Bester kostenloser Win-Virenscanner f. Linux?
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative? Al
Hallo Al, Al Bogner schrieb:
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative?
Ich nutze bisher immer den F-Secure Antivirus (www.f-secure.de). Der war auch eine Zeit lang mal für private Nutzung kostenlos, aber ich weiss nicht, ob das heute immer noch so ist. Bisher habe ich ihn auch immer gekauft. Trotzdem kann man ihn hier herunterladen: ftp://www.lsoft.se/f-secure/fsavser.4.15.4391.bin.gz Gruss, Marc -- FH Furtwangen: http://www.psychology4u.de/cn/ Linux- und Netzwerkberatung: http://www.teamberatung.org Marc Mc Guinness: http://www.mcguinness.de PGP Public Key Block: http://mcguinness.psychology4u.de/public.txt
Am Mittwoch, 27. August 2003 13:13 schrieb Marc Mc Guinness:
Hallo Al,
Al Bogner schrieb:
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative?
Ich nutze bisher immer den F-Secure Antivirus (www.f-secure.de). Der war auch eine Zeit lang mal für private Nutzung kostenlos, aber ich weiss nicht, ob das heute immer noch so ist. Bisher habe ich ihn auch immer gekauft.
http://www.f-prot-antivirus.de/fr_linux.htm "Für den kommerziellen Einsatz müssen Lizenzen erworben werden"
Trotzdem kann man ihn hier herunterladen: ftp://www.lsoft.se/f-secure/fsavser.4.15.4391.bin.gz
Wo ist bzw. ist ein Unterschied zwischen fsavser.4.15.4391.bin und http://www.f-prot-antivirus.de/php/oddtrack/odtrack.php?url=http://fprot.org... Ich habe mich noch zu wenig eingelesen wie f-prot funktioniert, kann man das in amavis _zusätzlich_ zu antivir einbinden? In /usr/sbin/amavis gibt es: # FRISK F-Prot my $fprot = ""; Reicht es da /usr/local/bin/f-prot nach der Installation mit dem Perl-Skript einzutragen? Al
Am Mit, 2003-08-27 um 11.46 schrieb Al Bogner:
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative?
Al Hallo Al, was hat die ct gegen antivir? Kostenlos für Privat, ständige Aktualisierung, für eingehende Mails bestens geeignet. Gruß Poldi
Am Mittwoch, 27. August 2003 14:24 schrieb Poldi Winkler:
Am Mit, 2003-08-27 um 11.46 schrieb Al Bogner:
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative?
Al
Hallo Al, was hat die ct gegen antivir? Kostenlos für Privat, ständige Aktualisierung, für eingehende Mails bestens geeignet.
Hmmh, Antivir ist leider mit 2x - total durchgefallen. F-Prot hat weder + noch - und dürfte somit der Sieger bei den kostenlosen Varianten sein. Inwieweit die ct "ordentlich" getestet hat, kann ich nicht beurteilen. Die ct liegt zur Zeit bei einem Freund. Vielleicht kann wer anderer die Kritik an antivir genauer zitieren. Al
Al Bogner wrote:
Am Mittwoch, 27. August 2003 14:24 schrieb Poldi Winkler:
Am Mit, 2003-08-27 um 11.46 schrieb Al Bogner:
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative?
Al
Hallo Al, was hat die ct gegen antivir? Kostenlos für Privat, ständige Aktualisierung, für eingehende Mails bestens geeignet.
Hmmh, Antivir ist leider mit 2x - total durchgefallen. F-Prot hat weder + noch - und dürfte somit der Sieger bei den kostenlosen Varianten sein.
Inwieweit die ct "ordentlich" getestet hat, kann ich nicht beurteilen.
Die ct liegt zur Zeit bei einem Freund. Vielleicht kann wer anderer die Kritik an antivir genauer zitieren.
