Virenscanner

Ich habe Suse11:3 installiert. Läuft eigentlich super. Aber als alter windowsuser habe ich versucht über Yast ein Virenscanner mit zu installieren. Macht Yast zwar, aber wegen fehlenden Dazuko kriege ich keine Funktion. Gibt es schon eine alternative ohne Dazuko, bezw. ein Dazuko für diese Version?

salzi09 wrote:
> Ich habe Suse11:3 installiert. Läuft eigentlich super. Aber als alter
> windowsuser habe ich versucht über Yast ein Virenscanner mit zu
> installieren. Macht Yast zwar, aber wegen fehlenden Dazuko kriege ich
> keine Funktion. Gibt es schon eine alternative ohne Dazuko, bezw. ein
> Dazuko für diese Version?

Hallo,

ich habe zwar keine Ahnung was Dazuko ist (schäm) aber ich denke
antivir und clamav sind beide in den Repos vorhanden und tun beide was
sie sollen,

| antivir | Antivir Virus Scanner | package
| antivir-gui | Antivir Virus Scanner GUI | package
| clamav | Antivirus Toolkit | package
| clamav-db | Virus Database for ClamAV | package

und letzendlich, ich bin immernoch davon überzeugt das man unter einem
Linux keinen Virenscanner braucht :slight_smile:

Grüsse

Am 13.09.2010 16:26, schrieb salzi09:
>
> Ich habe Suse11:3 installiert. Läuft eigentlich super. Aber als alter
> windowsuser habe ich versucht über Yast ein Virenscanner mit zu
> installieren. Macht Yast zwar, aber wegen fehlenden Dazuko kriege ich
> keine Funktion. Gibt es schon eine alternative ohne Dazuko, bezw. ein
> Dazuko für diese Version?
>
>

Solange du das System nicht als Server einsetzt, würde ich keinen
Background-Scanner einsetzen.
ClamAV z.B. läuft On-Demand ganz einfach und ohne Dazuko.


openSUSE official member
LXDE team

Ergänzend zu lotz’ Beitrag: Linux selbst wird nicht von Viren bedroht, es ist also unnötig, nach selbigen zu scannen.

gropiuskalle wrote:
> Ergänzend zu lotz’ Beitrag: Linux selbst wird nicht von Viren bedroht,
> es ist also unnötig, nach selbigen zu scannen.

Naja, es soll auch Viren für Linux geben, ein bis zwei davon sind sogar
recht nützlich. So gab es mal einen der durch eine Sicherheitslücke kam,
sie geschlossen und sich verbreitet hat.

Die wenigen (eher als experimentell denn als de facto bedrohend zu betrachtenden) Viren werden aber ohnehin nicht von ClamAV, AntiVir und dergleichen erfasst. Die scannen nur nach Win-Viren.

Hast Du einen Virenscanner aus dem Paketmanager installiert, oder als alter Windowsuser etwas von einer Webseite heruntergeladen? Die Programme die im Paketmanager angezeigt werden und auf dem openSUSE Server liegen bieten nämlich größtmöglichste Kompatibilität mit deinem openSUSE! Da es mit den entsprechenden openSUSE Repositories über 13.000 verschiedene Programme gibt, kommt man auch gar nicht mehr auf die Idee etwas von Webseiten zu installieren.

Also wenn es darum geht, dass Du von Linux aus Deine Windows Partitionen nach ungebetenen Gästen absuchst, dann kannst Du auch mal den AVAST versuchen. Den bekommste als RPM und kannste relativ easy installieren. Man braucht nur einen kostenlosen Key dafür (über die avast.com Page). Allerdings nur für den Privatgebrauch kostenlos. Von Linux aus zu scannen halte ich für eine recht gute Sache, denn so kann man ausschließen, dass eventuell ein Virus im Speicher hängt und den Scannvorgang beeinflusst.

Für Antivir wäre noch das Kernelmodul dazuko (libdazuko.so) zu installieren: LINUX - Thema openSUSE 11.3, Amavis und Antivir, was offenbar derzeit nach wie vor noch in keinem Repository für openSUSE 11.3 angeboten wird?

