Dei circa 73.000 virus esistenti oggi, la quasi totalità ha come obiettivo i PC equipaggiati con sistemi operativi Microsoft. Per fortuna, pochissimi (attualmente si contano sulle dita di una mano) mirano invece ai sistemi operativi Unix like come GNU/Linux. I sistemi operativi di casa Redmond vengono maggiormente colpiti perché, data la loro grande diffusione e l'elevata vulnerabilità, costituiscono un vero e proprio obiettivo per i potenziali creatori di virus, meglio conosciuti col nome di "Virus Writers".
GNU/Linux rappresenta, per sua natura, un terreno poco fertile per i virus informatici, data soprattutto la bassa standardizzazione della piattaforma, basta semplicemente considerare le differenze che intercorrono tra le diverse distribuzioni Linux (Debian, Slackware, SuSe e così via). In ambiente Linux, perché un virus raggiunga il suo obiettivo, bisogna servirsi di una parte del sistema operativo e i controlli di accesso basati sui proprietari ed i gruppi restringono fortemente il campo di lettura, scrittura ed esecuzione dei file di accesso. Per cui è difficile scrivere un virus che possa diffondersi indisturbato in un ambiente Linux se non all'interno di un singolo account utente.
Attualmente Linux accresce la propria quota di mercato di circa il 20-25% ogni anno, crescendo soprattutto come piattaforma server. Oggi una grande quantità di aziende esegue diversi servizi critici, come mail server, file storage e siti web, su macchine Linux. Questi server solitamente forniscono servizi ad un elevato numero di utenti e perciò hanno bisogno della miglior protezione possibile contro virus e malware.
Sebbene i virus ed i worm per Linux siano davvero pochissimi è sempre bene prevenire noie; per questo motivo, ma più di ogni altra cosa, per filtrare i contenuti in transito nella rete aziendale, vi offriamo una carrellata dei migliori antivirus per il pinguino. Offriremo una descrizione del prodotto e anche comandi pratici per la sua installaizone o uso.
F-Prot antivirus per Linux
Sviluppatore: Frisk software
Nome: F-Prot for Linux 4.6.7
Licenza: Proprietaria
Sito Web: http://www.f-prot.com/products/corporate_users/unix/
La Frisk, come molti fra i maggiori produttori di software antivirus, fornisce soluzioni per sistemi Linux particolarmente orientate ai server, dove maggiore può essere la necessità di adottare un antivirus con funzioni di protezione della posta o dei file, soprattutto per i client Windows.
L'offerta della Frisk, per il pinguino, si compone di tre prodotti:
- F-Prot for Linux Workstation, versione orientata ai singoli utenti Linux;
- F-Prot for Linux Mail Servers, la soluzione ideale per provider ed aziende che hanno un server di posta basato su Linux (es: Sendmail, Postfix o QMail);
- F-Prot for Linux File Servers, utile per proteggere server FTP dalle infezioni in una rete locale aziendale.
L'engine di virus scanning ed il database dei virus sono gli stessi delle rispettive versioni per Windows e vengono costantemente aggiornati.
Installare F-Prot
L'installazione dell'antivirus è piuttosto semplice, può essere eseguita direttamente usando i pacchetti in formato Rpm oppure Deb. Ad esempio, per installare F-Prot for Linux Workstation in formato Rpm basterà procurarsi il pacchetto ed installarlo con il comando seguente:
# rpm -ivh fp-linux-ws.rpm
se la nostra distribuzione è basata su Debian il comando cambierà in:
# apt-get install fp-linux-ws.deb
Tutti i file necessari vengono scritti nella directory /usr/local/f-prot
ed a questi si aggiungono dei link simbolici, per i comandi di base, nei percorsi /bin
e /sbin
. Infine, viene inserito lo script di gestione del servizio f-protd nella directory /etc/init.d
. Attenzione, molti comandi di F-Prot si basano su Perl e richiedono la sua presenza all'interno della Linux box. I signature files, cioè i file contenenti le definizioni dei virus conosciuti, sono:
/usr/local/f-prot/MACRO.DEF
/usr/local/f-prot/SIGN.DEF
/usr/local/f-prot/SIGN2.DEF
Questi possono essere comodamente aggiornati tramite lo script check-updates.pl
. La configurazione risulta essere abbastanza semplice, il grado di affidabilità è complessivamente buono.