Al
hi, ich weiss zwar nicht von wem die c't das geld zum testen bekommt aber bei mir laeuft sendmail + amavis-milter + antivir , und zur sicherheit auf der win box ein nav 2003 pro der seit aktivierung der linuxkiste keinen fund mehr hatte weil alles auf dem linux haengen geblieben is. fuer den komerziellen einsatz von antivir musst du jedoch eine jahresgebuehr berappen. (jedoch im direkten vgl. zu nav akzeptabel, da die updates frueher zur verfügung stehen) cya -- ---------------------------------------- Markus Heinze Internet: http://www.existand.de E-Mail : M.Heinze@existand.de Telephon: 03464/569787 Fax : 03464/569786 ----------------------------------------
Am Mit, 2003-08-27 um 15.36 schrieb Markus Heinze:
Al Bogner wrote:
Am Mittwoch, 27. August 2003 14:24 schrieb Poldi Winkler:
Am Mit, 2003-08-27 um 11.46 schrieb Al Bogner:
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative?
Al
Hallo Al, was hat die ct gegen antivir? Kostenlos für Privat, ständige Aktualisierung, für eingehende Mails bestens geeignet.
Hmmh, Antivir ist leider mit 2x - total durchgefallen. F-Prot hat weder + noch - und dürfte somit der Sieger bei den kostenlosen Varianten sein.
Inwieweit die ct "ordentlich" getestet hat, kann ich nicht beurteilen.
Die ct liegt zur Zeit bei einem Freund. Vielleicht kann wer anderer die Kritik an antivir genauer zitieren.
Al
hi,
ich weiss zwar nicht von wem die c't das geld zum testen bekommt aber bei mir laeuft sendmail + amavis-milter + antivir , und zur sicherheit auf der win box ein nav 2003 pro der seit aktivierung der linuxkiste keinen fund mehr hatte weil alles auf dem linux haengen geblieben is. fuer den komerziellen einsatz von antivir musst du jedoch eine jahresgebuehr berappen. Das stimmt für Privat nicht, Du mußt Dich nur anmelden! Poldi (jedoch im direkten vgl. zu nav akzeptabel, da die updates frueher zur verfügung stehen)
cya
Hallo, am Mittwoch, 27. August 2003 um 13:24 schrieb Poldi Winkler
was hat die ct gegen antivir? Kostenlos für Privat, ständige Aktualisierung, für eingehende Mails bestens geeignet.
soweit ich den Test verstanden habe, haben die es noch nicht einmal geschafft den zu installieren. cu stonki -- Deutsche ProFTP Docs: http://www.proftpd.de, EFNET: #proftpd KDE3 Renamer: http://www.krename.net KDE3 Barcode und Label Solution: http://www.kbarcode.net
Stefan Onken wrote:
Hallo,
am Mittwoch, 27. August 2003 um 13:24 schrieb Poldi Winkler
was hat die ct gegen antivir? Kostenlos für Privat, ständige Aktualisierung, für eingehende Mails bestens geeignet.
soweit ich den Test verstanden habe, haben die es noch nicht einmal geschafft den zu installieren.
cu stonki
jaja, so'ne setup.exe laeuft halt nicht unter *nix LOL (obwohl ich mir nich ernsthaft vorstelln kann das dies der grund war, da sitzen ja nich nur dummies) cya -- ---------------------------------------- Markus Heinze Internet: http://www.existand.de E-Mail : M.Heinze@existand.de Telephon: 03464/569787 Fax : 03464/569786 ----------------------------------------
Markus Heinze schrieb am 27.08.2003 um 16:32:20 +0200: Hallo Markus,
am Mittwoch, 27. August 2003 um 13:24 schrieb Poldi Winkler
was hat die ct gegen antivir? Kostenlos für Privat, ständige Aktualisierung, für eingehende Mails bestens geeignet.
