung von "schwarzen Listen" für die Schlüssel. Dadurch können Benutzer, die keine Lizenz für die Nutzung von Kaspersky Anti-Virus besitzen, vom Update ausgeschlossen werden. Damit wird vermieden, dass lizenzierte Benutzer unter überlasteten Updateservern zu leiden haben.
91 Kaspersky Anti-Virus for Unix Mail Servers
Für korporative Produkte wurde eine Option zum Erstellen eines lokalen Updateservers realisiert. Diese Funktion ist für
Unternehmen erforderlich, in denen in einem lokalen Netzwerk Computer zusammengefasst sind, die durch Kaspersky-Lab­Anwendungen geschützt werden. In diesem Fall kann ein beliebiger Computer die Funktion des Updateservers übernehmen, der die Updates aus dem Internet empfängt, diese in einem lokalen Ordner ablegt und den anderen Netzwerkcomputern Zugriff darauf gewährt.
: Kann ein Angreifer die Antiviren-Datenbanken verändern?
Frage
Alle Antiviren-Datenbanken besitzen eine unikale Signatur, die beim Zugriff auf die Datenbanken von Kaspersky Anti-Virus überprüft wird. Stimmt die Signatur nicht mit der von Kaspersky Lab vergebenen überein und das Datum einer Datenbank liegt nach dem Tag der Lizenzgültigkeit für die Produktbenutzung, dann wird Kaspersky Anti­Virus diese Datenbanken nicht verwenden.
: Funktioniert Kaspersky Anti-Virus für Unix auf meiner Distribution
Frage des Betriebssystems Linux?
Kaspersky Anti-Virus für Unix Version 5.5 wurde auf Distributionen von RedHat, Debian und SuSE getestet und die Distributionen von Kaspersky Anti-Virus wurden speziell für diese erstellt.
Zu den Versionen der unterstützten Betriebssysteme s. Pkt. 1.2 auf S. 5.
Wenn Ihre Distribution vollständig mit einer unterstützten Distribution kompatibel ist (ASPLinux ist beispielsweise kompatibel mit Red Hat Linux), dann ist das Auftreten von Problemen mit kritischem Charakter sehr unwahrscheinlich.
Auf Distributionen, die nicht in der Liste der von Kaspersky Lab unterstützten Distributionen enthalten sind, ist die fehlerhafte Arbeit der Anwendung möglich. Dies steht vor allem mit Besonderheiten des Betriebssystems in Verbindung. Die Distribution Ihres Systems kann beispielsweise eine andere Bibliotheksversion verwenden oder der Pfad der Skripte zur Systeminitialisierung kann vom Standard abweichen. In diesem Fall kann Ihnen der Technische Support-Service von Kaspersky Lab keine Hilfe anbieten.
Frage: Wie wird ein Archiv des Typs .tgz oder .tar.gz entpackt?
Häufige Fragen 92
Archive des Typs .tgz oder .tar.gz werden durch folgenden Befehl entpackt:
tar zxvf <Archivname>
Zu Details siehe manual pages zum Programm tar.
: Alles funktionierte tadellos, bis ich Kaspersky Anti-Virus for Unix
Frage Mail Servers installierte und ihn in das Mailsystem Postfix integrierte. Danach wurden E-Mail-Nachrichten nicht mehr zugestellt und in maillog wurde folgender Fehler aufgezeichnet:
Sep 23 15:17:03 server postfix/lmtp[1678]: 8238C38987: to=<user@server.org <mailto:user@server.org>>, relay=none, delay=1, status=bounced (localhost: host not found)
Was soll ich vorgehen?
Dieses Problem kann in folgenden Fällen auftreten:
In Ihrem DNS fehlt der Bereich localhost, der für RFC 2606 erforderlich ist. Konfigurieren Sie Ihr DNS so, wie es in RFC empfohlen wird. Ausführliche Informationen finden Sie auf
http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2606.html
.
In der Datei /etc/hosts ist localhost nicht definiert. Geben Sie den standardmäßigen localhost=127.0.0.1 als localhost an.
: Kann Kaspersky Anti-Virus durch Network Control Centre for
Frage Windows kontrolliert werden?
Die Verwendung von Network Control Centre for Windows ist bei der Arbeit mit Kaspersky Anti-Virus for Unix Mail Servers nicht möglich. In dieser Version der Anwendung ist die Möglichkeit der entfernten Konfiguration mit Hilfe eines speziellen Moduls zu dem Paket Webmin vorgesehen.
: Wie können die auf der Konsole angezeigten Meldungen des
Frage Programms in einer Datei gespeichert werden?
