Linux et anti-virus

Sujet polémique, je vous laisse chercher les pour vs contre sur le web.

Personnellement mon choix c’est Sophos, j’aime à croire que c’est une décision sage…

Environnement

PC sous Linux Debian 10 Buster

L’antivirus

Sophos version gratuite pour Linux

L’installation

En suivant la méthode officielle

Le cas concret

On a téléchargé sav-linux-free-9.tgz et décompressé dans un dossier local.

Exemple

~/sophos-av$ ls
install.sh sav-linux-free-9.tgz sav.tar talpa.tar uncdownload.tar

 

On installe la version gratuite en acceptant les options par défaut.

Do you accept the licence? Yes(Y)/No(N) [N]

> Y

Where do you want to install Sophos Anti-Virus? [/opt/sophos-av]

>

Do you want to enable on-access scanning? Yes(Y)/No(N) [Y]

>

Sophos recommends that you configure Sophos Anti-Virus to auto-update.

It can update either from Sophos directly (requiring username/password details) or from update-perso.serviceyour own server (directory or

website (possibly requiring username/password)).

Which type of auto-updating do you want? From Sophos(s)/From own server(o)/None(n) [s]

>

Updating directly from Sophos.

Do you wish to install the Free (f) or Supported (s) version of SAV for Linux? [s]

> f

The Free version of Sophos Anti-Virus for Linux comes with no support.

Forums are available for our free tools at http://openforum.sophos.com/

Do you need a proxy to access Sophos updates? Yes(Y)/No(N) [N]

>

Fetching free update credentials.

Installing Sophos Anti-Virus....

Selecting appropriate kernel support...

When Sophos Anti-Virus starts, it updates itself to try to find a Sophos kernel interface module update. This might cause a significant delay.

Sophos Anti-Virus starts after installation.

Installation completed.

Your computer is now protected by Sophos Anti-Virus.

Le démarrage

Vérifier que le service est actif

systemctl status sav-protect
● sav-protect.service - "Sophos Anti-Virus daemon"
 Loaded: loaded (/lib/systemd/system/sav-protect.service; enabled; vendor preset: enabled)
 Active: active (running) since Tue 2018-06-12 17:21:52 CEST; 39s ago
 Docs: man:sav-protect
 Process: 13600 ExecStartPost=/opt/sophos-av/engine/.sav-protect.systemd.poststart.sh (code=exited, status=0/SUCCESS)
 Process: 13567 ExecStartPre=/opt/sophos-av/engine/.sav-protect.systemd.prestart.sh (code=exited, status=0/SUCCESS)
 Main PID: 13599 (savd)
 Tasks: 23 (limit: 4299)
 Memory: 734.7M
 CGroup: /system.slice/sav-protect.service
 ├─13599 savd etc/savd.cfg
 ├─13667 savscand --incident=unix://tmp/incident --namedscan=unix://root@tmp/namedscansprocessor.0 --ondemandcontrol
 └─13803 savscand --incident=unix://tmp/incident socketpair://48/49 --threads=2

juin 12 17:21:17 debian systemd[1]: Starting "Sophos Anti-Virus daemon"...
juin 12 17:21:22 debian savd[13599]: savd.daemon: SAVD-STARTED
juin 12 17:21:49 debian savd[13599]: savd.daemon: ONACCESS-ENABLED talpa
juin 12 17:21:52 debian systemd[1]: Started "Sophos Anti-Virus daemon".

Les choses à savoir

Sophos est prévu pour fonctionner sur des versions de noyau qui ne sont pas forcément celles de Debian. Il faut donc parfois  compiler soi-même pour que l’outil fonctionne sur le noyau en cours.

Se reporter aux discussions que j’ai eu sur le forum Sophos:

Exemple de compilation pour le noyau 4.13

Talpa et le problème Spectre

Compiler sur un noyau non officielle:

root@debian:/opt/sophos-av/engine# ./talpa_select select

Vérifier les noyaux connus de Sophos:

root@debian:/opt/sophos-av/talpa/compiled# ls -alrt
total 332
-rw------- 1 root root 115429 juin 4 07:48 talpa-binpack-debian-x86_64-4.16.0-2-amd64-1smpdebian41612120180527.tar.gz
-rw------- 1 root root 93441 juin 10 16:32 talpa-binpack-debian-x86_64-4.9.107-kernelperso-1smpsunjun10143240cest2018.tar.gz
-rw------- 1 root root 115477 juin 12 16:18 talpa-binpack-debian-x86_64-4.17.0-rc3-amd64-1smpdebian417rc31exp120180429.tar.gz
drwx------ 2 root root 4096 juin 12 16:20 .
drwx------ 6 root root 4096 juin 12 17:21 ..

