Welche Verzeichnisse sinnvoll nach Viren scannen?
Hallo Liste, ich bin ziemlich Linux-unerfahren. Daher mal die allgemeine Frage, welche Verzeichnisse bei einer üblichen Suse (9.1) sinnvollerweise täglich mit einem Antivirenprogramm gescannt werden sollten. Ein gesamter Systemscan ist für eine tägliche Prüfung zu zeitintensiv und sicher auch nicht nötig. Meinem Verständnis nach untersuche ich (fast) täglich folgende Verzeichnisse: /home /tmp /bin /sbin und /var Ist dies sinnvoll oder fehlt ein wichtiges Verzeichnis?? Bislang hatte ich nur mal ein paar Pferdchen auf /home (irgendwelche java.files). Wie sind Eure Erfahrungen, wo kann sich sonstwas einnisten? Grüsse Uli
Hallo, am Mittwoch, 21. Juli 2004 um 15:21 schrieb Ulrich Gerner
Daher mal die allgemeine Frage, welche Verzeichnisse bei einer üblichen Suse (9.1) sinnvollerweise täglich mit einem Antivirenprogramm gescannt werden sollten. Ein gesamter Systemscan ist für eine tägliche Prüfung zu zeitintensiv und sicher auch nicht nötig.
IMHO muss ich sagen, dass ein Virenscan auf der /home/ Partition reicht. Ich finde eher wichtiger, nach Rootkits zu fahnden - und das dauert dank RKHUNTER max. 2min. cu stonki -- Deutsche ProFTP Docs: http://www.proftpd.de, EFNET: #proftpd KDE3 Renamer: http://www.krename.net KDE3 Barcode und Label Solution: http://www.kbarcode.net Just me: http://www.stonki.de
Am Mittwoch, 21. Juli 2004 16:37 schrieb Stefan Onken:
Hallo,
am Mittwoch, 21. Juli 2004 um 15:21 schrieb Ulrich Gerner
Daher mal die allgemeine Frage, welche Verzeichnisse bei einer üblichen Suse (9.1) sinnvollerweise täglich mit einem Antivirenprogramm gescannt werden sollten. Ein gesamter Systemscan ist für eine tägliche Prüfung zu zeitintensiv und sicher auch nicht nötig.
IMHO muss ich sagen, dass ein Virenscan auf der /home/ Partition reicht. Ich finde eher wichtiger, nach Rootkits zu fahnden - und das dauert dank RKHUNTER max. 2min.
cu stonki
Hallo, an dieser Stelle auch allen Anderen ein nettes Danke für die vielen Tipps. Von Rootkits hatte ich bislang nie etwas gehört (als alter Dos-bis Windows-Nutzer waren da mehr Spybot, Adaware, etc. bekannt). Ich habe jetzt chkrootkit und Rkhunter aufgespielt (Einzelplatzrechner zu Hause) und in Kombination mit Antivir werde ich hoffentlich meine Windowsneurose irgendwann beilegen können.... Nur noch eins: Es wundert mich schon, wie selbstverständlich sich Linux-User sicher fühlen! Sollte jemals die geballte kriminelle Energie, die seit geraumer Zeit MS attackiert, auf Linux umschwenken werden sich viele Linuxuser bestimmt wundern. Auf der anderen Seite kann so blauäugig nicht sein, wer sich mit Linux beschäftigt... Wenn gleich ich für einen Neuling wie mich feststellen muss, dass der Einstieg in die Linuxwelt mich an die ersten Erfahrungen mit DOS erinnert. Liebe Grüsse Uli
Am Mittwoch, 21. Juli 2004 23:00 schrieb Ulrich Gerner:
Nur noch eins: Es wundert mich schon, wie selbstverständlich sich Linux-User sicher fühlen! Also, ich oute mich jetzt mal als einer von denen (-: Ich scanne meinen privaten Einzelplatzrechner mit temporärer Internetverbindung _nicht_. Diese Aufwandsersparnis ist für mich ein Hauptgrund, der für den Einsatz von Linux im privaten Bereich spricht. Allerdings sind da auch keine lebenswichtigen Daten drauf, es hängen keine Dosen oder sonstige Funktionen dran. Wie gesagt: es kommt immer darauf an. Und in den paar .tex-Dateien, die dann wichtig sind, werden sich wohl keine Viren verstecken (-:
Sollte jemals die geballte kriminelle Energie, die seit geraumer Zeit MS attackiert, auf Linux umschwenken werden sich viele Linuxuser bestimmt wundern. So weit sind wir noch lange nicht ... aber auf einen solchen Fall bin ich natürlich gespannt.
