Install Sophos Anti-Virus for Linux(Free Edition) on CentOS 7

Facebooktwittergoogle_plusmail

以前、Sophos Anti-Virus for Linux(Free Edition)をCentOS 6.5にインストールしましたが、今回はCentOS 7にインストールしてみました。

Install Sophos Anti-Virus for Linux Free Edition
https://www.rootlinks.net/2015/05/19/install-sophos-anti-virus-for-linux-free-edition/

検証環境
・CentOS Linux release 7.1.1503 (Core)
・Kernel 3.10.0-229.7.2.el7.x86_64

  1. パッケージダウンロード
  2. Sophos Antivirus for Linux
    https://www.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux.aspx
    [Get Started]ボタンからユーザ登録を行うとダウンロードができます。
    今回ダウンロードしたのはsav-linux-free-9.tgzです。

  3. 展開
  4. sav-linux-free-9.tgzを適当な場所に展開します。

  5. インストール
  6. ライセンスの同意(Y)と無償バージョン (f)のみであとはデフォルトのままです。

    警告: ソフォスがバイナリカーネルモジュールを提供していないカーネル環境で Sophos Anti-Virus を稼動しています。したがって、カーネルモジュールはローカルでコンパイ ルされました。対応するプラットフォームとカーネルについてはサポートデータベースの文章 14377 を参照してください。

    対応していないカーネルの場合はローカルでコンパイルするので開発環境が必要です。
    私の場合は常に開発環境はインストールしているので、そのままエラー無くインストールが終了しました。

    Sophos Anti-Virus for Linux & UNIX: システム要件
    https://www.sophos.com/ja-jp/support/knowledgebase/14377.aspx

  7. 起動確認
  8. sav-update.serviceが無効ですが起動する必要は無いのでしょうか? 役割が見つけられませんでした。
    またWeb UIが無くなったようです。残念。

  9. ウィルス検索
  10. 試しに/homeのウィルス検索を実行してみます。

    テストウィルスのeicar.comをダウンロードしたところオンアクセス検索で検出してくれました。

  11. ログの確認
  12. /opt/sophos-av/bin/savlogコマンドを使用します。

  13. アップデート環境
  14. 手動アップデート
  15. 手動アップデートを実行してみます。

  16. バージョンの確認
  17. 詳細設定
  18. デフォルトの詳細設定です。

  19. 設定変更
  20. 環境に合わせた設定変更はWeb UI機能が無くなったのでCLIで設定になります。
    ・アップデート間隔を60分から120分に変更

    ・警告メール送信設定
    smtpサーバ,送信先アドレス,送信元アドレスを変更します。

    再度eicar.comをダウンロードすると検出されてメールが送信されました。

オンアクセス検索までは利用できました。オンデマンド検索については気が向いたら(^^;;

ところでこの状態でカーネルアップデートはどうなるのでしょうか?
実はこれが一番心配なところでもあります。

Sophos Anti-Virus for Linux: オンアクセススキャンのための Talpa バイナリパックをローカルでコンパイルする
https://www.sophos.com/ja-jp/support/knowledgebase/13503.aspx

Sophos Anti-Virus for Linux 環境設定ガイド
https://www.sophos.com/ja-jp/medialibrary/PDFs/documentation/savl_9_cgeng.pdf?la=ja-JP

9.1 最新のカーネルへの対応について
(上記ドキュメントから引用しました)

Sophos Anti-Virusが対応しているLinuxベンダーがLinuxカーネルのアップデート版をリリースした場合、ソフォスではそれに対応するため、Sophosカーネルインターフェースモジュール(Talpa)のアップデート版をリリースしています。対応するアップデート版Talpaを適用する前にLinuxカーネルのアップデート版を適用すると、Sophos Anti-Virusでは、Talpaのコンパイルがローカルで実行されます。これに失敗すると、Sophos Anti-Virusは、割り込み方法として代わりにFanotifyを使用しようとします。Fanotifyも使用できない場合、オンアクセス検索は停止され、エラーが報告されます。

この問題を避けるには、Linuxカーネルのアップデート版を適用する前に、該当するTalpaのアップデート版がリリースされていることを確認するようにしてください。対応しているLinuxディストリビューションおよびアップデート版の一覧は、ソフォスのサポートデータベースの文章14377を参照してください(http://www.sophos.com/ja-jp/support/knowledgebase/14377.aspx)。該当するTalpaのアップデート版が表示されている場合は、ダウンロード可能なことを意味します。SophosAnti-Virusの自動アップデートを有効に設定した場合、アップデート版は自動的ダウンロードされます。または、次回の自動アップデートを待たずに、Sophos Anti-Virusを今すぐアップデートするには、次のように入力してください。
/opt/sophos-av/bin/savupdate
終了後、Linuxカーネルのアップデート版を適用できます

・Sophos Anti-Virusをアップデートする
・Kernelアップデートを実行
・対応しているTalpaが無い場合はローカルでコンパイルされる
・コンパイルできない場合はFanotifyを適用
・Fanotifyが適用できな場合はオンアクセス検索は停止

でいいのかな? とにかくKernel Panicになるのだけは勘弁して欲しいのですが、検証してみないとダメですね。

Leave a Reply