Um die Informationen, die während der Arbeit von Kaspersky Anti-Virus auf der Konsole angezeigt werden, zu speichern, müssen entweder entsprechende Einstellungen in der Konfigurationsdatei vorgenommen werden oder folgende Eingabe in der Befehlszeile erfolgen:
$ some_app > ./text_file 2>&1
wobei:
93 Kaspersky Anti-Virus for Unix Mail Servers
some_app – Anwendung, deren standardmäßige Ein- und
Ausgabemeldungen über Fehler bei der Arbeit Sie in einer Datei speichern möchten.
text_file – vollständiger Pfad der Datei, in welcher die Informationen
gespeichert werden sollen.
Beispiel:
$keepup2date > ./updater.log 2>&1
In diesem Fall werden in der Datei updater.log des aktuellen Ordners die ausgegebenen Standardmeldungen über Fehler der Komponente keepup2date aufgezeichnet.
Anhang A. Schädliche
Programme in Unix­Umgebung
In der Umgebung von Unix-Systemen sind Viren in wesentlich geringerem Umfang verbreitet als beispielsweise in der Umgebung von Windows. Die Gründe dafür liegen in Besonderheiten der jeweiligen Plattform. Die größte Verbreitung besitzen Trojaner und Netzwürmer.
Die Ausbreitung schädlicher Programme vollzieht sich über Netzwerke, wobei auch "Löcher" in der Software ausgenutzt werden. Betrachten wir die Arten schädlicher Programms für Unix und die Infektionsmethoden näher.
A.1. Viren
Ein Virus ist ein Programm (eine bestimmte Auswahl eines ausführbaren Codes und/oder Befehlen), das fähig ist, Kopien von sich selbst anzufertigen (die nicht unbedingt vollständig mit dem Original übereinstimmen) und diese ohne Wissen des Benutzers in unterschiedliche Objekte und/oder Ressourcen von Computersystemen, Netzwerken usw. einzufügen. Dabei behalten die Kopien die Fähigkeit zur weiteren Ausbreitung.
Bei der Untersuchung der Fundorte von Viren ergibt sich, dass Viren in Unix­Systemen in der Regel Dateiviren sind, die ihren Code in ausführbare Dateien schreiben oder Zwillingsdateien erstellen.
Nach Unterschieden hinsichtlich der Funktionsalgorithmen lassen sich unter­scheiden:
residenter Virus – Ein Virus, der bei der Infektion seinen residenten Teil im Arbeitsspeicher hinterlässt. Der residente Teil fängt danach Aufrufe des Betriebssystems an infizierbare Objekte ab und dringt in diese ein. Residente Viren befinden sich im Arbeitsspeicher und gelten bis zum Ausschalten des Computers oder zum Neustart des Betriebssystems als aktiv.
nicht residenter Virus – Ein Virus, der den Arbeitsspeicher des Computers nicht infiziert und eine zeitlich begrenzte Aktivität besitzt. Bestimmte Viren hinterlassen im Arbeitsspeicher residente Programme von geringem Umfang, die keine Viren verbreiten.
Viren, die Unix-Systeme infizieren können, sind in der Regel ungefährlich, da sich ihre Wirkung auf die Verringerung des freien Festplattenspeichers, Graphik-,
95 Kaspersky Anti-Virus for Unix Mail Servers
Laut- und andere Effekte beschränkt. Bestimmte Viren sind völlig harmlos, weil sie mit Ausnahme der Verringerung des freien Festplattenspeichers auf Grund ihrer Ausbreitung keinerlei Einfluss auf die Arbeit des Computers haben.
Im Folgenden einige Beispiele der Viren für Unix-Systeme:
ELF_SNOOPY – Ein Virus, der ausführbare Unix-Dateien infiziert.
Funktionsalgorithmus des Virus: Er sucht auf der Workstation alle
ausführbaren Dateien, benennt diese in Dateien mit der Erweiterung .X23 um und verschiebt sie in das erstellte Verzeichnis /E. Danach kopiert der Virus seinen Code in die Originaldateien und ändert deren Attribute in 777. Parallel dazu wird in der Hauptkennwortliste auf der infizierten Workstation der Benutzer
snoopy mit den Rechten 777 angelegt.
Linux.Bliss – Eine Gruppe nicht residenter Viren, die ausführbare Linux-
Dateien infizieren. Diese Viren sind in GNU C geschrieben und besitzen das Format ELF.
