为Linux服务器部署高效防毒软件(2)

    上篇文章，我们介绍了linux服务器下典型病毒类型以及防范策略，本文着重介绍linux环境下的f－prot防病毒软件的具体应用技巧。

一、 修改相关参数

    f－prot主要用于文件服务器（NFS和Samba）和邮件服务器（sendmail、postfix、Qmail）。对于文件服务器（NFS和Samba）可以直接使用，而邮件服务器（sendmail、postfix、Qmail）需要作相应修改，这里笔者以 Postfix邮件服务器为例。Postfix 邮件服务器使用MailScanner 调用f-prot 与SpamAssassin， MailScanner配置比较直观简单。

    1. 安装、配置MailScanner

    # tar xzf MailScanner-4.48.4-2.rpm.tar.gz
    # cd MailScanner-4.48.4-2
    # ./install.sh

    2. 修改 /etc/MailScanner/MailScanner.conf

    Run As User = postfix
    Run As Group = postfix
    Incoming Queue Dir = /var/spool/postfix/hold
    Outgoing Queue Dir = /var/spool/postfix/incoming
    MTA = postfix
    Virus Scanners = f-prot
    Always Include SpamAssassin Report = yes
    Use SpamAssassin = yes
    Required SpamAssassin Score = 4
    SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin
    SpamAssassin Install Prefix = /usr/bin
    SpamAssassin Local Rules Dir = /etc/MailScanner

    3. 让Postfix 调用MailScanner，在/etc/postfix/main.cf 加入以下一行

    header_checks = regexp:/etc/postfix/header_checks

    4. 编辑/etc/postfix/header_checks 为以下内容

    /^Received:/ HOLD

    5. 修正权限

    # chown postfix.postfix /var/spool/MailScanner/incoming
    # chown postfix.postfix /var/spool/MailScanner/quarantine

二、 f－prot命令行参数

    f－prot是基于命令行下的工具，配合一些参数可以更有效查杀Linux、Windows病毒。
    格式：f－prot [drive, file or directory] [options]
    [options]主要参数见图－1：
 

图1

    应用说明：目前的防病毒产品普遍应用了一种被称为启发式扫描的技术，这是一种基于人工智能领域启发式（ heuristic ）搜索技术和行为分析手段的病毒检测技术。启发式扫描能够发现一些应用了已有机制或行为方式的病毒，根据“图灵试验”所获得的理论基础来分析，完全防御未知病毒是不可能的，只有当计算机拥有了超越人类的智能才可能检测出所有的未知病毒。智能主动防御可以有效防御针对未知的威胁及网络攻击；启发式扫描技术主要针对未知的病毒。这两种技术是可以并存的。

    [drive, file or directory] 方便代表驱动器名称、文件名称或者目录名称。

三、 测试f－prot

    您可以从网址（http://www.eicar.org/anti_virus_test_file.htm ）下载一个测试感染文件 http://www.eicar.org/download/eicar_com.zip 将其放在一个临时目录中。使用f－prot扫描该目录。然后查看结果，如果出现图2 界面表示安装fprot安装工作成功。

图2

    从图2 我们可以看到f－port程序版本、扫描引擎版本。病毒库版本：“VIRUS SIGNATURE FILES”包括：SIGN.DEF、SIGN2.DEF、MARCO.DEF 以及生成日期。

四、 应用实例

    例如需要可以检查系统加载的Windows分区，如果要检查C盘：使用命令(扫描结果见图－2)：

    ＃f－prot /mnt/winc －report＝cjh

    上面这个命令还会生成一个名称cjh是报表文件。如果你能确认你的电子邮件服务器支持8—bit的字节，可以直接用命令发送报表到管理员邮箱 ：

    cat ＜附件文件名＞ | mail ＜邮件地址＞
    cat（“concatenate”的缩写）命令是将几个文件处理成一个文件并将这种处理的结果保存到一个单独的输出文件，这里我们用它来合并邮件的文本。
    cat cjh | mail Roger

    上面的命令表示把内容为cjh文件内容的邮件给用户Roger。

五、 升级软件

    f－prot是依赖当前信息来防止计算机受到新的安全威胁。通过在线升级可以给您的f－prot提供这些新信息，将程序更新和防护更新下载到您的计算机。f－prot安装目录包含一个tools子目录，进入这个目录执行一个perl语言脚步会自动连接到updates.f-prot.com:80端口进行系统的扫描引擎版本和病毒库版本升级，操作如下：

    ＃./check-updates.pl

    升级过程如图3 。
 

图3 f－prot升级过程

    目前，f－prot杀毒软件平均五到七天升级一次。

共4页: 上一页 [1] 2 [3] [4] 下一页