soweit ich den Test verstanden habe, haben die es noch nicht einmal geschafft den zu installieren. jaja, so'ne setup.exe laeuft halt nicht unter *nix LOL (obwohl ich mir nich ernsthaft vorstelln kann das dies der grund war, da sitzen ja nich nur dummies)
dochdoch, haben sie. Es ging um das Dazuko-Modul, was auf SuSE 8.2 nur mit Warnungen kompilierte, aber lief, auf dem Enterprise Server uebersetzt wurde aber nicht immer lief und auf RH 9 erst nach einem Update auf eine Beta lief. AntiVir fuer Server viel durch weil es nicht alle Viren erkannte, die zur Zeit (bis Ende Mai) ITW "in the wild" auftreten koennen. Erst auf die Bitte der ct nach einem Update, konnte auch Antivir, alle Viren erkennen. Allerdings ging es dabei wohl nur um Windows/DOS-Viren, denn Linux-Viren/Rootkits/Wuerme wurde extra getestet. Von den 532 moeglichen Erkennungen kam Antivirus aber auch nur auf 228. Also kanpp die Haelfte waeren durchgeflutscht. Als einziger erkannte F-Secure alle Win- wie auch alle Linux-Viren und schnitt auch im Test mit Archivformaten und eingebetteten OLE-Objekten gut ab. Alle Virenscanner waren auf dem am 02.06.2003 verfuegbaren Stand, haetten also alle Viren erkennen koennen. Das hat aber keiner der getesteten Scanner. Am besten abgeschnitten hatten: F-Secure, Kaspersky, RAV, Sophos, Symantec. Als reine Scanner wohlgemerkt. RAV einer der besseren, wird aber seitdem Microsoft-Aufkauf nicht weiter- entwickelt. Da Fazit war halt, das keiner der getesteten Scanner, ich habe keine Ahnung ob das alle fuer Linux verfuegbaren Virenscanner waren, fuer den Server- einsatz so ohne weiteres zu empfehlen ist. Im Moment sollte man das nur als eine Art zusaetzlichen Schutz laufen lassen, aber (Windows)Clients besser selber noch mal schuetzen. Also einen unter MS laufenden Virenscanner installieren. Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
At 19:17 27.08.03 +0200, Michael Schulz wrote:
Da Fazit war halt, das keiner der getesteten Scanner, ich habe keine Ahnung ob das alle fuer Linux verfuegbaren Virenscanner waren, fuer den Server- einsatz so ohne weiteres zu empfehlen ist.
Im Moment sollte man das nur als eine Art zusaetzlichen Schutz laufen lassen, aber (Windows)Clients besser selber noch mal schuetzen. Also einen unter MS laufenden Virenscanner installieren.
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann. Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org Gruß Matthias
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200: Hallo Matthias,
At 19:17 27.08.03 +0200, Michael Schulz wrote:
Da Fazit war halt, das keiner der getesteten Scanner, ich habe keine Ahnung ob das alle fuer Linux verfuegbaren Virenscanner waren, fuer den Server- einsatz so ohne weiteres zu empfehlen ist.
Im Moment sollte man das nur als eine Art zusaetzlichen Schutz laufen lassen, aber (Windows)Clients besser selber noch mal schuetzen. Also einen unter MS laufenden Virenscanner installieren.
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-) Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
At 19:40 27.08.03 +0200, Michael Schulz wrote:
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients.
Die Sichtweise ist zu kurzsichtig! Als WIN-Viren in deiner Sicht sind auch Macro-Viren zu werten. OpenOffice wird in kürze Macros unterstützen. Es ist also nur eine Frage der Zeit, wann plattformübergreifende Viren und Würmer um sich greifen. Fakt bleibt aber auch, dass ein Kernel-basierter Wächter einfach schneller ist, zumal wenn er mit einem Daemon zusammenarbeitet. Im Moment mag das Scannen im SAMBA noch reichen, aber für wie lange noch? München wird sich noch umsehen, wenn die nicht an sows denken. Übrigens suche ich noch immer nach dem Unterschied zwischen Server und Workstation, bei Linux gab es den eigentlich noch nie, und bei WIN ist der Übergang auch sehr fließend.
Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
Es geht auch nicht um Syscalls die aufgerufen werden, sondern um die die bei Datei-Operationen überwacht werden müssen. Da sind Calls bei die ein Modul nicht packt. Das muß aber sein, wenn ich eine Datei beim Erzeugen/Zugriff/Umbennen usw scannen will, egal ob es ein WIN oder MAC oder *NIX-Virus/Wurm ist. Gruß Matthias
Hallo, Am Mittwoch, 27. August 2003 19:40 schrieb Michael Schulz
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200:
At 19:17 27.08.03 +0200, Michael Schulz wrote:
Da Fazit war halt, das keiner der getesteten Scanner, ich habe keine Ahnung ob das alle fuer Linux verfuegbaren Virenscanner waren, fuer den Server- einsatz so ohne weiteres zu empfehlen ist.