Usare F-Prot
Per controllare la presenza di virus sul filesystem usiamo il comando f-prot che possiede varie funzioni e opzioni; scriviamo ad esempio:
# f-prot /var -disinf -list
questo comando esegue uno scan della directory /var
e delle sue sottodirectory provando a disinfettare i file infetti (l'opzione -disinf
) e mostrando tutti i nomi dei file controllati (opzione -list
).
Inserendo il comando f-prot con l'opzione -virlist
, invece, possiamo visualizzare a video l'elenco dei virus che possono essere identificati.
In sintesi
I virus più diffusi vengono riconosciuti da F-Prot e gli script di gestione offrono tutto il necessario per lavorare agevolmente da console. Unica pecca, non dipendente dalla configurazione della macchina sulla quale è stato testato l'antivirus, è la durata della scansione. Un po' più lenta rispetto ad altri software antivirus provati in questo articolo.
Clamav AntiVirus
Sviluppatore: Tomasz Kojm
Nome: Clamav 0.88.7
Licenza: GNU/GPL
Sito Web: http://www.clamav.net/
Clamav è frutto del lavoro di un team di sviluppatori che ha deciso di dare vita ad un progetto per la creazione di un antivirus multipiattaforma rilasciato sotto licenza libera. Il programma ha raggiunto rapidamente una maturità elevata tanto da poter essere adottato anche in produzione.
La sua popolarità aumenta in maniera esponenziale ed è una scelta molto comune in ambito server poiché, combinato assieme a strumenti antispam, come SpamAssassin, può essere una validissima alternativa, completamente gratuita, ai prodotti commerciali dal costo non trascurabile.
Il costo zero e la particolarità di essere cross-platform non sono gli unici pregi di Clamav, tra le tante caratteristiche spiccano in particolare: il riconoscimento di oltre 40.000 virus, la possibilità di disporre di un eseguibile da lanciare da console, una serie di librerie offerte direttamente dal progetto per integrare Clamav all'interno di altre applicazioni ed il supporto ad archivi compressi e ai file contenenti email in formato maildir e mailbox.
Il programma è "Posix compliant" e quindi disponibile per tutte le piattaforme Unix like (GNU/Linux, BSD, Sun Solaris, MacOs X, ecc.) e, rispetto ad altri progetti simili, ha il fondamentale pregio di mantenere un database dei virus aggiornato con maggior frequenza. Clamav è in grado di scompattare tutti i file compressi e di analizzare documenti di MS Office per ricercare macro virus. L'antivirus non ripulisce i file infetti, ma visto che la sua applicazione più comune è come antivirus per sistemi di posta, questa mancanza è generalmente irrilevante. Clamav sostanzialmente è un potentissimo filtro, che riceve un file in input e lo rilascia in output dopo aver verificato se contiene virus.
Installare Clamav
Per poter installare e compilare Clamav è necessario avere i pacchetti zlib
, e zlib-devel
. È possibile scaricare i sorgenti ed i binari precompilati per le diverse distribuzioni Linux dal sito ufficiale. Per usarlo invece è necessario creare un utente non privilegiato con cui eseguirlo, i comandi da inserire sono:
# groupadd clamav # useradd -g clamav -s /bin/false -c "Clam Antivirus" clamav
Se volete installare l'antivirus da sorgenti procuratevi il pacchetto in formato compresso, e procedete alla scompattazione con il comando:
$ tar -zxvf clamav-0.88.7.tar.gz
entrate nella directory appena creata con:
$ cd clamav-0.88.7
e proseguite con i consueti comandi:
$ ./configure
$ make
# make install //come utente root
File binari e librerie vengono copiati nella directory /usr/local
, il file di configurazione è /etc/clamd.conf
.
Clamav all'opera
Una volta eseguita l'installazione è possibile testare l'antivirus con il comando:
# clamscan -r /var
Il comando indicato esegue la scansione ricursiva di tutto il contenuto della directory /var
; mentre se ci interessa vedere solo i nomi dei file infetti, oltre al report finale, basterà aggiungere l'opzione -i
. Il comando clamscan
se lanciato senza opzioni fornisce diverse informazioni e statistiche sul numero di virus riconosciuti, se invece viene seguito dal nome di una directory del filesystem, esegue un check di tutti i file ivi contenuti.
