share facebook facebook2 twitter menu hatena pocket slack

2016.02.29 MON

Amazon Linuxにアンチウィルスをインストールする

WRITTEN BY齊藤 愼仁

amazonlinux-antivirus

シンジです。トレンドマイクロ大好き人間のシンジとしては、サーバーのアンチウィルスと言えばServer Protectを使いたいところですが、残念ながらAmazon Linuxでは動作しませんので、必然的にDeep Securityを選ぶことになります。ところが、個人利用でDeep Securityを購入して利用するというのはハードルが高いので、個人利用でAmazon Linuxでフリーで使えるといえばClamAVとなるわけですが、今回は個人利用であれば無償で提供されるSophos Anti-Virus for Linuxをインストールしました。

Sophos Anti-Virus for Linux

通常はかなりいい金額のアンチウィルスですが、個人利用であれば無償で提供されています。有償版との違いは、企業向けの集中管理機能がない、ユーザーサポートがないことだけで、アンチウィルスとしての目的はきちんと達成出来るわけです。もちろん、オンアクセススキャンにも対応しており、機能的にはかなり充実しています。

さっそくダウンロード

https://www.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux.aspx

sav-linux-free-9.tgzをゲットしたら、インストールしたいサーバーにファイルを転送しましょう。

作業はroot権限で

tar zxvf sav-linux-free-9.tgz
cd sophos-av/
./install.sh

ライセンス読んでね確認は、スペースキーでさくさく進みます。

Do you accept the licence? Yes(Y)/No(N) [N]
> Y

Where do you want to install Sophos Anti-Virus? [/opt/sophos-av]
>

Do you want to enable on-access scanning? Yes(Y)/No(N) [Y]
> Y

Which type of auto-updating do you want? From Sophos(s)/From own server(o)/None(n) [s]
> s

Updating directly from Sophos.
Do you wish to install the Free (f) or Supported (s) version of SAV for Linux? [s]
> f

The Free version of Sophos Anti-Virus for Linux comes with no support.
Forums are available for our free tools at http://openforum.sophos.com/
Do you need a proxy to access Sophos updates? Yes(Y)/No(N) [N]
> N

Fetching free update credentials.
Installing Sophos Anti-Virus....
Selecting appropriate kernel support...
When Sophos Anti-Virus starts, it updates itself to try to find a Sophos kernel interface module update. This might cause a significant delay.
Sophos Anti-Virus starts after installation.
Starting Sophos Anti-Virus daemon:                         [  OK  ]

Installation completed.
Your computer is now protected by Sophos Anti-Virus.

アップデートします

cd /opt/sophos-av/bin/
./savupdate

Updating from versions - SAV: 9.11.0, Engine: 3.61.0, Data: 5.19
Updating Sophos Anti-Virus....
Updating SAVScan on-demand scanner
Updating Virus Engine and Data
Updating Talpa Kernel Support
Updating Manifest
Selecting appropriate kernel support...
On-access scanning not available because of problems during kernel support compilation.
Update completed.
Updated to versions - SAV: 9.11.0, Engine: 3.63.0, Data: 5.22
Successfully updated Sophos Anti-Virus from sdds:SOPHOS

オンアクセス検索を有効にして、サービス起動

/opt/sophos-av/bin/savdctl enable
/etc/init.d/sav-protect start

試しにスキャンしてみる(結構速いです)

savscan /

SAVScan virus detection utility
Version 5.19.0 [Linux/AMD64]
Virus data version 5.22, December 2015
Includes detection for 10436682 viruses, Trojans and worms
Copyright (c) 1989-2015 Sophos Limited. All rights reserved.

28523 files scanned in 1 minute and 20 seconds.
5 errors were encountered.
No viruses were discovered.
End of Scan.

OS再起動しても自動で起動されます

念のため確認してみる

chkconfig --list | grep sav
sav-protect     0:off   1:off   2:on    3:on    4:on    5:on    6:off

アンインストールしたい時

/opt/sophos-av/uninstall.sh

Uninstalling Sophos Anti-Virus.
WARNING: Sophos Anti-Virus still running.
Do you want to stop Sophos Anti-Virus? Yes(Y)/No(N) [N]
> Y

Stopping Sophos Anti-Virus.
Stopping Sophos Anti-Virus daemon:                         [  OK  ]
Sophos Anti-Virus has been uninstalled.

試しにウィルスをダウンロードしてみる

テストウイルス EICAR(エイカー)をダウンロードしてみます。

http://downloadcenter.trendmicro.com/index.php?regs=jp&prodid=1424

wget http://files.trendmicro.com/products/eicar-file/eicar.com
ls
eicar.com

ウィルス検出しているか確認してみる

/opt/sophos-av/bin/savlog --today --utc
2015-12-21 18:25:17: log.threat     Threat detected in /root/test/eicar.com: EICAR-AV-Test (Close). (The file is still infected.)

オンデマンドスキャンでの挙動も見てみましょう

検出したタイミングで、即座に表示されます。

savscan /

Virus 'EICAR-AV-Test' found in file /opt/sophos-av/bin/eicar.com

ログを見てみると、

/opt/sophos-av/bin/savlog --today --utc
2015-12-21 18:26:37: log.threat     Threat detected in /root/test/eicar.com: EICAR-AV-Test during on-demand scan. (The file is still infected.)

確認出来ますね。
ちなみにsyslogにも記録されています。

基本的に自動アップデートしますが、即時アップデートしたいときは

序盤で行ったアップデートと同じコマンドでOKです

/opt/sophos-av/bin/savupdate

ウィルスを駆除してみます

ファイルのパスが分かっている場合は、savscan パス名 -di で駆除出来ますが、面倒なので全スキャンで発見次第に駆除します

savscan / -di

ちなみにこれでもEICARは消えません。

ウィルスを削除する

savscan / -remove

Virus 'EICAR-AV-Test' found in file /root/test/eicar.com
Proceed with removal of /opt/sophos-av/bin/eicar.com ([Y]es/[N]o/[A]ll) ? Yes
Removal successful

これでEICARともおさらばです。

細かい使い方は日本語マニュアルがあります

https://www.sophos.com/ja-jp/medialibrary/PDFs/documentation/savl_9_cgeng.pdf

というわけで、Amazon Linuxにもフリーでアンチウィルスが出来るよ〜

法人利用、マジでやるならトレンドマイクロ Deep Securityでいきましょう

元記事はこちら

Amazon Linuxにアンチウィルスをインストールする

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。