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
hätte ich auch fast geschrieben, aber: http://www.rsbac.org/nordse98.htm Das Ding scheint mehr zu können Gruß Harald
Harald Huthmann schrieb am 27.08.2003 um 19:59:29 +0200: Hallo Harald,
Hallo, Am Mittwoch, 27. August 2003 19:40 schrieb Michael Schulz
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200:
At 19:17 27.08.03 +0200, Michael Schulz wrote:
Da Fazit war halt, das keiner der getesteten Scanner, ich habe keine Ahnung ob das alle fuer Linux verfuegbaren Virenscanner waren, fuer den Server- einsatz so ohne weiteres zu empfehlen ist.
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
hätte ich auch fast geschrieben, aber: http://www.rsbac.org/nordse98.htm Das Ding scheint mehr zu können
So wie ich das verstanden habe, geht es aber immer um oeffnen oder ausfuehren einer Datei auf dem _Linux_-Rechner. Nicht auf den Windows- Clients. Files die ueber ein Filesystem exportiert und auf dem Client importiert werden zaehle ich zu ersterem, also zum Linuxrechner. Was hilft mir ein Waechter, der wunderbar alles ueberwacht und scannt, was auf dem Linuxrechner passiert, wenn infizierte Dateien auf dem Windowsrechner ausgefuehrt werden? Ich stelle mir das so vor: Man muesste alles was $USER betrifft fuer die Windowskisten uebers Netz mounten, dann liegt alles auf dem Linux-Rechner und dort koennen diese Mechanismen greifen. Es darf aber nie ein File lokal auf den Windowsrechner gelangen, denn da kann dieser Mechanismus nicht greifen, denn er bekommt davon nichts mit. Also keine Floppy, keine CD-ROM/DVD. $USER darf nichts installieren. Oder sehe ich das falsch? Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
Hallo Michael, Am Mittwoch, 27. August 2003 20:28 schrieb Michael Schulz
Harald Huthmann schrieb am 27.08.2003 um 19:59:29 +0200:
Am Mittwoch, 27. August 2003 19:40 schrieb Michael Schulz
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200:
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
hätte ich auch fast geschrieben, aber: http://www.rsbac.org/nordse98.htm Das Ding scheint mehr zu können
So wie ich das verstanden habe, geht es aber immer um oeffnen oder ausfuehren einer Datei auf dem _Linux_-Rechner. Nicht auf den Windows- Clients. Files die ueber ein Filesystem exportiert und auf dem Client importiert werden zaehle ich zu ersterem, also zum Linuxrechner.
Sehe ich auch so...
Was hilft mir ein Waechter, der wunderbar alles ueberwacht und scannt, was auf dem Linuxrechner passiert, wenn infizierte Dateien auf dem Windowsrechner ausgefuehrt werden?
...nix...
Man muesste alles was $USER betrifft fuer die Windowskisten uebers Netz mounten, dann liegt alles auf dem Linux-Rechner und dort koennen diese Mechanismen greifen. Es darf aber nie ein File lokal auf den Windowsrechner gelangen, denn da kann dieser Mechanismus nicht greifen, denn er bekommt davon nichts mit. Also keine Floppy, keine CD-ROM/DVD. $USER darf nichts installieren.
Klar. Aber das ist bei jedem Virenscanner der auf der Linux-Kiste läuft nicht anders. Allerdings könnte man die Win-Clients an einer recht kurzen Leine halten, wenn man ihnen den Zugrff auf ihr locales Dateisystem abgewöhnt...
Oder sehe ich das falsch?
Du siehst da sicher schon mehr als ich. Ich habe das nur "überflogen" und es mir für lange Winterabende aufgehoben.:-) Mich interessiert auch mehr die Überwachung von Linux bei dieser Sache. Gruß Harald
Harald Huthmann schrieb am 27.08.2003 um 21:02:58 +0200: Hallo Harald,
Hallo Michael,
Am Mittwoch, 27. August 2003 20:28 schrieb Michael Schulz
Harald Huthmann schrieb am 27.08.2003 um 19:59:29 +0200:
Am Mittwoch, 27. August 2003 19:40 schrieb Michael Schulz
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200:
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
hätte ich auch fast geschrieben, aber: http://www.rsbac.org/nordse98.htm Das Ding scheint mehr zu können
So wie ich das verstanden habe, geht es aber immer um oeffnen oder ausfuehren einer Datei auf dem _Linux_-Rechner. Nicht auf den Windows- Clients. Files die ueber ein Filesystem exportiert und auf dem Client importiert werden zaehle ich zu ersterem, also zum Linuxrechner.
Sehe ich auch so...
