Wer von Windows auf Linux umsteigt, bei dem steht meist ein Virenscanner weit oben auf der Programm-Wunschliste. Sophos Anti-Virus für Linux “Free” befriedigt zwar dieses Bedürfnis, doch die Installation des Antiviren-Scanners macht nur im Einzelfall Sinn.
Zu den Fragen, die insbesondere Linux-Einsteiger intensiv beschäftigen, zählen nicht zuletzt solche rund um die Sicherheit des noch ungewohnten Systems. Seitdem unter Windows der Hype um Personal Firewalls wie Zonealarm, Kerio (inzwischen Sunbelt) und Co. stark abgeflacht ist, konzentriert sich der diesbezügliche Informationsbedarf vor allem auf das Thema Virenscanner: Kann und darf man unter Linux wirklich auf einen Virenscanner verzichten? Gibt es ohne Virenscanner Probleme beim Online-Banking? Die Antwort hat sich in den letzten Jahren nicht verändert: Linux selbst braucht keinen Virenscanner.
Virenscanner für Linux richten sich in der Regel an Betreiber von Server-Installationen und halten auf Mail- und File-Servern nach infizierten Dateien und Anhängen Ausschau. Als Dienst verrichten sie ihre Arbeit daher in der Regel im Hintergrund, ohne dass permanent ein Fensterchen mit bunt blinkenden Lichtern den Bedrohungsstatus signalisiert. Zu dieser Riege zählt auch Sophos Anti-Virus für Linux Free; die Anwendung besteht aus einem Dienst und einem Satz von Werkzeugen für das Terminal. Optisches Feedback gibt es erst dann, wenn der Sophos-Scanner etwas auf der Festplatte findet oder Sie im Begriff sind, eine tatsächlich oder vermeintlich infizierte Datei dort abzulegen.
Sophos Anti-Virus für Linux
Sophos Anti-Virus für Linux bekommen Sie nach Angabe Ihrer E-Mail-Adresse kostenlos von der Sophos-Homepage [1], alternativ finden Sie das Archiv auch auf der Heft-DVD. Der Umfang des Installationspakets sav-linux-free-9.9.tgz beträgt stolze 423 MByte – auch unter Linux fallen Antiviren-Programme nicht eben schlank aus. Zum Einrichten der Anwendung entpacken Sie das Archiv und rufen die textbasierte Installationsroutine mit Root-Rechten auf; der Vorgang setzt das Vorhandensein der passenden Kernel-Header und der wichtigsten Build-Werkzeuge voraus (Listing 1). DEB- oder RPM-Pakete für eine saubere Installation über die entsprechenden Paketverwaltungen gibt es bisher nicht.
Listing 1
$ sudo apt-get install linux-headers-amd64 build-essential $ tar xzf sav-linux-free-9.9.tgz $ sudo sophos-av/install.sh
Der Installationsassistent informiert Sie im ersten Schritt über das Programm. Mit [Eingabe] geht es weiter zur proprietären Lizenz, deren Anzeige Sie mit [Q] beenden und mit [Y] anerkennen. Anschließend möchte der Installer unter anderem wissen, ob das Programm im Hintergrund nach Schadprogrammen suchen soll, wohin die Dateien kommen und ob Sie die “Free”-Version nutzen möchten, also auf Support verzichten (Abbildung 1). Im Normalfall genügt es, die vorgegebene Antwort jeder Frage mit [Eingabe] unverändert zu übernehmen, nur bei der Frage zum Support müssen Sie explizit [F] für die kostenlose Ausgabe drücken.
Abbildung 1: Sophos Anti-Virus für Linux installieren Sie im Terminal über ein Installationsskript.
Am Ende generiert die Installationsroutine bei Bedarf noch ein zum Kernel des Systems passendes Kernelmodul, das als Schnittstelle zwischen Virenscanner und System dient. Im Normalfall läuft die Installation ohne Probleme durch; in Tests unter Ubuntu 14.04, Ubuntu 14.10 und Debian 7 traten keine Probleme auf. Unter Debian 8 funktioniert Sophos zwar, doch gerät sich der Dienst mit Systemd in die Haare und lässt sich über das neue Init-System nicht steuern.
