Kammerjäger

Sicherheit für Windows

Hat der Einsatz von Virenscannern zum Schutz des Linux-Systemen bislang eher akademischen Charakter, ändert sich das Bild drastisch, wenn es um die Sicherheit kommunizierender Windows-Clients geht. An diesem Punkt kommt das Potential von ClamAV dank diverser Module, die Serverdienste am Weiterleiten oder Verbreiten von Viren hindern, erst richtig zum Tragen.

Viele dieser Addons verwenden zum Scannen das Clientprogramm Clamscan. Ist Performance gefragt, sollten Sie davon absehen, diese einzusetzen, da die Software bei jedem Scanvorgang den Client startet, was die Geschwindigkeit senkt und die Rechnerlast erhöht. Einer der wichtigsten Koppler zwischen den Diensten ist Samba-vscan [5], der einer ganzen Reihe von Virenscannern (u.a. F-Prot, ClamAV, Sophos, Trend Micro) ermöglicht, Dateizugriffe auf Shares zu prüfen, die der Fileserver Samba hostet.

Samba-vscan

Unter gängigen Distributionen genügt zum Einrichten von Samba-vscan die Installation des gleichnamigen RPM-Paketes, das in der Regel Bestandteil der Distribution ist. Die Installationsroutine erstellt im Verzeichnis /usr/lib/samba/vfs/ verschiedene Module, die Samba über ein VFS die Zusammenarbeit mit den Virenscannern erlauben.

Um Samba und ClamAV mit dieser Komponente zur Zusammenarbeit zu bewegen, kopieren sie als ersten Arbeitsschritt die Beispiel-Konfigurationsdatei vscan-clamav.conf aus dem Template-Verzeichnis /usr/share/doc/packages/samba-vscan/ nach /etc/samba.

Die Anweisung infected file action = legt fest, wie das Modul mit als Viren erkannten Dateien verfährt. Zur Auswahl stehen die Parameter delete, quarantine und nothing. Da auch bei Virenscannern so genannte False Positives vorkommen, ist das direkte Löschen (delete) potentieller Viren unter Umständen riskant.

Weniger risikoreich gestaltet sich der Weg, diese in ein Quarantäneverzeichnis zu verschieben (quarantine), das Sie mit quarantine directory = Verzeichnis festlegen. Die Zeile quarantine prefix = Präfix gibt an, mit welchem Präfix – zum Beispiel virus- – Vscan die potentiellen Virendateien versieht. Möchten Sie die Benutzer von Windows-Clients davon in Kenntnis setzten, dass ihre Datei einen Virus enthält, aktivieren Sie die Option mit send warning message = yes (Abbildung 3).

Abbildung 3: Sofern die Option send warning message mit yes aktiviert wurde, informiert Samba-vscan den Windows-Benutzer beim Hochladen oder Öffnen infizierter Dateien.

Samba-vscan arbeitet mit Clamd nur dann zusammen, wenn dieser im lokalen Socket-Modus läuft. Mit dem Eintrag clamd socket name = Verzeichnis geben Sie an, wo das Modul den Socket findet, beispielsweise /var/run/clamscan/clamd. Dieser Pfad muss identisch sein mit dem Eintrag hinter LocalSocket aus der Clamd-Konfiguration /etc/clamd.conf.

Abschließend gilt es, in Sambas Konfigurationsdatei /etc/samba/smb.conf festzulegen, welche Shares der Scanner prüft. Fügen Sie dazu im Abschnitt jedes gewünschten Shares den Eintrag

vfs objects = vscan-clamav:configfile=/etc/samba/vscan-clamav.conf

hinzu. Möchten Sie alle Shares absichern, schreiben Sie diese Anweisung unter den Abschnitt [global].

Nach einem Neustart von Samba und Clamd schützt Samba-vscan die Shares vor Virenbefall. Um das zu testen, öffnen Sie die Netzwerkfreigabe und versuchen, das Testvirus Eicar darin zu speichern. Je nach eingestellter Aktion sollte der Virus verschwinden und (auf dem Windows-Client) eine Warnmeldung (Abbildung 3) erscheinen.