Was hilft mir ein Waechter, der wunderbar alles ueberwacht und scannt, was auf dem Linuxrechner passiert, wenn infizierte Dateien auf dem Windowsrechner ausgefuehrt werden?
...nix...
Man muesste alles was $USER betrifft fuer die Windowskisten uebers Netz mounten, dann liegt alles auf dem Linux-Rechner und dort koennen diese Mechanismen greifen. Es darf aber nie ein File lokal auf den Windowsrechner gelangen, denn da kann dieser Mechanismus nicht greifen, denn er bekommt davon nichts mit. Also keine Floppy, keine CD-ROM/DVD. $USER darf nichts installieren.
Klar. Aber das ist bei jedem Virenscanner der auf der Linux-Kiste läuft nicht anders. Allerdings könnte man die Win-Clients an einer recht kurzen Leine halten, wenn man ihnen den Zugrff auf ihr locales Dateisystem abgewöhnt...
jo, ich glaube ich habe einfach Matthias seinen Quoting-Stil nicht verstanden, oder er hat das falsche gequotet :-)
Da Fazit war halt, das keiner der getesteten Scanner, ich habe keine Ahnung ob das alle fuer Linux verfuegbaren Virenscanner waren, fuer den Server- einsatz so ohne weiteres zu empfehlen ist.
Im Moment sollte man das nur als eine Art zusaetzlichen Schutz laufen lassen, aber (Windows)Clients besser selber noch mal schuetzen. Also einen unter MS laufenden Virenscanner installieren.
Das war das was er gequotet hat mit der Antwort:
Das größte Problem ist die fehlende Unterstützung im Kernel...
Und da passte bei mir was nicht. Das man Windows-Clients selber schuetzen muss, soll was mit einem Problem im Kenrel zu tun haben? Ne, natuerlich nicht. Aber ich hatte das beim ersten lesen so verstanden :-) Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
At 21:27 27.08.03 +0200, Michael Schulz wrote:
jo, ich glaube ich habe einfach Matthias seinen Quoting-Stil nicht verstanden, oder er hat das falsche gequotet :-)
Sorry :-)
Das größte Problem ist die fehlende Unterstützung im Kernel...
Und da passte bei mir was nicht.
Das war eine der Aussagen in der c't, besser die Konsquenz. Also muß was her, das rictig im Kernel sitzt. und das kann halt RSBAC.
Das man Windows-Clients selber schuetzen muss, soll was mit einem Problem im Kenrel zu tun haben? Ne, natuerlich nicht. Aber ich hatte das beim ersten lesen so verstanden :-)
Asche auf mein Haupt... Aber den Rest hab ich schon woanders kommentiert. Gruß Matthias
Ich gebt mal ein paar kommentare aus meiner Sicht: At 21:02 27.08.03 +0200, Harald Huthmann wrote:
Hallo Michael,
Am Mittwoch, 27. August 2003 20:28 schrieb Michael Schulz
Harald Huthmann schrieb am 27.08.2003 um 19:59:29 +0200:
Am Mittwoch, 27. August 2003 19:40 schrieb Michael Schulz
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200:
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
hätte ich auch fast geschrieben, aber: http://www.rsbac.org/nordse98.htm Das Ding scheint mehr zu können
Reichlich mehr, aber worauf es ankommt ist das Framework, das die Schnittstellen in den Syscalls bereitstellt. Die ganzen Zusätzlichen Dinge sind super, aber im Moment nicht Thema.
So wie ich das verstanden habe, geht es aber immer um oeffnen oder ausfuehren einer Datei auf dem _Linux_-Rechner.
Auch wenn eine Datei über ein Netzwerk einem anderen Client/Windose zur Verfügung gestellt wird, wird sie geöffnet/gelesen
Nicht auf den Windows-
Clients. Files die ueber ein Filesystem exportiert und auf dem Client importiert werden zaehle ich zu ersterem, also zum Linuxrechner.
Sehe ich auch so...
Wenn ich den Zugriff schon am Server sperren kann, baue ich damit eine zweite Hürde auf.
Was hilft mir ein Waechter, der wunderbar alles ueberwacht und scannt, was auf dem Linuxrechner passiert, wenn infizierte Dateien auf dem Windowsrechner ausgefuehrt werden?