Wenn du unbedingt einen Background Scanner laufen lassen willst lade dir dazuko herunter. Anschließend entpacken, in das Verzeichnis wechseln, ./configure, make und als root make install.
Dann noch: /sbin/insmod ./dazuko.ko und mknod -m 600 /dev/dazuko c grep dazuko /proc/devices | sed "s/ .*//" 0, ebenfalls als root, versteht sich.

Gruß
Hans

Der Link noch: http://www.dazuko.org/downloads.shtml

Vielen Dank für die Info!

Ich habe schon ClamAV installiert und musste gerade feststellen, anlässlich des Trojanerbefalls bei einer Bekannten (Windows XP), dass der Katalog der erkannten Bedrohungen offenbar nicht sonderlich groß ist?

Also für 11.3 gibt es keinen fertigen kernel-dazuko wie für 11.2,
soweit habe ich den Thread bislang verstanden habe.

Kleine Zwischenfrage:

Warum nicht DazukoFS (siehe Dazuko-Wiki)](http://dazuko.dnsalias.org/wiki/index.php/Main_Page) nutzen
anstatt sich einen eigenen Kernel zu backen?
Siehe:
openSUSE Lizards » On-Access virus scanning on openSUSE 11.3

Hat ein Virenscanner (für das Scannen von Microsoft-Systemen von Linux aus),
der sich nur im Userspace von Linux herumtreibt,
nicht sowieso den Vorteil,
nicht ein potentielles Einfallstor für Schadprogramme
in das ansonsten recht sicheres Linux basiertes Operating System
zu sein?
(Sprich: Virenscanner mit root Rechten unter Linux könnten Linux selbst unsicherer machen?)

LG
pistazienfresser

Von meinem bescheidenen Kenntnisstand her halte ich das Argument nicht für ganz unwesentlich, dass ein Virenscanner, der mit root-Rechten läuft ein potenzielles Sicherheitsrisiko darstellt.

Ich nehme mal an, dass die Windows-“Emulation” *wine *in dieser Beziehung deutlich weniger kritisch ist (da normalerweise nicht mit root-Rechten versehen)?

Wie verhält es sich nun allerdings mit der Erkennungsrate von ClamAV?

Wenn man auf das Blaue klickt, kommt:

A Stackable Filesystem to Allow Online File Access Control

A mechanism is needed, which allows userspace applications to perform online file access control. DazukoFS aims to be that mechanism…] [Hervorhebung/Formatierung anders als im Original]
Ich denke, dass heißt/impliziert, das DazukoFS es einem Virenscanner erlaubt, von Userspace von Linux aus zu arbeiten. Hoffe auch, dass das recht sicher/noch sicherer für das Linux System ist. Aber von meiner Ausbildung her bin ich eher geeignet, über das Einleiten von staatlichen Sanktionen für die Verursacher von Malware Auskunft zu geben (und das würde ich nicht unbedingt in einem Forum erörtern).

LG
pistazienfresser

Bin kein Informatik-Sicherheitsexperte.
(A)

Aber mir stellen sich zu dieser Frage mit implizierter Feststellung folgende Fragen:

  1. Würden andere Antivirenprogramme wie Anitivir nicht auch mit dem DazukoFS zusammen arbeiten können?

  2. Wie ClamAV im genannten (Negativ-)Beispiel eingesetzt?

(2.1) Vorm zu überprüfenden Windows System aus selbst
(2.1.1) Als im Hintergrund laufender Virenscanner vom WinXP-System aus zur Verhinderung von (dauerhaftem) Virenbefall?
(2.1.2) Als Virenscanner zur periodischen Überprüfung des WinXP-Systems vom WinXP-System aus?
(2.1.3) Zur Bestätigung einen Verdachtes vom WinXP-System aus?
(2.1.4) Zum Versuch einer Reparatur eines befallenen Systems (ist das möglich bzw. anzuraten???)

