[[Vorlage(Getestet, precise, trusty, )]] {{{#!vorlage Wissen [:Pakete_installieren: Installation von Programmen] [:Terminal: Ein Terminal öffnen] [:Dienste: Verwalten von Diensten] }}} [[Inhaltsverzeichnis(1)]] [[Bild(clamav-logo.png, 48,align=left)]] [http://www.clamav.net/ ClamAV] {en} ist ein freier und quelloffener Virenscanner, der über die Kommandozeile bedient wird. Es gibt auch den Dienst `clamd` (ClamAV-Daemon), der als Hintergrunddienst gestartet werden kann, um Aufrufe (zur Virensuche) von anderen Programmen zu erhalten. Weiterhin gehört `freshclam` zum Paket, welches für die Aktualisierung der Virensignaturen zuständig ist. = Warum ein Virenscanner für Linux? = Es ist bekannt, dass Computerschädlinge in der GNU/Linuxwelt keine große Rolle spielen - zumindest im Vergleich zu anderen Betriebssystemen wie z.B. Windows. Daher ist ein Virenscanner für eine GNU/Linux-Desktopinstallation nicht wirklich notwendig. ClamAV eignet sich aber trotzdem sehr gut für heterogene Umgebungen (z.B. parallele Installationen von GNU/Linux und Windows, in denen Dateien unter GNU/Linux heruntergeladen und geprüft werden, bevor sie an Windows "weitergereicht" werden), zum Prüfen von Mailanhängen oder zum Einsatz in Kombination mit Dritt-Programmen wie z.B. Samba oder einem Mail-Server. = Installation = Folgende Pakete müssen installiert [1] werden: {{{#!vorlage Paketinstallation clamav clamav-freshclam }}} Optional kann man sich auch die komplette Dokumentation lokal speichern: {{{#!vorlage Paketinstallation clamav-docs }}} {{{#!vorlage Hinweis Die offiziellen Ubuntu-Quellen stellen nicht immer die aktuellste Version von ClamAV bereit. Daher kann beim Aufruf des Virenscanners eine Meldung wie "...This version of the ClamAV engine is outdated..." erscheinen. Wer zwingend die neuste Version benötigt, muss ClamAV selbst aus den Quellen kompilieren. Die Quellen stehen auf der [http://www.clamav.net/ Homepage] {en} von ClamAV zum Download bereit. Die Virensignaturen sind jedoch auch für die älteren Versionen identisch, d.h. der Einsatz einer "älteren" Version ist nicht zwangsläufig sicherheitskritisch. }}} = Viren suchen - clamscan = Um nach Viren zu suchen, öffnet man ein Terminal [2] und ruft den Scanner mit dem Befehl '''clamscan''' auf: {{{#!vorlage Befehl clamscan OPTIONEN Datei/Verzeichnis }}} Wird clamscan ohne Optionen und Datei- bzw. Verzeichnis-Auswahl gestartet, scannt clamscan das aktuelle Verzeichnis und gibt eventuell gefundene Viren ohne weitere Aktionen aus. Alternativ kann clamscan auch unter Angabe einer bzw. mehrerer Dateien und/oder Verzeichnis(se) gestartet werden, wie z.B. {{{#!vorlage Befehl sudo clamscan /home/user/downloads/ /home/anderer_user/ }}} {{{#!vorlage Hinweis Will oder muss man Home-Verzeichnisse anderer Benutzer scannen, muss man clamscan mit [:sudo:Root-Rechten] starten. Gleiches gilt natürlich auch für bestimmte Systemverzeichnisse, auf die nur Root Zugriff hat. }}} clamscan kennt sehr viele Optionen, von denen im Folgenden nur einige aufgeführt werden: ||<-2 tablestyle="width: 95%;" cellstyle="background-color: #E2C890; text-align: center;"> '''clamscan - Optionen''' || ||'''Option'''||'''Beschreibung'''|| ||``-i`` oder ``--infected``||Gibt nur infizierte Dateien aus (und nicht alle Dateien die gescannt werden).