ソフォス、アンチウイルス製品「Anti-Virus for Linux」を個人向けに無償提供 というニュースがありました。
個人で利用しているさくらのVPS 1GBプラン CentOS6 x86_64 にインストールしてみたいと思います
ダウンロードはこちらからどうぞ。 氏名とメールアドレスの入力が必要です。英語のページなので漢字は使用しないほうがいいと思います。
システム要求仕様(サポートするディストリビューション)は こちらを参考にしてください。
メモリは1GB要求しています。 さくらの1Gプランだとギリギリセーフです。
ダウンロードしたファイル sav-linux-free-9.9.tgzは404MBありました。
Asianux,Novell,RedHat,CentOS,Oracle Linux,SUSE Linux,Turbo Linux,Ubuntu,Debian,Linux Mintなどが列挙されています。
Talpa バイナリパックとFanotifyの対応の可否に付いては たぶんこのドキュメント(Sophos Anti-Virus for Linux 対応プラットフォームおよびシステム要件)や
Fanotify 概要を 参考にすれば良いのではないでしょうか? よくわかってませんが…
丁寧なインストールガイドも公式で用意されています
(英語)Sophos Anti-Virus for Linux Free Edition startup guide Product version: 9.9
フリーエディションではない製品版の日本語マニュアルも併せてどうぞ。
Sophos Anti-Virus for Linux 環境設定ガイド 製品バージョン: 9
インストールしてみた
展開
$ tar xvzf sav-linux-free-9.9.tgz sophos-av/ sophos-av/sav.tar sophos-av/talpa.tar sophos-av/uncdownload.tar sophos-av/install.sh
インストール1
権利許諾が出てくるおなじみのやつです
$ su # ./install.sh Sophos Anti-Virus ================= Copyright (c) 1989-2015 Sophos Limited. All rights reserved. Sophos Anti-Virus インストーラへようこそ。Sophos Anti-Virus には、オンアクセススキャナ、オンデマンドコマンドラインスキャナ、Sophos Anti-Virus デーモン、および Sophos Anti-Virus GUI があります。 オンアクセススキャナ ファイルがアクセスされると検索し、未感染の場合のみアクセスを許可 オンデマンドスキャナ コンピュータの全体または一部を直ちに検索 Sophos Anti-Virus デーモン Sophos Anti-Virus にコントロール、ログ、メール警告機能を提供するバックグラウンドプロセス Sophos Anti-Virus GUI Web ブラウザ経由でアクセスするユーザーインターフェース 「Enter」キーを押して、使用許諾契約書を表示してください。そして、<spc> を押してスクロールダウンしてください。 <<EULA ライセンス許諾 著作内容の表示がある>> ライセンス内容に同意しますか? はい(Y)/いいえ(N) [N] > Y
インストール2
ここからユーザーがインストールするディレクトリや動作方法などをインタラクティブに指定していきます。
“[]“で指定された方法がデフォルトの挙動です。
私はインストール時には オンアクセス検索を無効にしました。(後から有効にできるため)
Sophos Anti-Virus のインストール先を指定してください。 [/opt/sophos-av] > /opt/sophos-av オンアクセス検索を有効にしますか? はい(Y)/いいえ(N) [Y] > N オンアクセス検索が無効になっています。オンデマンド検索には、savscan を使ってください。 パスワードが入力されなかったため、Sophos Anti-Virus GUI を無効にしています。有効にするには、/opt/sophos-av/bin/savsetup を実行してください。 ソフォスは、Sophos Anti-Virus での自動アップデートの設定をお勧めします。 ソフォスから直接アップデートしたり(要アカウント情報)、自社サーバー(ディレクトリや Web サイト(アカウント情報が必要な場合もありま す))からアップデートすることができます。 オートアップデートの種類を選択してください: ソフォス(s)/自社サーバー(o)/なし(n) [s] ソフォスから直接アップデートしています。 SAV for Linux の無償バージョン (f) と サポート対応付きバージョン (s) のどちらをインストールしますか? [s] > f Sophos Anti-Virus for Linux の無償バージョンに対して、サポート対応は提供されていません。 無償ツールのフォーラムは次のサイトを参照してください。http://openforum.sophos.com/ ソフォスからアップデートを行うためにプロキシが必要ですか? はい(Y)/いいえ(N) [N] > N Sophos Anti-Virus をインストールしています.... 適切なカーネルサポートを選択しています... Starting Sophos Anti-Virus daemon: [ OK ] インストールが完了しました。
インストール後の環境
/usr/local/bin/ 以下にシンボリックリンクが作成されています。
# ls -al /usr/local/bin/ | grep sophos lrwxrwxrwx 1 root root 26 5月 18 17:41 2015 savscan -> /opt/sophos-av/bin/savscan lrwxrwxrwx 1 root root 26 5月 18 17:41 2015 sweep -> /opt/sophos-av/bin/savscan
savdとsavscandというデーモンが起動します
# ps auxww | grep sav root 30851 0.1 0.5 510060 5784 ? Sl 17:43 0:00 savd etc/savd.cfg root 30888 0.0 0.7 245796 7276 ? Sl 17:43 0:00 savscand --incident=unix://tmp/incident --namedscan=unix://root@tmp/namedscansprocessor.0 --ondemandcontrol=socketpair://35/36
initスクリプト等
# ls -al /etc/init.d/sav-* -rwx------ 1 root root 3259 5月 18 17:43 2015 /etc/init.d/sav-protect -rwx------ 1 root root 1927 5月 18 17:43 2015 /etc/init.d/sav-rms -rwx------ 1 root root 1971 5月 18 17:43 2015 /etc/init.d/sav-web # chkconfig --list | grep sav sav-protect 0:off 1:off 2:on 3:on 4:on 5:on 6:off # /etc/init.d/sav-protect status Sophos Anti-Virus デーモンはアクティブです
ウィルスの検出について
試しにウィルスを検出させてみます
テストに使うウィルスは EICARです。
詳しくは WikipediaのEICARテストファイルを参照してください。
# vi /var/tmp/eicar (EICARテスト文字列をコピペして保存する)
EICARテストファイルをsvcanコマンドを使ってスキャンします。
検出後に シェルの終了ステータス「$?」(exit-status)を取得します。
結果は、ウィルスの存在と種別を検出し 返り値に3が格納されました。
個人でオンラインストレージ等のファイルアップローダーを作成されていたり、メールの添付ファイルの検疫を実施したい人はこの返り値を見れば良さそうです。
# /usr/local/bin/savscan /var/tmp/eicar SAVScan ウイルス検出ユーティリティ バージョン 5.12.0 [Linux/AMD64] ウイルスデータバージョン 5.13, 2015年3月 8899461種類のウイルス、トロイの木馬、ワームを検出します。 Copyright (c) 1989-2015 Sophos Limited. All rights reserved. システム日 2015年05月18日, システム時刻 17時51分20秒 クイックモード検索 >>> ウイルス‘EICAR-AV-Test’がファイル /var/tmp/eicar に発見されました ファイル 1 個を 17秒で検索しました。 1 個のウイルスが発見されました。 1 個のファイル(1 個中)が感染しています。 検出に関する詳細は、ソフォス Web サイトの次のリンクを参照してください。 脅威解析センター: http://www.sophos.com/ja-jp/threat-center.aspx 検索が終了しました。 # echo $? 3
次に 無害なファイル /etc/resolv.conf をスキャンします。
# /usr/local/bin/savscan /etc/resolv.conf SAVScan ウイルス検出ユーティリティ バージョン 5.12.0 [Linux/AMD64] ウイルスデータバージョン 5.13, 2015年3月 8899461種類のウイルス、トロイの木馬、ワームを検出します。 Copyright (c) 1989-2015 Sophos Limited. All rights reserved. システム日 2015年05月18日, システム時刻 17時52分43秒 クイックモード検索 ファイル 1 個を 17秒で検索しました。 ウイルスは発見されませんでした。 検索が終了しました。 [root@i bin]# echo $? 0
ログ出力について
syslogに出力されたメッセージをgrepでフィルタしてみます