Funktionsalgorithmus des Virus: Beim Start sucht der Virus auf der
Workstation ausführbare Dateien und infiziert diese, indem er den Dateiinhalt nach unten verschiebt, seinen Code auf den freien Platz schreibt und am Dateiende eine Identifikationszeile hinzufügt. Die Aktion des Virus wird durch die Benutzerrechte beschränkt, mit denen er ausgeführt wird (es sind nur Dateien betroffen, auf die Zugriff besteht). Besitzt der Benutzer Systemprivilegien, dann kann sich der Virus auf den gesamten Computer ausbreiten.
Linux.Diesel – Ungefährlicher nicht residenter Linux-Virus, der ausführbare
Linux-Dateien infiziert. Funktionsalgorithmus des Virus: Nach dem Start liest der Virus seinen
binären Code aus der Trägerdatei, sucht ausführbare Linux­Dateien in Systemunterverzeichnissen und schreibt seinen Code in die Mitte des Codes jeder Datei, wodurch die Größe des mittleren Segments erhöht wird.
Linux.Siilov – Ungefährlicher Linux-Virus, der ausführbare Dateien infiziert.
Er besitzt das Format ELF. Funktionsalgorithmus des Virus: Er verwendet zwei Methoden zur
Infektion von Dateien: eine residente und eine nicht residente. Residente Methode: Der Virus verbleibt im Arbeitsspeicher und infiziert im Hintergrundmodus Dateien. Nicht residente Methode: Der Virus sucht auf der Festplatte nach ausführbaren Dateien und infiziert diese.
Linux.Winter – Harmloser nicht residenter Linux-Virus. Er besitzt eine sehr
geringe Größe von nur 341 Byte. Funktionsalgorithmus des Virus: Beim Start übernimmt der Virus die
Kontrolle, sucht im aktuellen Verzeichnis ELF-Dateien (ausführbare Linux-Dateien) und infiziert diese.
Anhang A 96
A.2. Trojanische Programme
Ein Trojanisches Programm ist ein Programm, das Aktionen ausführt, die vom Benutzer nicht sanktioniert wurden. Ein Trojaner installiert sich beim Start im System und überwacht dann das System, wobei der Benutzer keinerlei Meldungen über die Aktionen des Trojaners im System erhält. Der Computer kann dann im Remote-Modus kontrolliert werden.
Die Ausbreitung von Trojanischen Programmen erfolgt über Netzwerke.
Ein prägnanter Vertreter für die Familie der Trojanischen Programme für Unix­Systeme ist TROJ_IRCKILL – Dieser Trojaner besteht aus einer Auswahl von Programmwerkzeugen zur Trennung von Benutzern von IRC-Kanälen. Die Auswahl umfasst vier Dienstprogramme für einen Angriff: FLOOD (flood – Überschwemmung), MCB (Multiple Collide BOTs), SUMO BOTs und FLASH – ein besonderer Typ der "Überschwemmung" zur Verwendung in einer UNIX­Umgebung.
Angriffe des Typs FLASH werden zur direkten Trennung des Modems verwendet. Dabei werden ping-Befehle mit "fehlerhaften" Daten, die in einer bestimmten Reihenfolge angegeben werden, an eine bestimmte IP-Adresse gesendet. Das Benutzermodem wird diese Daten als Befehl zum Trennen interpretieren und das Internet verlassen. Allerdings kann diese Angriffsart nicht für alle Modemtypen verwendet werden.
Der Angriff MCB erfolgt über IRC-Kanäle. In einem Moment, in dem IRC-Server keine gegenseitige Synchronisation vornehmen können (net split), verdoppelt das Trojanische Programm den Benutzernamen (nickname). Nachdem die Synchronisation zwischen den IRC-Servern wiederhergestellt wurde, wird der betreffende Name fehlerhaft und der Benutzer wird vom IRC-Kanal getrennt.
Der Angriff FLOOD BOTS/SUMO BOTS wird ebenfalls in einem IRC-Netzwerk verwendet, indem zahlreiche Benutzer mit zufällig gewählten Namen (nickname) "geboren" werden. Mit Hilfe dieses Angriffs wird ein IRC-Kanal oder ein Benutzer, der während eines Chats Nachrichten sendet oder empfängt, solange "überflutet", bis die Benutzermaschine eine bestimmte Höchstgrenze für weiterzuleitende Daten erreicht. Danach wird dieser Benutzer ebenfalls vom IRC-Kanal getrennt.
Root kit – Ein Programmpaket, das von Hackern verwendet wird, um root­Zugang auf einen Remote-Computer zu erhalten. Es benutzt die Unix-Standard­programme ps und ls. Die einzige effektive Methode zur Wiederherstellung nach einem Angriff, der mit Hilfe von Root kit erfolgte, ist die Wiederherstellung wichtiger Daten von einer Sicherheitskopie (Es wird empfohlen regelmäßig Sicherheitskopien anzufertigen), das vollständige Säubern der Festplatte und die Neuinstallation des Systems.