|| ||``--remove``||Entfernt infizierte Dateien. Mit Vorsicht benutzen!|| ||``--move=VERZEICHNIS``||Verschiebt alle infizierten Dateien in das Verzeichnis VERZEICHNIS.|| ||``-r`` oder ``--recursive``||Scannt Unterverzeichnisse rekursiv.|| ||``--no-archive``||Alle Archiv-Dateien werden nicht gescannt.|| ||``-h`` oder ``--help``||Zeigt alle Optionen von clamscan an.|| [[Anker(doku)]] Dies sind nur einige grundlegende Optionen von clamscan. Alle Optionen erhält man über den Aufruf von clamscan mit der Option `-h` bzw. `--help`, in den [:man:Manpages], im Handbuch (falls installiert) zu finden im Verzeichnis '''/usr/share/doc/clamav-doc/clamdoc.pdf''' oder auf der Homepage von ClamAV. = Virensignaturen aktualisieren - freshclam = freshclam dient dazu, die Virensignaturen für ClamAV (bzw. clamscan usw.) zu aktualisieren. Nach der Installation wird bereits automatisch der Daemon gestartet, der die Signaturen in definierten Abständen aktualisiert. Diese Abstände lassen sich in der Datei '''/etc/clamav/freshclam.conf''' festlegen, voreingestellt ist 24 mal am Tag. Die Aktualisierung kann aber auch manuell erfolgen [2]: {{{#!vorlage Befehl sudo freshclam }}} Ebenso kann man den Daemon manuell starten: {{{#!vorlage Befehl freshclam -d }}} Weitere Infos zu freshclam erhält man über {{{#!vorlage Befehl freshclam --help }}} in den Manpages oder den oben genannten Informationsquellen. = ClamAV Daemon - clamd = Möchte man den [:Dienste:Dienst] clamd nutzen, benötigt man auch [1]: {{{#!vorlage Paketinstallation clamav-daemon }}} Der Daemon läuft dann als Dienst [3] im Hintergrund. Bei der Installation wird ein entsprechendes Startskript unter '''/etc/init.d/clamav-daemon''' angelegt und der Dienst automatisch gestartet. Das Skript kann über die üblichen Parametern `start`, `stop` und `restart` bedient werden. Die Konfiguration des Daemon (d.h. welche Aktionen bei Virenfund ausgeführt werden, Scantiefe, Scanoptionen, etc.) sind in der Datei '''/etc/clamav/clamd.conf''' hinterlegt. clamd kann auch mittels {{{#!vorlage Befehl sudo dpkg-reconfigure clamav-base }}} konfiguriert werden. Eine ausführliche Anleitung findet man in der Dokumentation oder auf der Homepage von ClamAV, Verweise siehe Abschnitt [#doku clamscan]. = Grafische Benutzeroberflächen = [[Bild(./clamtk_logo.png, 48, align=right)]] == ClamTk == Mit ClamTk steht auch eine grafische Benutzeroberfläche zur Verfügung. Über das Paket {{{#!vorlage Paketinstallation clamtk, universe }}} wird die Benutzeroberfläche installiert. Die Version aus den Quellen ist allerdings nicht aktuell und man bekommt eine entsprechende Meldung angezeigt. Man kann deshalb ClamTk via Fremdpaket aktualisieren. Dies hat keine Auswirkung auf die Aktualität der Virensignatur. === PPA-Quelle: Aktuelle stabile Version === [[Vorlage(PPA, landronimirc, clamtk)]] Nach dem Aktualisieren der Paketquellen erfolgt die Installation wie oben angegeben. === Paket manuell herunterladen und installieren === [[Vorlage(Fremdpaket, sourceforge, clamtk)]] === Bedienung === [[Bild(clamtk_main.png, 300, right)]] Man findet das Programm danach bei Ubuntu-Varianten mit einem Anwendungs-Menü unter ''"Zubehör -> Virenscanner"''. Die wesentlichen Funktionen von ClamTk können direkt über den Hauptbildschirm aufgerufen werden. * ''"Heimatverzeichnis"'': Scannt das Heimatverzeichnis rekursiv. * ''"Datei"'': Scannt eine Datei. * ''"Verzeichnis"'': Scannt ein Verzeichnis rekursiv. * ''"Verlassen"'': Beendet das Programm. Die Menüleiste bietet erweiterte Scan- und Einstellungsmöglichkeiten. * ''"Durchsuchen"'': Bietet weitere Möglichkeiten eine Datei oder ein Verzeichnis zu durchsuchen. * ''"Ansicht"'': Hier kann man sich die Logdateien anzeigen lassen oder den Ausgabebereich leeren. * ''"Isolation"'': Zur Verwaltung isolierter Dateien. * ''"Erweitert"'': Bietet Zugriff auf den Zeitplaner und das Einstellungsmenü. * ''"Hilfe"'': Hier kann man das Updatemenü aufrufen. Um die Virendefinitionen zu aktualisieren, muss ClamTk mit [:sudo:Root-Privilegien] gestartet werden. === Zeitplaner === Mit dem Zeitplaner kann man tägliche Scan- und Updatevorgänge steuern. Man stellt einfach die jeweils gewünschte Uhrzeit ein und aktiviert sie mit ''"Hinzufügen"''. ''"Entfernen"'' setzt die Einstellungen wieder zurück. === Einstellungen === Hier kann man verschiedene Einstellungen bezüglich des Start- und Scanverhaltens treffen und einen Proxy konfigurieren. Alle in der „Weißen Liste“ eingetragenen Verzeichnisse werden beim Scanvorgang ausgelassen. === Durchsuchungsergebnisse === Am Ende eines jeden Scanvorgangs öffnet sich das Fenster ''"Durchsuchungsergebnisse"'', in dem alle gefundenen infizierten Dateien angezeigt werden. Falls keine Viren entdeckt wurden, bleibt das Fenster leer. Mit einem Rechtsklick auf die infizierte Datei kann man verschiedene Aktionen auslösen. [[Bild(clamtk_report.png, 300, right)]] * ''"Isolieren"'': Schiebt die Datei in die Quarantäne. * ''"Entfernen"'': Die Datei wird direkt gelöscht und nicht in den Müll verschoben. * ''"Speichern unter"'': Verschiebt die Datei in ein gewünschtes Verzeichnis. * ''"Abbrechen"'': Nimmt keine Aktion vor. == KlamAV == Diese grafische Benutzeroberfläche für KDE ist nur bis einschließlich [:Maverick Meerkat:Ubuntu 10.10] verfügbar. === Bedienung === [[Bild(klamav_main.png, 300, right)]] Alle Funktionen des Programms können bequem über Tabs erreicht werden. * ''"Durchsuchen"'': Hier kann man bestimmen, welche Verzeichnisse man scannen möchte. * ''"Update"'': Dient zur Konfiguration des Updatevorgangs. Um die Virendefinitionen zu aktualisieren, muss KlamAV mit [:sudo:Root-Privilegien] gestartet werden. * ''"E-Mail Schutz"'': In diesem Reiter kann man das automatische Scannen von E-Mails einrichten. * ''"Quarantäne"'': Hier kann man das Quarantäneverzeichnisses verwalten. * ''"Virusbrowser"'': Ein Liste aller Viren in der Signatur, weitere Informationen kann man aus dem Internet abrufen. * ''"Events"'': Eine Liste aller Scan- und Updatevorgänge. * ''"Über"'': Hier erhält man weitere Informationen über die Macher des Programms. === Durchsuchen === Um einen oder mehrere Ordner zu scannen muss man sie im ''"Launcher"'' auswählen und anschließend mit Klick auf ''"Scan"'' den Scanvorgang starten. Wenn man stattdessen auf ''"Schedule"'' klickt, kann man mit den selektierten Ordnern einen Zeitplan erstellen und die Ordner regelmäßig überprüfen lassen. Unter ''"Options"'' kann man das Verhalten bei verschiedenen Datei- und Archivtypen einstellen. Wird ein Virus gefunden, wird die Datei einstellungsabhängig entweder in die Quarantäne verschoben, nur ein Bericht erstellt oder es öffnet sich ein Fenster und man kann zwischen einer der beiden Möglichkeiten wählen. === Quarantäne === Hier kann man den Ort des Quarantäneordners festlegen, sowie Dateien in der Quarantäne entweder endgültig löschen oder wiederherstellen. = Integration in andere Programme = Es gibt diverse Möglichkeiten für die Nutzung von ClamAV in Kombination mit anderen Programmen. == Nautilus-Plugin == Wer ClamAV zusammen mit dem Dateimanager Nautilus einsetzen möchte, der kann sich die dafür nötige Erweiterung ab Ubuntu 14.04 mit dem Paket {{{#!vorlage Paketinstallation clamtk-nautilus, universe }}} installieren, bis Ubuntu 11.04 mit dem Paket {{{#!vorlage Paketinstallation nautilus-clamscan, universe }}} Nach einem Neustart von Nautilus oder einer Neuanmeldung des Benutzers erscheint im Kontextmenü von Dateien und Ordnern der Eintrag ''Scan for viruses...'' mit dem der Scan initiiert werden kann. Ein Fortschrittsbalken informiert über dessen Verlauf. {{{#!vorlage Hinweis Funktioniert nur bis [:Natty:Ubuntu 11.04] problemlos und ist ab [:Raring:Ubuntu 13.04] nicht mehr in den offiziellen Paketquellen enthalten. }}} == Firefox == Mit dem Firefox Plugin [https://addons.mozilla.org/de/firefox/addon/fireclam/ Fireclam] werden Downloads automatisch auf Viren gescannt. == Thunderbird == Für ältere Thunderbird Versionen (2.x) gab es das Plugin clamdrib. Seit März 2015 wird allerdings eine Weiterentwicklung unter dem Namen [https://addons.mozilla.org/de/thunderbird/addon/clamdrib-lin/?src=search clamdrib LIN] in den offiziellen Mozilla-Quellen angeboten. == Weitere Möglichkeiten == Eine weitere Einsatzmöglichkeit ist im Artikel [:Amavis-Spam-Virenfilter:] beschrieben. Eine komplette Liste gibt es auf der [http://www.clamav.net/download.html#tools ClamAV Homepage] {en}. = Probleme und Lösungen = == Clamtk mit Startproblemen unter Kubuntu == Unter KDE kann es aufgrund fehlender GNOME-Icons zu Startproblemen von Clamtk kommen. Das Thema ist dem Hersteller bekannt, siehe [https://code.google.com/p/clamtk/issues/detail?id=38] {en} (Ticket) und [https://code.google.com/p/clamtk/wiki/UpdateNotesWarning] {en} (Update-Note). Dort wird die Installation des Gnome Icon-Themes empfohlen: {{{#!vorlage Paketinstallation gnome-icon-theme-full }}} = Fazit = Wie oben bereits erwähnt, ist ClamAV freie Software (FOSS). Es ist auch kein Geheimnis, dass ClamAV im Vergleich zu kommerziellen Virenscannern langsamer ist, wobei die Erkennungsrate im Laufe der Entwicklung stark verbessert wurde, so dass ClamAV mit (einigen) kommerziellen Scannern durchaus mithalten kann. Dies sind aber definitiv keine Gründe, die von der Nutzung - in welcher Form auch immer - von ClamAV abhalten sollen, bspw. als erste Schutzlinie in einem heterogenen Netzwerk oder um auf einem Dualbootsystem die Windowspartition "von außen" zu prüfen. = Links = * [wikipedia:EICAR-Testdatei:] - Virus, um die Erkennung zu prüfen * [:Virenscanner:] {Übersicht} Programmübersicht # tag: Sicherheit, Virenscanner, Virus, Antivirus