Auf einen Wächter am Client kann/darf man nicht verzichten, denn es gibt da ja noch andere Quellen für Malware (Disketten/Internet) (https kan man definitonsgemäß nicht im GW scannen)
...nix...
stimmt nicht ganz, denn ich betreibe den Server ja für eine ganze Reihe von Clients...
Man muesste alles was $USER betrifft fuer die Windowskisten uebers Netz mounten, dann liegt alles auf dem Linux-Rechner und dort koennen diese Mechanismen greifen. Es darf aber nie ein File lokal auf den Windowsrechner gelangen, denn da kann dieser Mechanismus nicht greifen, denn er bekommt davon nichts mit. Also keine Floppy, keine CD-ROM/DVD. $USER darf nichts installieren.
Was nützt das, wenn die Schnittstellen am Client nach nem Overflow den Code ausführen (s. Blaster). Ohne Schutz am Client kannst Du alles vergessen!
Klar. Aber das ist bei jedem Virenscanner der auf der Linux-Kiste läuft nicht anders. Allerdings könnte man die Win-Clients an einer recht kurzen Leine halten, wenn man ihnen den Zugrff auf ihr locales Dateisystem abgewöhnt...
Vergiß es, das Filesystem ist heute nicht mehr das größte Problem...
Oder sehe ich das falsch?
Du siehst da sicher schon mehr als ich. Ich habe das nur "überflogen" und es mir für lange Winterabende aufgehoben.:-) Mich interessiert auch mehr die Überwachung von Linux bei dieser Sache.
Eben, wir müssen auch Linux in die Lage versetzten, jede Datei bei einem Zugriff zu überprüfen, dann ist es egal, ob da drauf über http, NFS, SAMBA oder lokal zugegriffen wird. Schaut euch mal RSBAC an, die Zugriffskontrolldinge sind auch super gelöst aber eine andere Baustelle. Für weitere Diskussionen zu RSBAC empfehle ich aber die RSBAC-Listen. Solange hier keiner was sagt, könenn wir gerne weiter über Viren diskustieren... Gruß Matthias
Am Mittwoch, 27. August 2003 19:23 schrieb Matthias Jänichen:
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org
Wo genau, ich finde nur http://www.rsbac.org/kernels/linux-2.4.21-rsbac-v1.2.2.tar.bz2 Al
At 19:59 27.08.03 +0200, Al Bogner wrote:
Am Mittwoch, 27. August 2003 19:23 schrieb Matthias Jänichen:
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org
Wo genau, ich finde nur http://www.rsbac.org/kernels/linux-2.4.21-rsbac-v1.2.2.tar.bz2
fehlt da ein ":-)" ?? sonst versteh ich nict was du meinst ;-)
Am Mittwoch, 27. August 2003 21:35 schrieb Matthias Jänichen:
Der komplette gepatchte Kernel 2.4.22 ist gerade als pre hochgeladen worden: www.rsbac.org
Wo genau, ich finde nur http://www.rsbac.org/kernels/linux-2.4.21-rsbac-v1.2.2.tar.bz2
fehlt da ein ":-)" ??
sonst versteh ich nict was du meinst ;-)
Oben steht doch 2.4.22 und wo gibt es den rsbac-Pacth für 2.4.22 bzw. den ganzen Kernel? Ich fand nur 2.4.2-1- Mich interessiert der Patch aus "Nicht-Viren-Sicht". Al
Am Mittwoch, 27. August 2003 11:46 schrieb Al Bogner:
Liest man den Virenscanner-Test in der aktuellen ct, so scheint es keinen kostenlosen Virenscanner für Linux zu geben, der einigermaßen brauchbar ist, oder? Was wäre die günstigste empfehlenswerte Alternative?
AntiVir for UNIX Copyright (C) 1994-2002 by H+BEDV Datentechnik GmbH. All rights reserved. For more information see http://www.antivir.de/ or http://www.hbedv.com/ HTH, Andreas. -- Andreas Scherer <andreas.scherer@lingua.at> Reg. LinuxUser #157823 EDV-Dienstleistungen Scherer Tel.: +43 2735 77144 http://www.lingua.at - http://www.scherer.co.at
participants (9)
-
Al Bogner -
Andreas Scherer -
Harald_mail@t-online.de -
Marc Mc Guinness -
Markus Heinze -
Matthias Jänichen -
Michael Schulz -
poldiwinkler@t-online.de -
Stefan Onken