Mode fanotify

Toutefois le mode compilé avec module Talpa n’est plus obligatoire et on peut fonctionner en mode fanotify

https://community.sophos.com/kb/en-us/118216

Vérifier que le noyau utilisé à été compilé avec l’option
root@debian:/boot# grep -i fanotify config-4.9.0-8-amd64
CONFIG_FANOTIFY=y
CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y
Positionner le mode fanotify dans Sophos
 /opt/sophos-av/bin/savconfig set PreferFanotify true

Quelques commandes utiles

Binaires disponibles

root@debian:/opt/sophos-av/bin# ls
_ savconfig savdctl savdstatus savlog savscan savsetup savupdate

Vérifier l’état de Sophos

root@debian:/opt/sophos-av/bin# ./savdstatus
Sophos Anti-Virus is active and on-access scanning is running

Vérifier la version

/opt/sophos-av/bin/savdstatus –version
Copyright 1989-2018 Sophos Limited. All rights reserved.
Sophos Anti-Virus = 9.15.0
Build Revision = 2767612
Threat detection engine = 3.72.1
Threat data = 5.55
Threat count = 25681056Threat data release = mar. 18 sept. 2018 00:00:00
Last update = mar. 09 oct. 2018 11:33:17 CEST

Déclencher une mise à jour

root@debian:/opt/sophos-av/bin# ./savupdate
Successfully updated Sophos Anti-Virus from sdds:SOPHOS
root@debian:/opt/sophos-av/bin#

NB sophos se mets à jour lui même automatiquement

systemctl status sav-protect

juin 12 17:51:50 debian savd[13599]: update.check: SUCCESSFULLY_UPDATED_FROM sdds:SOPHOS
juin 12 18:03:49 debian savd[13599]: savscan.log: SAVSCAN-START
juin 12 18:06:43 debian savd[13599]: savscan.log: SAVSCAN-DETAILS 0 0 12118 0 0 0
juin 12 18:06:43 debian savd[13599]: savscan.log: SAVSCAN-FINISHED

Rechercher les virus sur un répertoire

root@debian:/opt/sophos-av/bin# ./savscan /Phoenix
Utilitaire de détection virale Scan
Version 5.43.0 [Linux/AMD64]
Version des données virales 5.51, mai 2018
Inclut la détection de 20502718 virus, chevaux de Troie et vers
Copyright (c) 1989-2018 Sophos Limited. Tous droits réservés.

Heure système 18:04:09, Date système 12 juin 2018

Contrôle rapide

12118 fichiers contrôlés en 2 minutes et 54 secondes.
Aucun virus n'a été découvert.
Fin de Scan.
root@debian:/opt/sophos-av/bin#

Gérer les paramètres de configuration

Le manuel de la commande

root@debian:/opt/sophos-av/bin# man savconfig

Listage des valeurs

root@debian:/opt/sophos-av/bin# ./savconfig -v

Modifier une valeur

Exemple la périodicité de la mise à jour Sophos

root@debian:/opt/sophos-av/bin# ./savconfig set UpdatePeriodMinutes 240

Vérifier la nouvelle valeur:

root@debian:/opt/sophos-av/bin# /opt/sophos-av/bin/savconfig query UpdatePeriodMinutes
240
root@debian:/opt/sophos-av/bin#

Réduire le nombre de thread par process

Dans le fichier /opt/sophos-av/etc/savd.cfg

A l’origine:

<ThreadsPerProcess>5</ThreadsPerProcess>

je réduis 2:

<ThreadsPerProcess>2</ThreadsPerProcess>

ps -edf | grep savscand

root 22997 22928 24 07:33 ? 00:00:12 savscand --incident=unix://tmp/incident --namedscan=unix://root@tmp/namedscansprocessor.0 --ondemandcontrol=socketpair://44/45 socketpair://42/43 --threads=2

root 23064 22928 31 07:34 ? 00:00:11 savscand --incident=unix://tmp/incident socketpair://48/49 –threads=2

La documentation

De la version 9

Le forum d’entraide ( en anglais)

Conclusion

Un anti-virus c’est la sagesse surtout Sophos sagesse

Grec: Philosophos: philo (ami) sophos (habile, savant, sage) →Philosophe

 

 

 

 

Publicités

Un commentaire sur « Linux et anti-virus »

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s