Aggiornare Clamav
Lo strumento migliore per tener aggiornato il database dei virus di Clamav è FreshClam. Può essere eseguito da console e programmato per un aggiornamento automatico, oppure essere lanciato come servizio (il termine demone è più corretto) in costante esecuzione. Il suo file di configurazione è /etc/freshclam.conf
all'interno del quale dovrete configurare alcune opzioni come:
- DatabaseDirectory
/var/lib/clamav
(la directory dove Clamav trova il database dei virus). - UpdateLogFile
/var/log/clamav/freshclam.log
(il file dove vengono loggate le operazioni di FreshClam). - DatabaseMirror
database.clamav.net
(l'indirizzo da cui scaricare gli aggiornamenti).
Per eseguire FreshClam in modalità demone basta lanciare il comando:
# /usr/local/bin/freshclam -d.
Per concludere
Clamav è la migliore soluzione antivirus per Linux. È gratuito, la scansione dei file è veloce, i virus vengono individuati perfettamente e l'integrazione con altri programmi e servizi all'interno di una Linux box è davvero superiore alla media (figura 2). Clamav consente inoltre la scansione del sistema in tempo reale grazie ad un modulo per il kernel chiamato "Dazuko". Per completezza ricordiamo che esistono anche delle versioni per Microsoft Windows e MacOS X, denominate rispettivamente ClamWin e ClamXav.
Nella prossima parte dell'articolo esamineremo altri due prodotti disponibili per la nostra piattaforma Linux.
Continuiamo la nostra rassegna dei migliori antivirus per Linux. Dopo aver descritto l'uso e la configurazione di F-Prot e Clamav, passiamo ad Avast e Avira.
Avast for Linux/Unix
Sviluppatore: Alwil software
Nome: Avast for Linux/Unix 1.0.7 (Rpm)
Licenza: Proprietaria
Sito Web: http://www.avast.com/
Ecco un altro software che merita di essere menzionato nella nostra breve rassegna. L'antivirus viene distribuito in due versioni, una gratuita e l'altra a pagamento dotata di funzioni aggiuntive. Avast for Linux/Unix Servers è un antivirus davvero completo e ben concepito. Considerando la robusta architettura del prodotto ed il supporto integrato di protezione delle mail, ci si accorge subito che è stato progettato in modo primario per i server di posta basati su Linux e BSD, anche se può essere impiegato su computer desktop.
Grazie alla sua flessibile struttura, Avast, può essere utilizzato per le scansioni del traffico network e come soluzione per il monitoraggio, in tempo reale, di posta e dei flussi data streams via web. Il kernel antivirus di Avast per Linux è identico alla versione per Windows; tutte le caratteristiche presenti nel kernel di Avast per Windows sono disponibili anche per la versione Linux.
Il motore antivirus di Avast è caratterizzato da un'eccellente capacità di riconoscimento dei virus, combinato con alte prestazioni. Il componente principale di Avast for Linux è lo Standard Scanner. Grazie a questo si può effettuare una scansione completa dei dischi locali e di quelli remoti, inoltre funziona correttamente anche sulle condivisioni Samba.
Il programma è molto flessibile ed offre un'ampia gamma di personalizzazioni. Può creare report dettagliati delle operazioni compiute che potranno essere utilizzati dallo stesso programma per scansioni future oppure per un'analisi da parte dell'amministratore di sistema.
Installiamo Avast
Scaricato il pacchetto in formato RPM procediamo all'installazione di Avast for Workstation, la versione gratuita dell'antivirus. Il comando è simile a quello visto in precedenza:
# rpm -ivh avast4workstation-1.0.7-1.i586.rpm
Se tutto è andato bene potete utilizzare Avast da console inserendo il comando omonimo, oppure avviando l'interfaccia grafica (in figura 3) scrivendo:
$ avastgui
Al primo avvio vi verrà richiesto di inserire il codice di registrazione che potete facilmente ottenere registrandovi sul sito del produttore. Avviare la scansione è davvero semplice. Se viene rilevato un virus potete eseguire diverse azioni: cancellazione, modifica e spostamento in quarantena dei files infetti. Potete inoltre informare l'amministratore di sistema del compimento della stessa.
Avast ed i Mail Server
Avast per Linux include un modulo creato ad hoc, chiamato "avastrelay", che rende possibile collegare Avast ai server di posta più comuni, come Sendmail e Postfix, per citarne alcuni. Il modulo funziona come un vero SMTP indipendente ed è caratterizzato da molti parametri personalizzabili che permettono di utilizzarlo in una grande varietà di ambienti.