Virenscanner für Linux
Sofort nach der Installation von Sophos Anti-Virus für Linux nimmt der Virenscanner im Hintergrund seinen Dienst auf. Den Status prüfen Sie entweder mit dem im Sophos-Archiv enthaltenen Kommando savdstatus oder mit den üblichen Init-Befehlen. Über Letztere steuern Sie den Scanner-Daemon auch und starten oder stoppen ihn je nach Bedarf – Listing 2 zeigt die entsprechenden Kommandos für ein Ubuntu-System.
Listing 2
### Status abfragen $ /opt/sophos-av/bin/savdstatus Sophos Anti-Virus is active $ service sav-protect status sav-protect start/running, process 5370 ### On-access-Scanning stoppen $ sudo service sav-protect stop ### On-access-Scanning starten $ sudo service sav-protect start
Dass Sophos für Linux auch wirklich funktioniert, kontrollieren Sie am einfachsten anhand der Eicar-Test-Datei [2]. Kopieren Sie den auf der Eicar.org-Webseite angegebenen String – eigentlich handelt es sich um ein kleines MS-DOS-Executable, das sich aber komplett mit druckbaren Zeichen darstellen lässt – und schreiben Sie ihn mit einem beliebigen Editor in eine Datei auf die Festplatte. Daraufhin sollte Sophos das vermeintliche Schadprogramm erkennen, ein Öffnen der Datei unterbinden und Sie auf das “infizierte” File hinweisen (Abbildung 2). In einem virtuellen Terminal blendet Sophos beim Öffnen der Datei einen textbasierten Alarm ein. Auch Zugriffe über Netzwerkprotolle wie SSH blockiert der Virenschutz; als Anwender erkennen Sie allerdings nicht, warum der Aufruf nicht funktioniert (Abbildung 3).
Abbildung 2: Sobald Sie eine mit einem Schädling befallene Datei öffnen, unterbindet Sophos Anti-Virus für Linux den Zugriff.
Abbildung 3: Sophos blockiert den Zugriff auf infizierte Dateien auch über Netzwerkprotokolle. Aus den Fehlermeldungen erfährt der Nutzer den Grund dafür allerdings nicht.
Eine grafische Oberfläche bietet Sophos Anti-Virus für Linux ansonsten nicht. Haben Sie den On-access-Scanner aktiviert, dann arbeitet der Dienst unauffällig im Hintergrund. Möchten Sie gezielt Dateien oder Ordner scannen, dann öffnen Sie dazu ein Terminal und rufen den Befehl savscan auf (Listing 3); auch zum manuellen Update der Signaturdatenbank müssen Sie zum Terminal greifen (Listing 3, letzte Zeile). Bei aktiviertem Auto-Update sorgt Sophos allerdings selbstständig für fortwährend aktuelle Virensignaturen.
Listing 3
$ savscan /home SAVScan Virenerkennungsdienstprogramm Version 5.12.0 [Linux/AMD64] Version Virendaten 5.13, März 2015 Enthält die Erkennung von 8899461 Viren, Trojanern und Würmern Copyright (c) 1989-2015 Sophos Limited. Alle Rechte vorbehalten. Systemzeit 22:30:55, Systemdatum 11. April 2015 Normale Überprüfung 2243 Dateien überprüft in 40 Sekunden. Es wurden keine Viren gefunden. Ende von Scan. $ /opt/sophos-av/bin/savupdate
Als Parameter für den händisch gestarteten Virenscan geben Sie dem Kommando entweder eine Datei oder ein Verzeichnis mit, das Sophos dann rekursiv nach mit Schadsoftware infizierten Programmen und Dateien durchsucht. Hängen Sie die Option -di an den Aufruf, dann versucht der Scanner, die betroffenen Dateien zu desinfizieren; mit -remove entsorgt er sie stattdessen umgehend. Eine ausführliche Hilfe zum Kommando bekommen Sie über die Manpage des Programms (man savscan), allerdings nur in englischer Sprache.