# grep savd /var/log/messages May 18 17:43:09 HOSTNAME savd: savd.daemon: Sophos Anti-Virus daemon started. May 18 17:51:04 HOSTNAME savd: savscan.log: On-demand scan started. May 18 17:51:21 HOSTNAME savd: savscan.log: On-demand scan details: master boot records scanned: 0, boot records scanned: 0, files scanned: 1, scan errors: 0, threats detected: 1, infected files detected: 1 May 18 17:51:21 HOSTNAME savd: Threat detected in /var/tmp/eicar: EICAR-AV-Test during on-demand scan. (The file is still infected.) May 18 17:51:21 HOSTNAME savd: savscan.log: On-demand scan finished. May 18 17:52:26 HOSTNAME savd: savscan.log: On-demand scan started. May 18 17:52:43 HOSTNAME savd: savscan.log: On-demand scan details: master boot records scanned: 0, boot records scanned: 0, files scanned: 1, scan errors: 0, threats detected: 0, infected files detected: 0 May 18 17:52:44 HOSTNAME savd: savscan.log: On-demand scan finished.
savlogコマンドで本日のログを表示してみます
# /opt/sophos-av/bin/savlog --today 日時 カテゴリ イベント 2015年05月18日 17時43分09秒: savd.daemon Sophos Anti-Virus デーモンが開始されました。 2015年05月18日 17時51分04秒: savscan.log オンデマンド検索が開始しました。 2015年05月18日 17時51分21秒: savscan.log オンデマンド検索の詳細: 検索マスターブートレコード数: 0、検索ブートレコード数: 0、検索ファイル数: 1、エラー数: 0、検出脅威数: 1、検出した感染ファイル数: 1 2015年05月18日 17時51分21秒: log.threat オンデマンド検索中、脅威が /var/tmp/eicar: EICAR-AV-Test で検出されました。(ファイルはまだ感染しています。) 2015年05月18日 17時51分21秒: savscan.log オンデマンド検索が終了しました。 2015年05月18日 17時52分26秒: savscan.log オンデマンド検索が開始しました。 2015年05月18日 17時52分43秒: savscan.log オンデマンド検索の詳細: 検索マスターブートレコード数: 0、検索ブートレコード数: 0、検索ファイル数: 1、エラー数: 0、検出脅威数: 0、検出した感染ファイル数: 0 2015年05月18日 17時52分44秒: savscan.log オンデマンド検索が終了しました。
アップデートについて
savupdateコマンドを叩けばパターンファイルやアンチウィルスエンジン、マニフェストファイル等を即時アップデートします。
# /opt/sophos-av/bin/savupdate Updating Sophos Anti-Virus.... Updating Talpa Binary Packs Updating SAVScan on-demand scanner Updating Virus Engine and Data Updating Talpa Kernel Support Updating Manifest Selecting appropriate kernel support... Update completed. sdds:SOPHOS からの Sophos Anti-Virus のアップデートに成功しました
このアップデートもログに出力されます
# /opt/sophos-av/bin/savlog –today の結果を表示してみます。
2015年05月18日 18時37分41秒: update.updated Updating Sophos Anti-Virus.... Updating Talpa Binary Packs Updating SAVScan on-demand scanner Updating Virus Engine and Data Updating Talpa Kernel Support Updating Manifest Selecting appropriate kernel support... Update completed. 2015年05月18日 18時37分41秒: update.updated sdds:SOPHOS からの Sophos Anti-Virus のアップデートに成功しました