97 Kaspersky Anti-Virus for Unix Mail Servers
A.3. Netzwürmer
Die zu dieser Kategorie zählenden schädlichen Programme schreiben sich nicht in ausführbare Objekte ein, sondern kopieren sich in Netzwerkressourcen. Ihre Bezeichnung erhielt diese Kategorie eben auf Grund der für Würmer typischen Fähigkeit, durch Netzwerke und andere Informationskanäle zu "kriechen".
Sie dringen aus einem Computernetz in den Speicher eines Computers ein, ermitteln Netzadressen anderer Computer und versenden ihre Kopien an diese Adressen.
Manche Vertreter dieser Klasse legen Arbeitsdateien auf Systemlaufwerken an, funktionieren aber völlig ohne Zugriff auf die Computerressourcen (mit Ausnahme des Arbeitsspeichers).
Worm.Linux.Ramen – Der erste bekannte Wurm, der die Systeme von RedHat
Linux infiziert. Er infiziert Remote-Linux-Systeme (RedHat Linux) mit Hilfe eines Pufferüberlaufproblems. Dieses "Loch" in der Software ermöglicht es, ausführbaren Code an einen Remote-Computer zu senden und diesen dort ohne Eingreifen des Administrators (Benutzers) auszuführen.
Ausbreitungsquelle: über Netzwerke in Form des Archivs tgz. Funktionsalgorithmus: Unter Ausnutzung eines Pufferüberlaufproblems
sendet der Wurm ein kleines Stück seines Codes an Remote-Computer. Beim Start der Hauptkomponente des Wurms (Datei start.sh) werden nacheinander die übrigen Komponenten aufgerufen. Diese ermitteln die Adressen von anzugreifenden Systemen und senden an diese mit Hilfe des "Pufferüberlauf"-Angriffs den "Lademechanismus" des Wurms, der anschließend die restlichen Teile des Wurms nachlädt und den Hauptcode des Wurms startet. Die Startseite des Webservers wird ersetzt durch eine HTML-Datei mit dem Text: "RameN Crew – Hackers looooooooooooove noodles". Schließlich sendet der Wurm eine E-Mail­Nachricht an zwei Adressen, startet das System neu und beginnt erneut das Internet zu scannen. Außerdem fügt der Wurm zur Systeminitialisierungsdatei /etc/rc.d/rc.sysinit den Befehl zum Start seiner Hauptdatei hinzu. Dadurch wird der Wurm bei jedem folgenden Start des infizierten Systems gestartet.
Worm.Linux.Lion – Ein Internet-Wurm, der Linux-Server angreift. Zum
Eindringen in einen Computer verwendet der Wurm eine Sicherheitslücke im Service BIND DNS.
Funktionsalgorithmus: Der Wurm scannt das Internet auf der Suche nach
Systemen, die eine Sicherheitslücke beim root-Zugriff aufweisen. Beim Fund eines solchen Systems infiziert der Wurm dieses, sammelt Informationen darüber (IP-Adresse, Logins, Kennwörter) in einer Datei
Anhang A 98
mit dem Namen mail.log und sendet die Datei anschließend an die E­Mail-Adresse 1i0nsniffer@china.com.
Außerdem unternimmt der Wurm Versuche zur Verbindung über das Internet mit der Seite www.51.net (Die Domäne 51.net ist in China regi­striert) und lädt von dort die Datei crew.tgz. Dieses Archiv entpackt sich auf der infizierten Maschine und installiert Prozeduren, bei deren Aus­führung der inzwischen erneut infizierte Computer ebenfalls beginnt, die Ressourcen des Internets auf der Suche nach zukünftigen Opfern zu scannen.
mIRC.Acoragil und mIRC.Simpsalapim – Die ersten bekannten mIRC-Würmer.
Ihre Namen erhielten sie nach den Codewörtern, die von den Würmern ver­wendet werden: Ist im Text, der über einen Kanal an einen beliebigen Benutzer übertragen wird, die Zeile Acoragil enthalten, dann werden alle Benutzer, die mit dem Wurm mIRC.Acoragil infiziert sind, automatisch von dem Kanal getrennt. Entsprechend funktioniert auch der Wurm mIRC.Simpsalapim – er reagiert auf die Zeile Simpsalapim.
Ausbreitungsquelle: über Netzwerke. Mit mIRC-Befehlen versenden die
Würmer ihren Code in der Datei SCRIPT.INI an jeden neuen Benutzer, der sich mit dem Kanal verbindet.
Funktionsalgorithmus: Die Würmer aktivieren eine Trojanischen Bestandteil.
mIRC.Simpsalapim enthält einen Code zum Abfangen eines IRC­Kanals: Ist der Inhaber des mIRC-Kanals infiziert, dann übernimmt ein Angreifer mit Hilfe des Codeworts ananas die Kontrolle des Kanals.
mIRC.Acoragil versendet mit Hilfe von Codewörtern DOS-, Windows­oder UNIX-Systemdateien. Bestimmte Codewörter wurden so gewählt, dass sie die Aufmerksamkeit der Opfer nicht wecken. z.B. hi oder the. Eine Modifikation dieses Wurms schickt die UNIX-Kennwortdatei an einen Angreifer.
Worm.Linux.Adm – Ein Internet-Wurm, der Linux-Systeme angreift. Der Wurm
sendet ein kleines Stück seines Codes an Remote-Computer, führt diesen dort aus, lädt seinen Hauptcode nach und führt diesen aus.
Ausbreitungsquelle: über Netzwerke. Er verbreitet seine Kopien (infiziert Remote-Linux-Systeme) mit Hilfe einer "Lücke" im Sicherheitssystem von Linux (die sogenannte "Pufferüberlauf"-Lücke). Diese Lücke ermöglicht es, einen ausführbaren Code auf einen Remote-Computer zu senden und ihn dort ohne Eingreifen des Administrators (Benutzers) auszuführen.
Anhang B. KASPERSKY LAB
LTD.
Die Firma Kaspersky Lab Ltd. wurde 1997 gegründet. Heute sind wir das
bekannteste Unternehmen für Datenschutz-Software in Russland und bieten eine breite Palette an Programmen zum Schutz vor Viren, unerwünschten E­Mails (Spam) und Hackerangriffen.
Kaspersky Lab ist ein international operierender Konzern. Unser Firmensitz befindet sich in Russland, regionale Vertretungen bestehen in Großbritannien, Frankreich, Deutschland, Japan, den Benelux-Staaten, China, Polen, Rumänien und den USA (Kalifornien). In Frankreich wurde jüngst ein neues Subunternehmen eröffnet – das Europäische Zentrum für Antivirenforschung. Unser Partnernetzwerk vereint weltweit mehr als 500 Firmen.
Kaspersky Lab heute – das sind mehr als 250 hoch qualifizierte Fachleute, von denen neun den Titel eines MBA sowie fünfzehn einen Doktortitel besitzen und zwei Mitglieder der international angesehenen Computer Anti-virus Researcher's Organization (CARO) sind.
Das wertvollste Potenzial des Unternehmens sind einmaliges Know-how und Erfahrung, gesammelt durch unsere Mitarbeiter im Laufe von vierzehn Jahren ständigen Kampfes mit Computerviren. Durch ständige Analyse der Entwicklung im Bereich Computerviren sind wir in der Lage, neue Tendenzen für gefährliche Programme vorherzusehen und den Anwendern frühzeitig zuverlässige Lösungen zum Schutz vor neuen Attacken anzubieten. Dieser Vorteil ist die Basis für den Erfolg der Programme und Services von Kaspersky Lab. Wir sind unserer Konkurrenz stets einen Schritt voraus und garantieren maximale Sicherheit zum Wohle unserer Klientel.
In jahrelangen Bemühungen ist es uns gelungen, die Marktführerschaft in der Entwicklung von Virenschutzprogrammen zu erobern. Viele moderne Standards für Virenschutzprogramme wurden erstmals von Kaspersky Lab entwickelt. Unser führendes Produkt, Kaspersky Anti-Virus Schutz für alle Objekte, die Virenattacken ausgesetzt sind: Computer­Arbeitsplätze, Dateiserver, Mail Exchanger, Firewalls und Handheld-Computer. Die bequeme Handhabung erlaubt einen größtenteils automatisierten Virenschutz in den Firmennetzwerken der Anwender. Viele westliche Softwarehersteller verwenden in ihren Programmen die Quellcodes von Kaspersky Anti-Virus®, darunter: Nokia ICG (USA), F-Secure (Finnland), Aladdin (Israel), Sybari (USA), G Data (Deutschland), Deerfield (USA), Alt-N (USA), Microworld (Indien), BorderWare (Kanada).
Wir bieten eine breite Palette an Zusatzdienstleistungen an, die ein reibungsloses Funktionieren und die problemlose Anpassung unserer Produkte
®
, garantiert zuverlässigen
Loading...