ClamAV
Fehlende Vorlage
Das gewünschte Template „Wiki/Vorlagen/InArbeit“ existiert nicht.
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Ausbaufähige Anleitung
Dieser Anleitung fehlen noch einige Informationen. Wenn Du etwas verbessern kannst, dann editiere den Beitrag, um die Qualität des Wikis noch weiter zu verbessern.
Anmerkung: Dieser Artikel ist nur eine Einführung und es sollten noch tiefergehende Informationen ergänzt werden.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
ClamAV 🇬🇧 ist ein Open-Source-Virenscanner, der über die Kommandozeile bedient wird. Es gibt auch den ClamAV-Daemon "clamd
", welcher als Hintergrunddienst gestartet werden kann, um Aufrufe (zur Virensuche) von anderen Programmen zu erhalten. Weiterhin gehört "freshclam
" zum Paket, welches für die Aktualisierung der Virensignaturen zuständig ist.
Warum ein Virenscanner für Linux?¶
Es ist bekannt, dass Computerschädlinge in der GNU/Linuxwelt keine große Rolle spielen - zumindest im Vergleich zu anderen Betriebssystemen wie z.B. Windows. Daher ist ein Virenscanner für eine GNU/Linux-Desktopinstallation nicht wirklich notwendig. ClamAV eignet sich aber trotzdem sehr gut für heterogene Umgebungen (z.B. parallele Installationen von GNU/Linux und Windows, in denen Dateien unter GNU/Linux heruntergeladen und geprüft werden, bevor sie an Windows "weitergereicht" werden), zum Prüfen von Mailanhängen oder zum Einsatz in Kombination mit Dritt-Programmen wie z.B. Samba oder einem Mail-Server.
Installation¶
Folgende Pakete müssen installiert [1] werden:
clamav (universe)
clamav-freshclam (universe)
Befehl zum Installieren der Pakete:
sudo apt-get install clamav clamav-freshclam
Oder mit apturl installieren, Link: apt://clamav,clamav-freshclam
Optional kann man sich auch die komplette Dokumentation lokal speichern:
clamav-docs (universe)
Befehl zum Installieren der Pakete:
sudo apt-get install clamav-docs
Oder mit apturl installieren, Link: apt://clamav-docs
Hinweis:
Die offiziellen Ubuntu-Quellen stellen nicht immer die aktuellste Version von ClamAV bereit. Daher kann beim Aufruf des Virenscanners eine Meldung wie "...This version of the ClamAV engine is outdated..." erscheinen. Wer zwingend die neuste Version benötigt, muss ClamAV selbst aus den Quellen kompilieren. Die Quellen stehen auf der Homepage 🇬🇧 von ClamAV zum Download bereit. Die Virensignaturen sind jedoch auch für die älteren Versionen identisch, d.h. der Einsatz einer "älteren" Version ist nicht zwangsläufig sicherheitskritisch.
Viren suchen - clamscan¶
Um nach Viren zu suchen, öffnet man ein Terminal [3] und ruft den Scanner mit dem Befehl clamscan auf:
clamscan <Optionen> [Datei/Verzeichnis]
Wird clamscan ohne Optionen und Datei- bzw. Verzeichnis-Auswahl gestartet, scannt clamscan das aktuelle Verzeichnis und gibt eventuell gefundene Viren ohne weitere Aktionen aus. Alternativ kann clamscan auch unter Angabe einer bzw. mehrerer Dateien und/oder Verzeichnis(se) gestartet werden, wie z.B.
sudo clamscan /home/user/downloads/ /home/anderer_user/
Hinweis:
Will oder muss man Home-Verzeichnisse anderer Benutzer scannen, so muss clamscan mit Root-Rechten aufgerufen werden. Gleiches gilt natürlich auch für bestimmte Systemverzeichnisse, auf die nur Root Zugriff hat.