Tiriamo le somme
Avast è un ottimo prodotto, il migliore tra quelli a pagamento, non richiede macchine performanti ed offre una protezione elevatissima. La modalità chiamata "avastguard" scansiona i files in apertura offrendo una protezione molto importante specie per i sistemi in cui ci sono molti PC che salvano files su server. Come ClamAV, anche Avast, per la scansione in realtime del filesystem richiede l'installazione del modulo "Dazuko".
Avira - Antivir for Unix
Sviluppatore: Avira GmbH
Nome: AntiVir for Unix 2.1.9-32
Licenza: Proprietaria
Sito Web: http://www.avira.com/
Avira for Unix è un antivirus, sviluppato da una giovane software house tedesca, per sistemi Unix like ben concepito; come Avast viene distribuito in due versioni: una commerciale ed una free.
AntiVir Personal Edition Classic, la versione gratuita rilasciata per uso personale, offre tutto ciò che occorre per proteggersi da possibili infezioni virali, da spyware e adware. Come molti antivirus offre una protezione residente, rendendo possibile l'individuazione dei virus ogni volta che un file viene aperto, chiuso o eseguito dal sistema. Ovviamente è possibile fare una scansione manuale e rimuovere i files infetti.
Le definizioni dei virus vengono aggiornate automaticamente tramite internet, ma l'upgrade del database dei virus non è certo spedito, l'aggiornamento delle definizioni dei virus avviene più velocemente nella versione a pagamento, grazie ad un server dedicato.
Punta di diamante dell'antivirus è senz'altro la ricerca euristica; nei test effettuati, questa funzionalità ha brillato in efficienza e dobbiamo riconoscere questo merito agli sviluppatori di Avira. Chi volesse acquistare Avira per servirsene in azienda può scegliere uno dei tre prodotti proposti dal vendor: AntiVir Server, AntiVir MailServer e AntiVir ProxyServer, sono le rispettive versioni per file server, mail server e proxy server.
Installazione di Avira
Abbiamo scelto di installare l'ultima versione gratuita dell'antivirus. Rispetto all'installazione di altri prodotti visti sinora, il setup non è tanto user friendly, ma non è difficilissimo. Dopo aver scaricato l'archivio, in formato tar.gz, dal sito procediamo come segue. Decomprimiamo l'archivio col comando:
$ tar -zxvf antivir-workstation-pers.tar.gz
Fatto questo entriamo nella directory dell'antivirus e con i privilegi dell'utente root avviamo lo script di installazione:
# ./install
Basterà seguire le indicazioni a video e scegliere se attivare o meno determinate funzionalità, come ad esempio la scansione in tempo reale o l'aggiornamento automatico. L'antivirus possiede una GUI davvero molto completa (figura 4), l'unico neo è che richiede la presenza di Java nel sistema e quindi, se non si conosce la procedura di installazione della Java virtual machine sotto Linux la GUI non potrà essere usata.
Un'ultima cosa, prima di usare l'antivirus è necessario aggiungere l'utente che avvierà Avira al gruppo antivir. Nel mio caso ho utilizzato il seguente comando:
# /usr/sbin/usermod -G bin,mail,cdrom,usb,apache,postfix,users,valpenguin,antivir valpenguin
Aggiorniamo Avira
La procedura di aggiornamento può essere programmata in maniera che avvenga periodicamente senza l'intervento dell'utente. Da riga di comando sarà sufficiente inserire il comando antivir --update per aggiornare l'antivirus. Altra possibilità, per aggiornare le definizioni dei virus, è quella di usare l'apposita funzione presente nella GUI del programma.
Lavorare con Avira
Usare Avira è un gioco da ragazzi, l'interfaccia grafica, assolutamente da provare, permette di fare qualsiasi cosa a colpi di click senza scomodarsi tanto. Il riconoscimento dei virus è soddisfacente, la velocità di scansione è accettabile ed i servizi in esecuzione non appesantiscono la macchina.
Conclusioni
I software passati in rassegna sono quasi tutti equivalenti, ma la mia scelta cade inevitabilmente su Clamav. Disporre del codice sorgente permette di migliorare l'applicazione e di "customizzarla", come e quando serve, secondo le proprie necessità. Un particolare, a mio avviso, non trascurabile.