(2.2) Von außen (von einem Live-System, von einem Linux- oder Windows-Server?)
(2.1.1) Als im Hintergrund laufender Virenscanner vom Server aus zur Verhinderung von (dauerhaftem) Virenbefall?
(2.1.2) Als Virenscanner zur periodischen Überprüfung des WinXP-Systems von Außen?
(2.1.3) Zur Bestätigung einen bereits bestehenden Verdachtes?
(2.1.4) Zum Versuch einer Reparatur eines befallenen Systems (ist das möglich bzw. anzuraten???)

(B)
Ich denke für die Erkennungsraten gibt es bei den üblichen Verdächtigen (Computerzeitschriften bzw. vielleicht auch Ihr online-Portale, Portale speziell zur Computer-Sicherheit, usw.) diverse Tests. Aber man sollte vielleicht auch schauen, was genau (welches Einsatzgebiet) da verglichen wird (entsprechend (A) ).

LG pistazienfresser

Ich verstehe jetzt nicht ganz, was Du meinst? Bei mir sind Windows und Linux jedenfalls parallel installiert. Von daher würde so ein On-Demand Scan aus dem Linux-System heraus durchaus Sinn machen.

Aber nochmal zu ClamAV: meines Wissens arbeitet dieses Programm auch unter Windows bloß on Demand? Sind die Virensignaturen dort tatsächlich bloß eingeschränkt gegenüber kommerziellen Produkten wie Antivir oder Kaspersky? Nach meinem Verständnis gibt es doch eine Art “öffentliche” Virendatenbank, auf die ClamAV zurückgreift?

Na ja, ein Kernelmodul macht noch keinen Kernel. Wenn es aber einfachere Lösungen gibt… Warum nicht.

Ich meinte, dass das folgende potentielle Negativ-Beispiel ohne weitere Angaben nicht einzuordnen, oder gar zu widerlegen oder zu bekräftigen ist:

Das wollte ich auch nicht bezweifeln - eher andeuten, dass solch ein Einsatz (meiner unmaßgeblichen Meinung nach) einen Sinn für das Installieren eines Virenscanners von einem Linux-System aus ergeben könnte.

Viel Erfolg beim Experimentieren
pistazienfresser

Und mich würde es auch sehr wundern, wenn DazukoFS nicht auch mit Antivir zusammenarbeiten könnte. Schließlich geht offensichtlich das ganze Dazuko Projekt ursprünglich auf eine Initative von Avira, dem Hersteller von Antivir zurück, siehe:

  1. About - Dazuko :

It was originally developed by Avira GmbH (formerly known as H+BEDV Datentechnik GmbH) to allow on-access virus scanning.

  1. Avira GmbH Internetpräsens:

Und jedenfalls für die Linux/UNIX Version von Avira für die Großen gibt es auch ein Handbuch:
Avira AntiVir Server | Unix: Handbuch für Anwender : Avira AntiVir Professional | Unix.
Dieses PDF-Handbuch enthält unter anderem den Abschnitt 7 mit dem schönen Namen “Das Kernel-Modul Dazuko” auf S. 48-50 von 56. Der Abschnitt beginnt auf S. 48 folgendermaßen:

7 Das Kernel-Modul Dazuko

Das Kernel-Modul Dazuko ist auf allen Plattformen erforderlich, wenn die Funktionalität
des AntiVir Guard benutzt werden soll. Es ist möglich, AntiVir zunächst ohne Kernel-
Modul Dazuko zu installieren. In diesem Fall läuft AntiVir ohne den AntiVir Guard…

Keine Ahnung was (und insbesondere warum?) mit dem Verhältnis von DazukoFS zur Kostenlos-Version von Antivir anders sein sollte, als mit den Versionen, um die es in dem Handbuch geht.

Viel Spaß und Erfolg beim Herumprobieren
pistazienfresser

Nur so als Hinweis: DazukoFS ist genauso ein Kernelmodul: Installation HOWTO - Dazuko

Was jetzt genau der Unterschied ist, ist mir ehrlich gesagt nicht so klar? Beides kommt offensichtlich auch mit Unterstützung von Avira daher?

Und wie gesagt: falls noch jemand was zu ClamAV beizutragen hätte?