Viele Grüße, Florian
Am Donnerstag, 22. Juli 2004 09:28 schrieb Florian Höfer:
Am Mittwoch, 21. Juli 2004 23:00 schrieb Ulrich Gerner:
Nur noch eins: Es wundert mich schon, wie selbstverständlich sich Linux-User sicher fühlen!
Also, ich oute mich jetzt mal als einer von denen (-: Ich scanne meinen privaten Einzelplatzrechner mit temporärer Internetverbindung _nicht_. Diese Aufwandsersparnis ist für mich ein Hauptgrund, der für den Einsatz von Linux im privaten Bereich spricht. Allerdings sind da auch keine lebenswichtigen Daten drauf, es hängen keine Dosen oder sonstige Funktionen dran. Wie gesagt: es kommt immer darauf an. Und in den paar .tex-Dateien, die dann wichtig sind, werden sich wohl keine
Viren verstecken (-:
Sollte jemals die geballte kriminelle Energie, die seit geraumer Zeit MS attackiert, auf Linux umschwenken werden sich viele Linuxuser bestimmt wundern.
So weit sind wir noch lange nicht ... aber auf einen solchen Fall bin ich natürlich gespannt.
Viele Grüße, Florian
Egal welche Einstellung man zu seinem System hat, denke ich schon das es wichtig ist sich über die Sicherheitsaspekte zu informieren. -- SUSE 9.1PE
Am Mittwoch, 21. Juli 2004 16:21 schrieb Ulrich Gerner:
Hallo Liste,
ich bin ziemlich Linux-unerfahren.
Daher mal die allgemeine Frage, welche Verzeichnisse bei einer üblichen Suse (9.1) sinnvollerweise täglich mit einem Antivirenprogramm gescannt werden sollten. Ein gesamter Systemscan ist für eine tägliche Prüfung zu zeitintensiv und sicher auch nicht nötig.
1. Aus Sicherheitsaspekten wichtig ist ein hochaktueller(!) Virenwächter, der Dateien vor dem Ausführen/Öffnen checkt. Und ggf. auch beim Schreiben. 2. Virenscans sind sicher ab und zu nicht verkehrt, aber nicht täglich. Da ist es auf entsprechenden Systemen wichtiger, effiziente Intrusion Detection zu betreiben (Logfile-Analyser, Rootkit-Checker, Rechte-Kontrolle, ...) 3. Werden Verzeichnisse für Windows bereitgestellt, sollten die ggf. regelmäßiger gecheckt werden.
Meinem Verständnis nach untersuche ich (fast) täglich folgende Verzeichnisse: /home
OK, insbesondere, wenn unter Samba freigegeben.
/tmp
IMHO nicht nötig, hier lieber regelmäßig ausmisten.
/bin /sbin und /var
Eher unwichtig für Scans, für die ersten beiden und für /usr dann eher Zugriffskontrolle.
Ist dies sinnvoll oder fehlt ein wichtiges Verzeichnis??
Wie erwähnt, alle Windows-Freigaben, dann noch /var/spool/mail (wenn nicht ohnehin ein Mailscanner läuft), und auch den Cache vom Proxie (wenn da nicht bereits ein Scanner eingebunden ist).
Bislang hatte ich nur mal ein paar Pferdchen auf /home (irgendwelche java.files).
Wie sind Eure Erfahrungen, wo kann sich sonstwas einnisten?
Hier sollte man eher die Frage stellen: Wie kann sich etwas einnisten? Daraus leitet sich alles andere ab. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Mittwoch, 21. Juli 2004 19:09 schrieb Matthias Houdek:
Am Mittwoch, 21. Juli 2004 16:21 schrieb Ulrich Gerner:
Hallo Liste,
ich bin ziemlich Linux-unerfahren.
Daher mal die allgemeine Frage, welche Verzeichnisse bei einer üblichen Suse (9.1) sinnvollerweise täglich mit einem Antivirenprogramm gescannt werden sollten. Ein gesamter Systemscan ist für eine tägliche Prüfung zu zeitintensiv und sicher auch nicht nötig.
1. Aus Sicherheitsaspekten wichtig ist ein hochaktueller(!) Virenwächter, der Dateien vor dem Ausführen/Öffnen checkt. Und ggf. auch beim Schreiben.
Was sind denn z.B. hochaktuelle Virenwächter?
2. Virenscans sind sicher ab und zu nicht verkehrt, aber nicht täglich. Da ist es auf entsprechenden Systemen wichtiger, effiziente Intrusion Detection zu betreiben (Logfile-Analyser, Rootkit-Checker, Rechte-Kontrolle, ...)
Wie betreibt man eine effiziente und umfangreiche Intrusion Detection und welche Software sollte man verwenden?
