以前、Sophos Anti-Virus for Linux(Free Edition)をCentOS 6.5にインストールしましたが、今回はCentOS 7にインストールしてみました。
Install Sophos Anti-Virus for Linux Free Edition
https://www.rootlinks.net/2015/05/19/install-sophos-anti-virus-for-linux-free-edition/
検証環境
・CentOS Linux release 7.1.1503 (Core)
・Kernel 3.10.0-229.7.2.el7.x86_64
- パッケージダウンロード
- 展開
- インストール
- 起動確認
- ウィルス検索
- ログの確認
- アップデート環境
- 手動アップデート
- バージョンの確認
- 詳細設定
- 設定変更
Sophos Antivirus for Linux
https://www.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux.aspx
[Get Started]ボタンからユーザ登録を行うとダウンロードができます。
今回ダウンロードしたのはsav-linux-free-9.tgzです。
|
1 |
-rw-r--r--. 1 root root 367811493 8月 6 19:39 sav-linux-free-9.tgz |
sav-linux-free-9.tgzを適当な場所に展開します。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
[root@host01 ~]# tar xvfz sav-linux-free-9.tgz sophos-av/ sophos-av/sav.tar sophos-av/talpa.tar sophos-av/uncdownload.tar sophos-av/install.sh [root@host01 ~]# cd sophos-av/ [root@host01 sophos-av]# ls -l 合計 429756 -rwxr-xr-x. 1 root root 1415 6月 16 00:44 install.sh -rw-r--r--. 1 root root 196085760 6月 16 00:44 sav.tar -rw-r--r--. 1 root root 227962880 6月 16 00:44 talpa.tar -rw-r--r--. 1 root root 16015360 6月 16 00:44 uncdownload.tar |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 |
[root@host01 sophos-av]# ./install.sh Sophos Anti-Virus ================= Copyright (c) 1989-2015 Sophos Limited. All rights reserved. Sophos Anti-Virus インストーラへようこそ。Sophos Anti-Virus には、オンアクセススキャナ、オンデマンドコマンドラインスキャナ、Sophos Anti-Virus デーモン、および Sophos Anti-Virus GUI があります。 オンアクセススキャナ ファイルがアクセスされると検索し、未感染の場合のみ アクセスを許可 オンデマンドスキャナ コンピュータの全体または一部を直ちに検索 Sophos Anti-Virus デーモン Sophos Anti-Virus にコントロール、ログ、メール警告機能を提供するバックグラウンドプロセス Sophos Anti-Virus GUI Web ブラウザ経由でアクセスするユーザーインターフェ ース 「Enter」キーを押して、使用許諾契約書を表示してください。そして、<spc> を押して スクロールダウンしてください。 ^H ********************************* (snip) ライセンス内容に同意しますか? はい(Y)/いいえ(N) [N] > Y Sophos Anti-Virus のインストール先を指定してください。 [/opt/sophos-av] > オンアクセス検索を有効にしますか? はい(Y)/いいえ(N) [Y] > ソフォスは、Sophos Anti-Virus での自動アップデートの設定をお勧めします。 ソフォスから直接アップデートしたり(要アカウント情報)、自社サーバー(ディレクトリや Web サイト(アカウント情報が必要な場合もあります))からアップデートするこ とができます。 オートアップデートの種類を選択してください: ソフォス(s)/自社サーバー(o)/なし(n) [s] > ソフォスから直接アップデートしています。 SAV for Linux の無償バージョン (f) と サポート対応付きバージョン (s) のどちらを インストールしますか? [s] > f Sophos Anti-Virus for Linux の無償バージョンに対して、サポート対応は提供されていません。 無償ツールのフォーラムは次のサイトを参照してください。http://openforum.sophos.com/ ソフォスからアップデートを行うためにプロキシが必要ですか? はい(Y)/いいえ(N) [N] > 無償のアップデート用アカウント情報を取得しています。 Sophos Anti-Virus をインストールしています.... 適切なカーネルサポートを選択しています... Sophos Anti-Virus が起動すると、カーネルサポートを見つけるためアップデートします。 これによって大幅な遅れが発生することがあります。 Sophos Anti-Virus は、インストール終了後、開始されました。 インストールが完了しました。 ご使用のコンピュータは Sophos Anti-Virus で保護されるようになりました。 警告: ソフォスがバイナリカーネルモジュールを提供していないカーネル環境で Sophos Anti-Virus を稼動しています。したがって、カーネルモジュールはローカルでコンパイ ルされました。対応するプラットフォームとカーネルについてはサポートデータベースの文章 14377 を参照してください。 |
ライセンスの同意(Y)と無償バージョン (f)のみであとはデフォルトのままです。
警告: ソフォスがバイナリカーネルモジュールを提供していないカーネル環境で Sophos Anti-Virus を稼動しています。したがって、カーネルモジュールはローカルでコンパイ ルされました。対応するプラットフォームとカーネルについてはサポートデータベースの文章 14377 を参照してください。
対応していないカーネルの場合はローカルでコンパイルするので開発環境が必要です。
私の場合は常に開発環境はインストールしているので、そのままエラー無くインストールが終了しました。
Sophos Anti-Virus for Linux & UNIX: システム要件
https://www.sophos.com/ja-jp/support/knowledgebase/14377.aspx
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
[root@host01 ~]# systemctl list-unit-files | grep sav sav-protect.service enabled sav-rms.service disabled sav-update.service disabled [root@host01 ]# systemctl status sav-protect sav-protect.service - "Sophos Anti-Virus daemon" Loaded: loaded (/usr/lib/systemd/system/sav-protect.service; enabled) Active: active (running) since 金 2015-08-07 13:45:22 JST; 16min ago Docs: man:sav-protect Main PID: 342 (savd) CGroup: /system.slice/sav-protect.service tq 342 savd etc/savd.cfg tq2629 savscand --incident=unix://tmp/incident --namedscan=unix://... mq2639 savscand --incident=unix://tmp/incident socketpair://45/46 ... 8月 07 13:45:22 ns.rootlinks.net systemd[1]: Started "Sophos Anti-Virus da.... 8月 07 13:45:22 ns.rootlinks.net savd[342]: savd.daemon: Sophos Anti-Virus.... 8月 07 13:45:35 ns.rootlinks.net savd[342]: talpa_select.compiled: NOTE: Y.... 8月 07 13:45:38 ns.rootlinks.net savd[342]: savd.daemon: On-access scannin.... 8月 07 13:45:38 ns.rootlinks.net savd[342]: talpa_select.compiled: NOTE: Y.... Hint: Some lines were ellipsized, use -l to show in full. [root@host01 ~]# /opt/sophos-av/bin/savdstatus Sophos Anti-Virus はアクティブで、オンアクセス検索を実行中です |
sav-update.serviceが無効ですが起動する必要は無いのでしょうか? 役割が見つけられませんでした。
またWeb UIが無くなったようです。残念。
試しに/homeのウィルス検索を実行してみます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
[root@host01 ~]# savscan /home SAVScan ウイルス検出ユーティリティ バージョン 5.12.0 [Linux/AMD64] ウイルスデータバージョン 5.15, 2015年5月 9239070種類のウイルス、トロイの木馬、ワームを検出します。 Copyright (c) 1989-2015 Sophos Limited. All rights reserved. システム日 2015年08月07日, システム時刻 14時02分51秒 クイックモード検索 ファイル 0 個を 3秒で検索しました。 ウイルスは発見されませんでした。 検索が終了しました。 [root@host01 ~]# wget http://files.trendmicro.com/products/eicar-file/eicar.com --2015-08-07 14:04:37-- http://files.trendmicro.com/products/eicar-file/eicar.com files.trendmicro.com (files.trendmicro.com) をDNSに問いあわせています... 116.91.142.89, 116.91.142.73 files.trendmicro.com (files.trendmicro.com)|116.91.142.89|:80 に接続しています... 接続しました。 HTTP による接続要求を送信しました、応答を待っています... 200 OK 長さ: 68 [text/plain] `eicar.com' に保存中 100%[======================================>] 68 --.-K/s 時間 0s 2015-08-07 14:04:37 (19.8 MB/s) - `eicar.com' へ保存完了 [68/68] [root@host01 ~]# ********************** Sophos Anti-Virus 警告 ********************** 脅威 "EICAR-AV-Test" が次のファイルで検出されました "/root/sophos-av/eicar.com". ファイルはまだ感染しています ********************************************************************** |
テストウィルスのeicar.comをダウンロードしたところオンアクセス検索で検出してくれました。
/opt/sophos-av/bin/savlogコマンドを使用します。
|
1 2 3 4 5 6 7 8 9 10 11 |
[root@host01 ~]# /opt/sophos-av/bin/savlog 日時 カテゴリ イベント 2015年08月07日 13時45分22秒: savd.daemon Sophos Anti-Virus デーモンが 開始されました。 2015年08月07日 13時45分35秒: talpa_select.compiled 警告: ソフォスがバイナリカー ネルモジュールを提供していないカーネル環境で Sophos Anti-Virus を稼動しています 。したがって、カーネルモジュールはローカルでコンパイルされました。対応するプラットフォームとカーネルについてはサポートデータベースの文章 14377 を参照してくださ い。 2015年08月07日 13時45分38秒: savd.daemon talpa を使用してオンアクセス 検索が有効になりました。 2015年08月07日 13時45分38秒: talpa_select.compiled 警告: ソフォスがバイナリカー ネルモジュールを提供していないカーネル環境で Sophos Anti-Virus を稼動しています 。したがって、カーネルモジュールはローカルでコンパイルされました。対応するプラットフォームとカーネルについてはサポートデータベースの文章 14377 を参照してくださ い。 2015年08月07日 14時02分48秒: savscan.log オンデマンド検索が開始しました。 2015年08月07日 14時02分51秒: savscan.log オンデマンド検索の詳細: 検索 マスターブートレコード数: 0、検索ブートレコード数: 0、検索ファイル数: 0、エラー 数: 0、検出脅威数: 0、検出した感染ファイル数: 0 2015年08月07日 14時02分52秒: savscan.log オンデマンド検索が終了しました。 2015年08月07日 14時04分37秒: log.threat 脅威が /root/sophos-av/eicar.com で検出されました: EICAR-AV-Test (閉じる)。(ファイルはまだ感染しています。) メールが /var/spool/mail/root にあります |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
[root@host01 ~]# /opt/sophos-av/bin/savsetup Sophos Anti-Virus 対話型 環境設定へようこそ [1] アップデートの環境設定を表示する プライマリアップデート元を環境設定する: [2] ソフォスから [3] 自社サーバーから セカンダリアップデート元を環境設定する: [4] ソフォスから [5] 自社サーバーから [q] 終了 実行する操作を選択してください。 [1] > 1 プライマリアップデート元アドレス = sophos: プライマリアップデートキャッシュへのパス = /opt/sophos-av/update/cache/Primary プライマリアップデート元用ユーザー名 = FAVXXXXXXXXXXXX プライマリ アップデート元用パスワード = ******** アップデート頻度 (分) = 60 [1] アップデートの環境設定を表示する プライマリアップデート元を環境設定する: [2] ソフォスから [3] 自社サーバーから セカンダリアップデート元を環境設定する: [4] ソフォスから [5] 自社サーバーから [q] 終了 実行する操作を選択してください。 [1] > q |
手動アップデートを実行してみます。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
[root@host01 ~]# /opt/sophos-av/bin/savupdate 次のバージョンをアップデート中です - SAV: 9.10.0、エンジン: 3.60.0、データ: 5.15 Updating Sophos Anti-Virus.... Updating Talpa Binary Packs Updating SAVScan on-demand scanner Updating Virus Engine and Data Updating Talpa Kernel Support Updating Manifest Selecting appropriate kernel support... Update completed. sdds:SOPHOS からの Sophos Anti-Virus のアップデートに成功しました 次のバージョンにアップデートしました - SAV: 9.10.0、エンジン: 3.60.0、データ: 5.17 |
|
1 2 3 4 5 6 7 8 |
[root@host01 ~]# /opt/sophos-av/bin/savdstatus --version Copyright 1989-2015 Sophos Limited. All rights reserved. Sophos Anti-Virus = 9.10.0 脅威検出エンジン = 3.60.0 脅威データ = 5.17 検出脅威数 = 9569378 脅威データリリース日 = 2015年07月21日 00時00分00秒 前回アップデートを確認した日時 = 2015年08月07日 14時05分49秒 |
デフォルトの詳細設定です。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 |
[root@host01 ~]# /opt/sophos-av/bin/savconfig --advanced query AllowCorruptInCleanArchive: オン CacheFilesystems: ext3 ext4 ext2 tmpfs devtmpfs iso9660 udf xfs reiserfs jfs vfat msdos ntfs hfs minix ramfs romfs ufs umsdos xenix cramfs DenyOnCorruptFile: オフ DenyOnDetectionError: オフ DenyOnOperatingSystemError: オン Email: root@localhost EmailDemandSummaryAlways: オフ EmailDemandSummaryIfThreat: オン EmailLanguage: English EmailNotifier: オン EmailServer: localhost:25 EnableOnStart: オン EnableAutoUpdating: オン ExclusionEncodings: UTF-8 EUC-JP ISO-8859-1 FileCacheSizeBytes: 4096 FileScanTimeoutMs: 10000 FilesystemScanTimeoutMs: 60000 GraceKillTimeoutMs: 2000 GraceStopTimeoutMs: 10000 HookModule: talpa_vfshook LogMaxSizeMB: 100 LogNotifier: オン NotificationQueueLimit: 50 NotifyOnUpdate: オフ NotifyOnUpdateCheck: オフ OnAccessCache: オン OnAccessIncludePath: / PrimaryUpdateSourcePath: sophos: PrimaryUpdateCachePath: /opt/sophos-av/update/cache/Primary PrimaryUpdateUsername: FAVXXXXXXXXXXXX PrimaryUpdatePassword: ******** PrimaryUpdateAllDistros: オフ Processes: 2 RespawnLimit: 5 RespawnMax: 10 RespawnPeriodDurationMs: 20000 RestrictProcessExclusions: オフ SendEmailMsgID: USING_BACKUP_CONFIGURATION ALL_UPDATE_SOURCES_FAILED RESPAWN-LIMIT VIRUS-DATA-OLD TALPA-FAILURE TALPA-COMPILED SendEmailLogLevel: FATAL SendErrorEmail: オン SendThreatEmail: オン StartupTimeoutMs: 60000 StopScanTimeoutMs: 10000 StopTimeoutMs: 20000 SyslogFacility: DAEMON SyslogNotifier: オン TalpaDebug: オフ TalpaInclusionProcessor: オフ TalpaVettingGroup: 0 TalpaVettingTimeoutMs: 100 ThreadsPerProcess: 5 AdaptiveThreading: オン MaximumThreads: 5 UINotifier: オン UIpopupNotification: オン UIttyNotification: オン UpdatePeriodMinutes: 60 UseExtendedRegex: オン XSmartSchedulerFix: オン LiveProtection: 有効 ScanArchives: オン/オフ |
環境に合わせた設定変更はWeb UI機能が無くなったのでCLIで設定になります。
・アップデート間隔を60分から120分に変更
|
1 |
[root@host01 ~]# /opt/sophos-av/bin/savconfig set UpdatePeriodMinutes 120 |
・警告メール送信設定
smtpサーバ,送信先アドレス,送信元アドレスを変更します。
|
1 2 3 4 5 6 |
[root@host01 ~]# /opt/sophos-av/bin/savconfig set EmailServer 192.168.1.1:25 [root@host01 ~]# /opt/sophos-av/bin/savconfig remove Email root@localhost [root@host01 ~]# /opt/sophos-av/bin/savconfig set Email Sophos-AV@rootlinks.net [root@host01 ~]# /opt/sophos-av/bin/savconfig set EmailSender Sophos-AV@rootlinks.net |
再度eicar.comをダウンロードすると検出されてメールが送信されました。
オンアクセス検索までは利用できました。オンデマンド検索については気が向いたら(^^;;
ところでこの状態でカーネルアップデートはどうなるのでしょうか?
実はこれが一番心配なところでもあります。
Sophos Anti-Virus for Linux: オンアクセススキャンのための Talpa バイナリパックをローカルでコンパイルする
https://www.sophos.com/ja-jp/support/knowledgebase/13503.aspx
Sophos Anti-Virus for Linux 環境設定ガイド
https://www.sophos.com/ja-jp/medialibrary/PDFs/documentation/savl_9_cgeng.pdf?la=ja-JP
9.1 最新のカーネルへの対応について
(上記ドキュメントから引用しました)
Sophos Anti-Virusが対応しているLinuxベンダーがLinuxカーネルのアップデート版をリリースした場合、ソフォスではそれに対応するため、Sophosカーネルインターフェースモジュール(Talpa)のアップデート版をリリースしています。対応するアップデート版Talpaを適用する前にLinuxカーネルのアップデート版を適用すると、Sophos Anti-Virusでは、Talpaのコンパイルがローカルで実行されます。これに失敗すると、Sophos Anti-Virusは、割り込み方法として代わりにFanotifyを使用しようとします。Fanotifyも使用できない場合、オンアクセス検索は停止され、エラーが報告されます。
この問題を避けるには、Linuxカーネルのアップデート版を適用する前に、該当するTalpaのアップデート版がリリースされていることを確認するようにしてください。対応しているLinuxディストリビューションおよびアップデート版の一覧は、ソフォスのサポートデータベースの文章14377を参照してください(http://www.sophos.com/ja-jp/support/knowledgebase/14377.aspx)。該当するTalpaのアップデート版が表示されている場合は、ダウンロード可能なことを意味します。SophosAnti-Virusの自動アップデートを有効に設定した場合、アップデート版は自動的ダウンロードされます。または、次回の自動アップデートを待たずに、Sophos Anti-Virusを今すぐアップデートするには、次のように入力してください。
/opt/sophos-av/bin/savupdate
終了後、Linuxカーネルのアップデート版を適用できます
・Sophos Anti-Virusをアップデートする
・Kernelアップデートを実行
・対応しているTalpaが無い場合はローカルでコンパイルされる
・コンパイルできない場合はFanotifyを適用
・Fanotifyが適用できな場合はオンアクセス検索は停止
でいいのかな? とにかくKernel Panicになるのだけは勘弁して欲しいのですが、検証してみないとダメですね。