Kommen Sie nicht ohne eine grafische Oberfläche aus, dann bietet Sophos für Linux optional ein Webfrontend, das Sie mit dem textbasierten Konfigurationswerkzeug savsetup einrichten. Zum Aktivieren des Webservers rufen Sie das Werkzeug auf (Listing 4) und wählen zur Konfiguration der Sophos-Anti-Virus-GUI den Punkt 2 aus dem Menü. In der GUI bestimmen Sie einen Port und vergeben Zugangsdaten; auch hier übernehmen Sie die vorgegebenen Werte am einfachsten wieder mit [Eingabe].
Listing 4
$ sudo /opt/sophos-av/bin/savsetup [1] Auto-updating configuration [2] Sophos Anti-Virus GUI configuration [q] Quit What do you want to do? [2]
Nach Abschluss der Konfiguration erreichen Sie die Web-Oberfläche unter http://localhost:8081 oder allgemein auch von anderen Rechnern http://Host-IP:Port. Das Frontend zeigt unter Home eine aktuelle Übersicht an (Abbildung 4). Via Control starten und stoppen Sie bei Bedarf den On-access-Scanner. Unter Scanning bestimmen Sie, ob Sophos auch in Archiven sucht und ob der Virenscanner betroffene Dateien desinfiziert oder gleich komplett löscht. In den weiteren Reitern klammern Sie Dateitypen oder Pfade von der Überprüfung aus, definieren Alarme oder sehen sich die Protokolle des Virenscanners an.
Abbildung 4: Sophos Anti-Virus für Linux verzichtet auf eine grafische Oberfläche. Als Alternative bringt das Programm ein Webfrontend mit.
Fazit
Sophos macht mit seinem Virenscanner für Linux vieles richtig: Er arbeitet unauffällig im Hintergrund und warnt den Anwender nur bei einem tatsächlichen Virenbefall; das bei Windows-Virenscannern oft gezeigte Sicherheitsspektakel bleibt bei Sophos für Linux aus. Das Programm belegt allerdings mehr als 600 MByte auf der Festplatte und nimmt einen kräftigen Schluck aus dem Arbeitspeicher: Die zwei Prozesse des Sophos-Daemons genehmigen sich selbst im Leerlauf rund 350 MByte RAM.
Um den Einfluss des Virenscanners auf die Schreib- und Leseleistung des Systems zu testen, kopierten wir den Quellcode des Linux-Kernels 4.0 in einem Gigabit-Ethernet-LAN via SCP auf einen Test-Rechner mit Debian 7.5 und Sophos Anti-Virus für Linux. Ohne Virenschutz war der Transfer der in etwa 52?000 Dateien aufgeteilten 564 MByte nach knapp 5 Minuten abgeschlossen. Bei aktiviertem On-Access-Scanner verdoppelt sich die Dauer des Kopiervorgangs beinahe (siehe Tabelle “Einfluss des On-access-Scanners”). Dabei erwiesen sich die zusätzlichen Festplattenzugriffe als Flaschenhals; der CPU verblieben während des Datentransfers ausreichend Ressourcen (Abbildung 5).
Abbildung 5: Bei viel Aktivität auf der Festplatte beeinträchtigen die zusätzlichen Dateizugriffe des Virenscanners die Schreib- und Leseleistung.
Einfluss des On-access-Scanners
| Aktion | Dauer (min) | Transferrate (Mbit/s) | Vergleich (%) |
|---|---|---|---|
| Ohne On-access-Scanner | |||
| SCP Empfangen | 4:57 | 15,18 | 100 |
| SCP Senden | 6:23 | 11,77 | 100 |
| Mit On-access-Scanner | |||
| SCP Empfangen | 8:56 | 8,41 | 55,4 |
| SCP Senden | 10:14 | 7,34 | 62,4 |
Welche Viren?!?
