On Thursday 28 August 2003 10:24, you wrote:
Am Donnerstag, 28. August 2003 08:12 schrieb Matthias Jänichen:
Ist dieser Befehl für einen möglichst vollständige Virenerkennung ok?
f-prot -ai -archive -collect -dumb -packed -list -report=/var/log/mein_fprot.log /
Für welchen Zweck?
Platte scannen?
Zum Scannen einer HD, CD oder Floppy
Mail scannen?
Da bin ich noch nicht dahinter gekommen, wie man mit Amavis Nicht-Standard-Parameter einstellt.
BSP für amavis-perl: Im Script /usr/sbin/amavis muss man die Parameter direkt eintragen.
Es sind ALLE Parameter, aber für den normalen Betrieb nicht sinnvoll.
Meinst du "alle" von der Manpage oder alle Parameter, die ich oben genannt habe? Alle von der Manpage ist klar.
-collect macht nur auf Kollektionen Sinn in denen einige Viecher z.B. als image, aber nicht in ausführbarer Form hinterlegt sind.
Was ist eine Kollektion?
Eine Virensammlung das was die c't benutzt hat z.B. mit Image files von Boot-Viren
Ich denke da zB auch an ein Image, das mit mkisofs erstellt wurde.
Davon geht aber keine Primäre gefahr aus.
-dumb schaltet jegliche Intelligenz des Scanners ab, mit dem die Art der Datei ermittelt wird. (in eine EXE brauche ich nicht nach MACROS suchen...)
Soweit ich es verstanden habe, ist "dumb" die einzige Möglichkeit nach Bootsektorviren zu suchen.
Nein: -collect ! Boot und MBR Sektoren prüft fp linux eh nicht. Mit -dumb machst Du ihn dumm und unnötig langsam. -ai kann False Positives erzeugen, für Mail OK, im Wächter nie!
-report überschreibt den Report, evtl willst du noch -append verwenden
Daran habe ich auch schon gedacht, in Verbindung mit "list" werden die Dateien dann aber sehr groß, wenn da einige Hundertausend Dateien gescannt wurden.
dann laß doch -list weg. Der Parameter ist eh nur für AV-Tester gemacht worden, damit die sehen, ob alle Dateien angepackt wurden.
-archive mußt Du wissen, kostet viel Zeit, sollte daher nur gezielt verwendet werden, nicht im täglichen Scan.
-archive für Mail! (Zur Sicherheit, AMAVIS zerlegt das Zipfile eh selber) -packed ist default.
Eigentlich habe ich nicht vor täglich die HD zu scannen und die Scan-Zeit ist mir ziemlich egal. Die Mails werden via amavis/postfix gescannt und sonst nur dann, wenn eine fremde Datei ins System will und das passiert eher selten, am ehesten noch per Download oder CD, Floppys kommen eher nicht vor.
Wenn ein WÄCHTER da ist fällt die Infektion beim auspacken oder spätestens beim Benutzen der ausgepackten Datei auf.
Wie installiert man diesen Wächter und bremst der das System sehr? Wie bereits an anderer Stelle geschrieben, mache ich die Virenprüfung auf einem Linux-only-System und da will ich nur sicher gehen, dass ich einem Freund einen Download oder sonstiges nicht mit Virus auf CD brenne.
Alles auf den Seiten von RSBAC beschrieben. Docu lesen, kernel patchen (oder warten, bis der gepatchte da ist), Konfigurieren (MS nicht vergessen) .... Zur Performance von RSBAC sind auf der Seite Statistiken hinterlegt. Wie lange das Scannen dauert hängt vom Anti-Virus ab. Ein Deamon ist erheblich schneller. Aber auch die parameter spielen eine wichtige Rolle. Bei einem Wächter kommt es im wesentlichen darauf an, dass Dateien, die sofort ausgeführt werden können immer gescannt werden, während Archive im Wächter primär vernachlässigbar sind.