clamscan kennt sehr viele Optionen, von denen im Folgenden nur einige aufgeführt werden:
clamscan - Optionen | |
Option | Beschreibung |
-i oder --infected | Gibt infizierte Dateien nur aus, ohne weitere Aktionen durchzuführen (Voreinstellung). |
--remove | Entfernt infizierte Dateien. Mit Vorsicht benutzen! |
--move=VERZEICHNIS | Verschiebt alle infizierten Dateien in das Verzeichnis VERZEICHNIS. |
-r oder --recursive | Scannt Unterverzeichnisse rekursiv. |
--no-archive | Alle Archiv-Dateien werden nicht gescannt. |
-h oder --help | Zeigt alle Optionen von clamscan an. |
⚓︎ Dies sind nur einige grundlegende Optionen von clamscan. Alle Optionen erhält man über den Aufruf von clamscan mit der Option -h bzw. --help, in den Manpages, im Handbuch (falls installiert) zu finden im Verzeichnis /usr/share/doc/clamav-doc/clamdoc.pdf oder auf der Homepage von ClamAV.
Virensignaturen aktualisieren - freshclam¶
freshclam dient dazu, die Virensignaturen für ClamAV (bzw. clamscan usw.) zu aktualisieren. Nach der Installation wird bereits automatisch der Daemon gestartet, der die Signaturen in definierten Abständen aktualisiert. Diese Abstände lassen sich in der Datei /etc/clamav/freshclam.conf festlegen.
Die Aktualisierung kann aber auch manuell erfolgen [3]:
sudo freshclam
Ebenso kann man den Daemon manuell starten:
freshclam -d
Weitere Infos zu freshclam erhält man über
freshclam --help
in den Manpages oder den oben genannten Informationsquellen.
ClamAV Daemon - clamd¶
Möchte man den Dämon clamd nutzen, benötigt man auch [1]:
clamav-daemon (universe)
Befehl zum Installieren der Pakete:
sudo apt-get install clamav-daemon
Oder mit apturl installieren, Link: apt://clamav-daemon
Der Daemon läuft dann als Dienst im Hintergrund. Bei der Installation wird ein entsprechendes Startskript unter /etc/init.d/clamav-daemon angelegt. Das Skript kann mit den üblichen Parametern start
, stop
und restart
bedient werden. Die Konfiguration des Daemon (d.h. welche Aktionen bei Virenfund ausgeführt werden, Scantiefe, Scanoptionen, etc.) sind in der Datei /etc/clamav/clamd.conf hinterlegt. clamd kann auch mittels
sudo dpkg-reconfigure clamav-base
konfiguriert werden. Eine ausführliche Anleitung findet man in der Dokumentation oder auf der Homepage von ClamAV, Verweise siehe Abschnitt clamscan.
Grafische Benutzeroberfläche¶
Mit ClamTk steht auch eine grafische Benutzeroberfläche für clamav zur Verfügung.
Installation¶
Über das Paket
clamtk (universe)
Befehl zum Installieren der Pakete:
sudo apt-get install clamtk
Oder mit apturl installieren, Link: apt://clamtk
kann sie installiert werden. Installiert man ClamTk aus den Quellen ist die Benutzeroberfläche nicht aktuell und man bekommt eine entsprechende Meldung. Man kann deshalb ClamTk via Fremdquelle oder Fremdpaket aktualisieren. Dies hat keine Auswirkung auf die Aktualität der Virensignatur.
Installation aus einer Paketquelle¶
Adresszeile zum Hinzufügen des PPAs:
ppa:kalon33/ppa
Hinweis!
Zusätzliche Fremdquellen können das System gefährden.
Ein PPA unterstützt nicht zwangsläufig alle Ubuntu-Versionen. Weitere Informationen sind der PPA-Beschreibung des Eigentümers/Teams kalon33 zu entnehmen.
Nun kann man ClamTk über das Paket
clamtk
Befehl zum Installieren der Pakete:
sudo apt-get install clamtk
Oder mit apturl installieren, Link: apt://clamtk
installieren.