Nun bleibt eigentlich nur noch die Frage, wer denn Sophos Anti-Virus für Linux “Free” installieren sollte – vielen Linux-Einsteigern kribbelt es mit Sicherheit schon den Fingern. Sophos macht auf der Homepage des Produkts allerdings keine großen Versprechungen: Das Programm sucht lediglich nach Schadprogrammen, die es auf Windows-Rechner, Macs und Android-Smartphones und Tablets abgesehen haben. Über Schadprogramme für Linux verliert der Hersteller kein Wort.
Auch Sophos rechnet offensichtlich nicht damit, dass in absehbarer Zeit eine Viren-Pandemie unter Linux ausbricht. Der Scanner richtet sich also weiterhin eher an Anwender, die an einen Fileserver angeschlossene Windows-Rechner absichern möchten. Alternativ lässt sich mit dem Sophos-AV-Scanner auch verhindern, dass Sie mit Schädlingen infizierte Daten weiterreichen. In diesem Fall verzichten Sie allerdings besser auf den leistungshungrigen On-access-Scanner und untersuchen verdächtige Daten nur bei Bedarf.
Upgrade und Dokumentation
Sophos Anti-Virus für Linux Free dürfen Sie privat und auch kommerziell kostenlos nutzen, gegen eine Gebühr erhalten Sie ein Upgrade auf eine “Premium”-Version mit Support und zentraler Steuerung. Weitere Informationen zu Sophos Anti-Virus für Linux finden Sie auf der Homepage des Anbieters oder im eigens für die Linux-Version eingerichteten Forum [3]. In Letzterem gibt es allerdings bisher noch wenig zu lesen, genauso wie in den FAQ zu Sophos Anti-Virus für Linux [4]. Deutlich mehr Hilfe bieten die als PDFs angebotenen Dokumentationen zur Installation [5] und Konfiguration [6] des Programms.
Infos
[1] Sophos Anti-Virus für Linux: https://www.sophos.com/de-DE/products/free-tools/sophos-antivirus-for-linux.aspx
[2] “EICAR Standard Anti-Virus Test File”: http://www.eicar.org/86-0-Intended-use.html
[3] Sophos-Forum http://openforum.sophos.com/t5/Sophos-Anti-Virus-for-Linux/ct-p/LinuxBasic
[4] “Free Sophos Anti-Virus for Linux Basic – FAQs”: https://www.sophos.com/en-us/support/knowledgebase/121880.aspx
[5] “Sophos Anti-Virus for Linux startup guide”: https://www.sophos.com/en-us/medialibrary/PDFs/documentation/savl_9_sgeng.pdf
[6] “Sophos Anti-Virus for Linux configuration guide”: http://www.sophos.com/en-us/medialibrary/PDFs/documentation/savl_9_cgeng.pdf
Dankeschön ! Hat mir sehr geholfen ;)
Danke für diesen Artikel.
Ich habe mich mit der Materie Linux nicht all zu lange beschäftigt. Doch es ist schon sehr auffällig, dass die meisten Viren-Scanner für Windows (Quelle: http://test-virenscanner.de/) angeboten werden. Mac und Linux sind anscheinend zu komlimentär geschrieben….Windows scheint wie immer Tür und Hof zu öffnen….bis heute hat Microsoft das Problem nicht bewältigen können.
Sich über die Unzulänglichkeiten von Microsoftprodukten beschweren, aber die Kommentarfunktion nicht gebacken bekommen und ein eigenes Kommentar unter ein anderes ohne Zusammenhang flanschen. Ganz große Leistung ;-)
GUI gibt es nicht mehr!
xxxxxxxxxx:~/Schreibtisch$ sudo /opt/sophos-av/bin/savsetup
[sudo] Passwort für xxx:
Welcome to Sophos Anti-Virus interactive configuration
[1] Display update configuration
Configure primary update source:
[2] From Sophos
[3] From own server
Configure secondary update source:
[4] From Sophos
[5] From own server
[q] Quit
What do you want to do? [1]