Am Mittwoch, 21. Juli 2004 19:39 schrieb Jonny:
Am Mittwoch, 21. Juli 2004 19:09 schrieb Matthias Houdek:
Am Mittwoch, 21. Juli 2004 16:21 schrieb Ulrich Gerner:
Hallo Liste,
ich bin ziemlich Linux-unerfahren.
Daher mal die allgemeine Frage, welche Verzeichnisse bei einer üblichen Suse (9.1) sinnvollerweise täglich mit einem Antivirenprogramm gescannt werden sollten. Ein gesamter Systemscan ist für eine tägliche Prüfung zu zeitintensiv und sicher auch nicht nötig.
1. Aus Sicherheitsaspekten wichtig ist ein hochaktueller(!) Virenwächter, der Dateien vor dem Ausführen/Öffnen checkt. Und ggf. auch beim Schreiben.
Was sind denn z.B. hochaktuelle Virenwächter?
Die Virenkennungen sollten nicht älter als ein paar Tage sein. Ich habe z.T. Systeme im Einsatz, die sogar stündlich nach Aktualisierungen sehen und sich so zum Teil auch mehrmals täglich aktualisieren.
2. Virenscans sind sicher ab und zu nicht verkehrt, aber nicht täglich. Da ist es auf entsprechenden Systemen wichtiger, effiziente Intrusion Detection zu betreiben (Logfile-Analyser, Rootkit-Checker, Rechte-Kontrolle, ...)
Wie betreibt man eine effiziente und umfangreiche Intrusion Detection und welche Software sollte man verwenden?
Wie hoch ist denn der Sicherheitsbedarf? Wie umfangreich ist das System? (Netzwerkgröße, Datenvolumen, Gefährdungspotential) Auch wenn die (meisten) Programme kostenlos sind - Sicherheit kostet ab einem gewissen Grad immer. Auch Arbeitszeit ist Geld. Für ein kleines Home-Netzwerk sollten ein aktueller Virenscanner und ein wöchentliches chkrootkit ausreichend sein. Logfile-Analyser gibt es etliche, aber letzendlich müssen auch diese Statistiken _zeitnah_ ausgewertet und manuell ausgewertet werden. chkrootkit kann man täglich laufen lassen, das geht relativ fix. snort wäre für den Anfang vielleicht noch interessant. Man muss aber auch mit den Ergebnissen etwas anfangen können - nicht dass dann hier wieder Fragen aufschlagen wie: Bei mir wurden gestern 3 Portscans übers Internet gemacht. Was kann ich dagegen unternehmen? -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Mittwoch, 21. Juli 2004 20:37 schrieb Matthias Houdek:
Am Mittwoch, 21. Juli 2004 16:21 schrieb Ulrich Gerner:
1. Aus Sicherheitsaspekten wichtig ist ein hochaktueller(!) Virenwächter, der Dateien vor dem Ausführen/Öffnen checkt. Und ggf. auch beim Schreiben.
2. Virenscans sind sicher ab und zu nicht verkehrt, aber nicht täglich. Da ist es auf entsprechenden Systemen wichtiger, effiziente Intrusion Detection zu betreiben (Logfile-Analyser, Rootkit-Checker, Rechte-Kontrolle, ...)
Meine Frage richtete sich mehr nach gängiger Software.
Am Mittwoch, 21. Juli 2004 21:12 schrieb Jonny:
Am Mittwoch, 21. Juli 2004 20:37 schrieb Matthias Houdek:
Am Mittwoch, 21. Juli 2004 16:21 schrieb Ulrich Gerner:
1. Aus Sicherheitsaspekten wichtig ist ein hochaktueller(!) Virenwächter, der Dateien vor dem Ausführen/Öffnen checkt. Und ggf. auch beim Schreiben.
2. Virenscans sind sicher ab und zu nicht verkehrt, aber nicht täglich. Da ist es auf entsprechenden Systemen wichtiger, effiziente Intrusion Detection zu betreiben (Logfile-Analyser, Rootkit-Checker, Rechte-Kontrolle, ...)
Meine Frage richtete sich mehr nach gängiger Software.