Paket manuell herunterladen und installieren¶
Beim SourceForge-Projekt clamtk werden DEB-Pakete angeboten. Die unterstützten Ubuntu-Versionen und Architekturen werden aufgelistet. Nachdem man sie für die korrekte Ubuntu-Version und Architektur geladen hat, müssen die DEB-Pakete noch installiert werden.
Hinweis!
Fremdpakete können das System gefährden.
Man findet das Programm danach unter "Anwendungen → Systemwerkzeuge → Virenscanner" bzw. ab Lucid unter "Anwendungen → Zubehör → Virenscanner" .
AVScan¶
Unter Ubuntu 8.04 Hardy Heron gibt es noch das Paket avscan. Dieses Paket ist lediglich ein Link (dummy transitional package), der ClamTk installiert. Man kann also auch gleich direkt das Paket clamtk wie oben beschrieben installieren.
Bedienung¶
Die wesentlichen Funktionen von ClamTk können direkt über den Hauptbildschirm aufgerufen werden.
Heimatverzeichnis: Scannt das Heimatverzeichnis rekursiv.
Datei: Scannt eine Datei.
Verzeichnis: Scannt ein Verzeichnis rekursiv.
Verlassen: Beendet das Programm.
Die Menüleiste bietet erweiterte Scan- und Einstellungsmöglichkeiten.
Durchsuchen: Bietet weitere Möglichkeiten eine Datei oder ein Verzeichnis zu durchsuchen.
Ansicht: Hier kann man sich die Logdateien anzeigen lassen oder den Ausgabebereich leeren.
Isolation: Zur Verwaltung isolierter Dateien.
Erweitert: Bietet Zugriff auf den Zeitplaner und das Einstellungsmenü.
Hilfe: Hier kann man das Updatemenü aufrufen. Um die Virendefinitionen zu aktualisieren, muss ClamTk mit Root-Privilegien gestartet werden.
Zeitplaner¶
Mit dem Zeitplaner kann man tägliche Scan- und Updatevorgänge steuern. Man stellt einfach die jeweils gewünschte Uhrzeit ein und aktiviert sie mit Hinzufügen. Entfernen setzt die Einstellungen wieder zurück.
Einstellungen¶
Hier kann man verschiedene Einstellungen bezüglich des Start- und Scanverhaltens treffen und einen Proxy konfigurieren. Alle in der Weißen Liste eingetragenen Verzeichnisse werden beim Scanvorgang ausgelassen.
Durchsuchungsergebnisse¶
Am Ende eines jeden Scanvorgangs öffnet sich das Fenster Durchsuchungsergebnisse in dem alle gefundenen infizierten Dateien angezeigt werden. Falls keine Viren entdeckt wurden, bleibt das Fenster leer. Mit einem Rechtsklick auf die infizierte Datei kann man verschiedene Aktionen auslösen.
Isolieren: Schiebt die Datei in die Quarantäne.
Entfernen: Die Datei wird direkt gelöscht und nicht in den Müll verschoben.
Speichern unter: Verschiebt die Datei in ein gewünschtes Verzeichnis.
Abbrechen: Nimmt keine Aktion vor.
Integration in andere Programme¶
Es gibt diverse Möglichkeiten für die Nutzung von ClamAV in Kombination mit anderen Programmen. Eine Möglichkeit ist im Artikel Amavis-Spam-Virenfilter beschrieben. Ein komplette Liste gibt es auf der ClamAV Homepage 🇩🇪 .
Alternative¶
Wie oben bereits erwähnt, ist ClamAV ein Open-Source-Virenscanner. Es ist auch kein Geheimnis, dass ClamAV im Vergleich zu kommerziellen Virenscannern langsamer ist, wobei die Erkennungsrate im Laufe der Entwicklung stark verbessert wurde, so dass ClamAV mit (einigen) kommerziellen Scannern durchaus mithalten kann (Quelle: c't 2/09). Dies sind aber definitiv keine Gründe, die von der Nutzung - in welcher Form auch immer - von ClamAV abhalten sollen, bspw. als erste Schutzlinie in einem heterogenen Netzwerk oder um auf einem Dualbootsystem die Windowspartition "von außen" zu prüfen.