Harald Huthmann schrieb am 27.08.2003 um 19:59:29 +0200: Hallo Harald,
Hallo, Am Mittwoch, 27. August 2003 19:40 schrieb Michael Schulz
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200:
At 19:17 27.08.03 +0200, Michael Schulz wrote:
Da Fazit war halt, das keiner der getesteten Scanner, ich habe keine Ahnung ob das alle fuer Linux verfuegbaren Virenscanner waren, fuer den Server- einsatz so ohne weiteres zu empfehlen ist.
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
hätte ich auch fast geschrieben, aber: http://www.rsbac.org/nordse98.htm Das Ding scheint mehr zu können
So wie ich das verstanden habe, geht es aber immer um oeffnen oder ausfuehren einer Datei auf dem _Linux_-Rechner. Nicht auf den Windows- Clients. Files die ueber ein Filesystem exportiert und auf dem Client importiert werden zaehle ich zu ersterem, also zum Linuxrechner. Was hilft mir ein Waechter, der wunderbar alles ueberwacht und scannt, was auf dem Linuxrechner passiert, wenn infizierte Dateien auf dem Windowsrechner ausgefuehrt werden? Ich stelle mir das so vor: Man muesste alles was $USER betrifft fuer die Windowskisten uebers Netz mounten, dann liegt alles auf dem Linux-Rechner und dort koennen diese Mechanismen greifen. Es darf aber nie ein File lokal auf den Windowsrechner gelangen, denn da kann dieser Mechanismus nicht greifen, denn er bekommt davon nichts mit. Also keine Floppy, keine CD-ROM/DVD. $USER darf nichts installieren. Oder sehe ich das falsch? Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de