Mal abgesehen davon, dass deine Art zu quoten scheußlich ist (Ulrich hat von dem Text da oben nie nix geschrieben!): LIDS, aide, snort, bsign, harden-tools, prelude, idsa, chkrootkit, analog, iptraf, nmap, ethereal, top, ... Kommt drauf an, was du alles absichern willst/musst. Für nähere Informationen befrag die http://allwissende.muellhal.de -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Sorry fürs Quoten, habe es gerade gesehen. Habe da wohl ein wenig Mist gebaut. Danke für die genannten Progis. Werde es mal ausprobieren. Am Mittwoch, 21. Juli 2004 21:45 schrieb Matthias Houdek:
Am Mittwoch, 21. Juli 2004 21:12 schrieb Jonny:
Am Mittwoch, 21. Juli 2004 20:37 schrieb Matthias Houdek:
Am Mittwoch, 21. Juli 2004 16:21 schrieb Ulrich Gerner:
1. Aus Sicherheitsaspekten wichtig ist ein hochaktueller(!) Virenwächter, der Dateien vor dem Ausführen/Öffnen checkt. Und ggf. auch beim Schreiben.
2. Virenscans sind sicher ab und zu nicht verkehrt, aber nicht täglich. Da ist es auf entsprechenden Systemen wichtiger, effiziente Intrusion Detection zu betreiben (Logfile-Analyser, Rootkit-Checker, Rechte-Kontrolle, ...)
Meine Frage richtete sich mehr nach gängiger Software.
Mal abgesehen davon, dass deine Art zu quoten scheußlich ist (Ulrich hat von dem Text da oben nie nix geschrieben!): LIDS, aide, snort, bsign, harden-tools, prelude, idsa, chkrootkit, analog, iptraf, nmap, ethereal, top, ... Kommt drauf an, was du alles absichern willst/musst. Für nähere Informationen befrag die http://allwissende.muellhal.de
-- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Mittwoch, 21. Juli 2004 20:37 schrieb Matthias Houdek:
Man muss aber auch mit den Ergebnissen etwas anfangen können - nicht dass dann hier wieder Fragen aufschlagen wie: Bei mir wurden gestern 3 Portscans übers Internet gemacht. Was kann ich dagegen unternehmen?
Also (nur) _3_ Portscans würde ich extrem verdächtig finden. Al
Am Mittwoch, 21. Juli 2004 22:26 schrieb Al Bogner:
Am Mittwoch, 21. Juli 2004 20:37 schrieb Matthias Houdek:
Man muss aber auch mit den Ergebnissen etwas anfangen können - nicht dass dann hier wieder Fragen aufschlagen wie: Bei mir wurden gestern 3 Portscans übers Internet gemacht. Was kann ich dagegen unternehmen?
Also (nur) _3_ Portscans würde ich extrem verdächtig finden.
Jau ;-) -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo Matthias, hallo Ulrich, hallo hallo Leute, Am Mittwoch, 21. Juli 2004 19:09 schrieb Matthias Houdek:
Am Mittwoch, 21. Juli 2004 16:21 schrieb Ulrich Gerner:
Daher mal die allgemeine Frage, welche Verzeichnisse bei einer üblichen Suse (9.1) sinnvollerweise täglich mit einem Antivirenprogramm gescannt werden sollten. [...] Meinem Verständnis nach untersuche ich (fast) täglich folgende Verzeichnisse: /home
OK, insbesondere, wenn unter Samba freigegeben.
/tmp
IMHO nicht nötig, hier lieber regelmäßig ausmisten. [...]
/var
Eher unwichtig für Scans,
Das sehe ich ein wenig anders. Gehen wir mal davon aus, dass root vorsichtig genug ist und sich keine Viren o. ä. einfängt. Übrig bleibt alles, worauf der User Schreibzugriff hat. Und dazu gehört neben /home auch /tmp und Teile von /var (z. B. /var/tmp, /var/mail)
Wie sind Eure Erfahrungen, wo kann sich sonstwas einnisten?
Hier sollte man eher die Frage stellen: Wie kann sich etwas einnisten? Daraus leitet sich alles andere ab.
Stimmt. Wie auch immer - ich lasse bei mir nur sehr selten einen Virenscanner werkeln. Allerdings verwende ich kein Windows, sodass das Hauptrisiko schonmal ausgeschlossen ist. Dazu kommt noch eine gehörige Portion Vorsicht (z. B. führe ich unbekannte Programme stets unter einem Testuser aus). Der Virenscanner findet übrigens immer was, da ich die per Mail eintreffenden Viren und Würmer sammle, sozusagen als abschreckende Beispiele ;-) Gruß Christian Boltz -- [Fontlinge] Nun zunächst mal kann Bill seine Fonts per Hand sortieren, Bätsch. Und er muß Millionen trauriger Menschen erklären, wieso das unter Linux geht und unter Windows nicht. Und dann kaufen alle Leute Linux-Distris, und Bill geht pleite und muß hungern, und ich reite in den Sonnenuntergang. [Ratti in suse-programming]
participants (7)
-
Al Bogner
-
Christian Boltz
-
Florian Höfer
-
Jonny
-
Matthias Houdek
-
Stefan Onken
-
Ulrich Gerner