Startseite>Virenscans zentral steuern und verwalten
Aus Raspberry Pi Geek 05/2015

Virenscans zentral steuern und verwalten

© Pavel Ignatov, 123RF

Virenwächter

Ingo Walter

Nutzen Sie den Raspberry Pi als Virusmaster-Server für das lokale Netz, der alle Clients einer permanenten Virenkontrolle unterzieht.

Cyberkriminalität gilt als eines der ganz großen Themen der nächsten Jahre. Angriffe in allen Varianten verunsichern den Benutzer bei seiner täglichen Arbeit immer mehr. Ein bedeutendes Thema im Bereich der Cyberkriminalität sind die immer häufiger auftretenden Phishing-Mails. Der mehrmalige Erhalt solcher E-Mails veranlasste den Autor, in seinem Netzwerk einen Virenscanner einzusetzen, um auch unerfahrene Benutzer unmittelbar nach dem Erkennen einer solchen Nachricht zu informieren.

Der RasPi, der auch schon für das Backup aller Clients zuständig zeichnet, soll nun zusätzlich die Funktion eines Virenmasters übernehmen. Die Aufgabe der Virenscans auf dem Server beziehungsweise den Clients im Netz übernehmen Skripte. Als Grundlage für den Server dient die freie und quelloffene Antiviren-Software ClamAV [1]. Der verwendete RasPi arbeitet mit Raspbian GNU/Linux 7, getestet wurde die Skript-Umgebung mit mehreren Ubuntu-Clients.

Vorbereitungen

Damit das System funktioniert, gilt es, einige Details vorzubereiten. Zum Ausführen der Skripte legen Sie sowohl auf dem RasPi als auch auf allen angeschlossenen Clients den Benutzer clamavsc an, der zur Gruppe clamavsc gehört (Listing 1, Zeile 1, 2 und 3). Außerdem gilt es, auf dem RasPi noch ClamAV samt der benötigten Abhängigkeiten einzurichten (letzte Zeile).

Listing 1

 

$ sudo groupadd -g 4000 clamavsc
$ sudo useradd -u 4000 -g 4000 -c "clamavsc scan user" -d /home/clamavsc -s /bin/bash -m clamavsc
$ sudo passwd clamavsc
$ sudo apt-get install clamav clamav-base clamav-freshclam php5 php-mail php-mail-mime php-mail-mimedecode ssh zlib1g-dev

Das auf der Heft-DVD enthaltene Tarball clamavsc_pi_install.tar.gz enthält die Virenscan-Skripte für die Installation auf dem Raspberry Pi. Sie kopieren ihn ins Verzeichnis /opt und entpacken ihn dort. Dann passen Sie die Rechte für das neu entstandene Verzeichnis clamavsc/ an (Listing 2). Richten Sie die Skripte nicht unter /opt/clamavsc/ ein, müssen Sie die VariableSC in den Skripten start_clamscan_scripts.sh und clamscan.sh an das von Ihnen gewählte Installationsverzeichnis anpassen.

Listing 2

 

$ cd /opt
$ sudo tar -xvzf clamavsc_pi_install.tar.gz
$ sudo chown -R clamavsc:clamavsc /opt/clamavsc

Listing 3 zeigt die Installation der Software auf den Clients. Die zu installierenden PHP-Pakete benötigt das Konstrukt für den Versand von Status-Mails an den Admin. Das Paket clamav-daemon beziehungsweise der nach dessen Installation gestartete Daemon clamd lädt die Virendatenbank in den Hauptspeicher. Testdateien für Virenscans enthält das Paket clamav-testfiles. Die Zenity-Pakete finden sich in den Repositories aller gängigen Distributionen, oft sind sie sogar schon vorinstalliert.

Listing 3

 

$ sudo apt-get install clamav clamav-base clamav-daemon clamav-freshclam clamav-testfiles ssh zenity zenity-common zlib1g-dev

Zum Einrichten der Skripte auf den Clients verfahren Sie wie oben beschrieben, verwenden dafür aber das Paket clamavsc_client_install.tar.gz.

Basisinformationen

Freshclam dient dazu, regelmäßig nach Updates der Virendatenbank Ausschau zu halten und diese herunterzuladen. Während der Installation wurden Start- und Stop-Skripte für den Freshclam-Daemon angelegt. Nach der Installation gilt es nun, die Konfigurationsdatei /etc/clamav/freshclam.conf anzupassen. In der Zeile DatabaseMirror ändern Sie den Eintrag db.TLD.clamav.net, indem Sie TLD durch die Länderkennung de ersetzen. Danach starten Sie den Dienst neu:

$ sudo /etc/init.d/clamav-freshclam restart

TIPP

Im Test kam es immer wieder vor, dass der Freshclam-Daemon die Virendatenbank nach der Installation nicht aktualisierte. In der Protokolldatei /var/log/clamav stand dann lediglich zu lesen, dass der Freshclam den Download-Mirror wegen vorausgegangener Fehler ignoriere und eine benötigte Datei nicht von db.de.clamav.net herunterladen könne. Das Löschen der Datei /var/lib/clamav/mirrors.dat und ein erneuter Restart sorgte jedes Mal für Abhilfe, doch nach einigen Wochen trat das Problem stets erneut auf. Prüfen Sie also regelmäßig die Logfiles und laden Sie bei Problemen die Clamav-Datenbankdatei manuell herunter: (Listing 4).

Listing 4

 

$ sudo wget http://database.clamav.net/daily.cvd

Das Kommandozeilenprogramm Clamscan stellt den eigentlichen Virenscanner und kommt in den Virenscan-Skripten entsprechend zum Einsatz. Für einen ersten Funktionstest laden Sie die Testdatei eicar.com [2] herunter, die jeder Virenscanner als Virus identifiziert. Dann geben Sie folgenden Befehl ein:

$ sudo clamscan -r -i -l clamscanreport.txt eicar.com

Anschließend finden Sie die Meldungen von Clamscan sowohl in der Reportdatei clamscanreport.txt als auch im Terminal. Generell kennzeichnet der Report eine infizierte Datei mit dem String FOUND. Zeigt der Test dieses Ergebnis, funktioniert der Scanner wie erwartet.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 5 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
€0,99 – Kaufen
RASPBERRY PI GEEK KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland