Anti-vírus

Linux in Brazil

Documentação original
e de qualidade
em bom português

O texto abaixo foi publicado no BR-Linux antes de 2005, e está mantido aqui por razões históricas. Veja o material atualizado diariamente do BR-Linux em http://br-linux.org
Dúvidas comuns | Perguntar no Fórum | Notícias | Mais documentos | Contato
 
Destaques de hoje:
  • A semana no BR-Linux: Google Chrome, Ubuntu 8.10, KDE 4.2 e Dell
  • Abundam as análises do Chromium, navegador web open source do Google
  • A semana no BR-Linux: Reiser condenado, Firefox 3.1 mais rápido, pedal de guitarra open source
  • Resultado da promoção da camiseta "Nerdômetro" da Red Bug - brinde pra todo mundo!

    • A configuração de um anti-vírus no servidor de e-mail baseado em Linux, para evitar que os usuários de sistemas operacionais sujeitos a vírus sejam infectados através de mensagens que trafegaram pelo servidor, é uma dúvida comum. Alexandre Macedo, analista de sistemas sênior, preparou o guia a seguir, que ensina a instalar e configurar o AMaVis e o ViruScan no servidor Sendmail.

    O guia foi originalmente publicado através da linux-br, que é uma lista de e-mail - esta é a razão por trás da ausência de acentuação e da formatação diferente do nosso padrão habitual. Mas a importância do conteúdo e a qualidade do guia do Alexandre justificam esta fuga ao padrão. Nota: uma versão mais recente do texto do Alexandre está disponível aqui.

    Instrucoes para Instalacao do AMaVis

    Nota: Instalacao e a operacao foi totalmente testado em ambiente Linux com sendmail como STMP-server.

    E o truque principal eh a utilizacao da shell script scanmails, que executara o software de antivirus para fazer a varredura no arquivo atachado ao email.

    Baixe o pacote AMaVis do endereco: http://www.amavis.org/dist/amavis-0.2.1-pre3.tar.gz

    Destarrear o arquivo baixado em um diretorio qualquer (preferencial vazio), p.ex: /tmp/amavis;

    Execute os comandos abaixo no diretorio onde voce destarreou o arquivo amavis-0.2.1-pre3.tar.gz (/tmp/amavis): 

    [root@servidor amavis]# run ./configure
[root@servidor amavis]# run make
[root@servidor amavis]# run make install

    Se der algum erro an compilacao do AMaVis com relacao ao software TNEF, voce deve baixar e instalar o patch de atualizacao dele do endereco www.amavis.org (esta na pagina principal), é o primeiro comentario a respeito de bug, e a correcao esta explicada abaixo:

    Fix for broken TNEF support in 0.2.1-pre3

    Existem dois patches para resolver o problema com o TNEF: Entre no diretorio aonde voce destarreou o AMaVis e copie o arquivo configure.in.patch para este diretorio, e depois copie o arquivo scanmails.in.patch dentro do diretorio src/scanmails/.

    Aplique os patches, executando-os em cada diretorio respectivamente, p.ex: 

    [root@servidor amavis]# ./configure.in.patch
[root@servidor amavis]# cd src/scanmails
[root@servidor amavis]# ./scanmails.in.patch
[root@servidor amavis]# cd ..
[root@servidor amavis]# ./reconf

    Nao esqueca de executar a shell script ./reconf de dentro do diretorio /tmp/amavis, para recriar o arquivo configure. Se isto nao funcionar, verifique os passos feitos.

    Sendmail

    Mate o processo sendmail ("killall -HUP sendmail") ou pelo comando abaixo: 

    [root@servidor uvscan]# /etc/rc.d/init.d/sendmail stop

    Modificando o arquivo /etc/sendmail.cf manualmente, por exemplo: 

    Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@SPfhn, S=10/30, R=20/40,
T=DNS/RFC822/X-Unix,
A=procmail -Y -a $h -d $u

    Alterar para: 

    #Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@SPfhn, S=10/30, R=20/40,
# T=DNS/RFC822/X-Unix,
# A=procmail -Y -a $h -d $u


    
Mlocal, P=/usr/sbin/scanmails, F=lsDFMAw5:/|@SPfhn, S=10/30, R=20/40,
T=DNS/RFC822/X-Unix,
A=scanmails -Y -a $h -d $u

    ATENCAO: nao altere a linha, duplique os comandos que foram comentados, descomente-os e altere o P=/usr/bin/procmail para P=/usr/sbin/scanmails

    Alteracoes no arquivo /usr/sbin/scanmails

    Proximo a linha 50, existe a parametrizacao dos softwares de antivirus, para o software da McAfee, voce deve alterar conforme abaixo: 

    ################################################
# Path to NAI AntiVirus (uvscan)               #
#     (if installed)                           #
################################################
uvscan=/usr/local/bin/uvscan
uvscan_version=4
uvscan3_cmdl="--recursive --summary --verbose"
uvscan4_cmdl="--secure -rv --summary"
# to use EXTRA.DAT file (for the latest virus)
# add --extra /path/EXTRA.DAT !

    Obs: IMPORTANTE !!! Altera o parametro uvscan_version para 4 (quatro).

    Proximo a linha 1160, voce tem a montagem da notificacao de alerta de virus para o administrador, usuario que enviou e usuario que recebeu. Faca as alteracoes para "traduzir" as mensagens de alerta, veja como foi feito clicando aqui.

    Download do anti-vírus

    3. Baixar o McAfee do endereco: http://www.nai.com/asp_set/buy_try/try/products_evals.asp,

    Clique em VirusScan for UNIX-Linux Version 4.7 (TRY), preencha os campos para poder fazer o download do software, ou tente o endereco abaixo:

    http://download.nai.com/products/evaluation/virusscan/english/unix/linux/vlnx407e.tar.Z

    Nota do editor: com o passar do tempo, novas versões do anti-vírus serão lançadas, e o endereço acima deixará de estar disponível (por isto optei por não publicá-lo como um link direto). Pesquise sempre na internet em busca da versão mais recente.

    Veja como foi feita a instalacao:

    Criar o diretorio /tmp/virus e copiar o arquivo nele: 

    [root@servidor virus]# ls -lsa
total 3035
drwxr-xr-x   2 root     root         1024 Oct 24 12:48 ./
drwxr-----   6 root     root         1024 Oct 24 12:48 ../
-rw-r--r--   1 root     root      3092375 Oct 24 12:48 vlnx407e.tar.Z

    Destarrear o arquivo: 

    [root@servidor virus]# tar xvfz vlnx407e.tar.Z
scan.dat
names.dat
clean.dat
uvscan
unx47uag.pdf
readme.txt
license.txt
reseller.txt
install-uvscan
uninstall-uvscan
license.dat
messages.dat

    Verificar o conteudo: 

    [root@servidor virus]# ls -lsa
total 6207
   1 drwxr-xr-x   2 root     root         1024 Oct 24 12:49 .
   1 drwxr-----   6 root     root         1024 Oct 24 12:48 ..
 233 -rw-r--r--   1 1001     wheel      236605 Apr 25  2000 clean.dat
   8 -rwxr-xr-x   1 1001     wheel        7773 Apr 25  2000 install-uv
   2 -rw-r--r--   1 1001     wheel        1056 Apr 25  2000 license.dat
  14 -rw-r--r--   1 1001     wheel       12784 Apr 25  2000 license.txt
  56 -rw-r--r--   1 1001     wheel       55474 Apr 25  2000 messages.dat
 241 -rw-r--r--   1 1001     wheel      244895 Apr 25  2000 names.dat
  28 -rw-r--r--   1 1001     wheel       27129 Apr 25  2000 readme.txt
  47 -rw-r--r--   1 1001     wheel       47060 Apr 25  2000 reseller.txt
1271 -rw-r--r--   1 1001     wheel     1294654 Apr 25  2000 scan.dat
   4 -rwxr-xr-x   1 1001     wheel        3479 Apr 25  2000 uninstall-uv
 479 -rwxr-xr-x   1 1001     wheel      487150 Apr 25  2000 unx47uag.pdf
 789 -rwxr-xr-x   1 1001     wheel      802195 Apr 25  2000 uvscan
3033 -rw-r--r--   1 root     root      3092375 Oct 24 12:48 vlnx407e.tar.Z

    Executar a shell script install-uvscan para instalar o antivirus da McAfee: 

    [root@servidor virus]# ./install-uvscan

    Baixar o DAT do McAfee do endereco:

    http://www.mcafeeb2b.com/naicommon/download/dats/mcafee_4x.asp.

    Nota do editor: com o passar do tempo, novas versões do anti-vírus serão lançadas, e o endereço acima deixará de estar disponível (por isto optei por não publicá-lo como um link direto). Pesquise sempre na internet em busca da versão mais recente.

    Obs: Voce deve baixar o arquivo dat-40xxx.tar (extensao .tar) e destarrear o arquivo no diretorio /usr/local/uvscan - É onde ficam os arquivos .dat do software da McAfee. 

    [root@servidor uvscan]# tar xvf dat-40xxx.tar

    Execute o comando abaixo para testar a validade do UvScan e do arquivo .dat que voce baixou. 

    [root@servidor uvscan]# uvscan --version
Virus Scan for Linux v4.7.0
Copyright (c) 1992-2000 Networks Associates Technology, Inc. 
(408) 988-3832  LICENSED COPY - Mar 28 2000


    
Scan engine v4.0.70 for Linux.
Virus data file v4100 created Oct 18 2000
Scanning for 54848 viruses, trojans and variants.

    Inicializar o servico SENDMAIL

    [root@servidor uvscan]# /etc/rc.d/init.d/sendmail start

    Testando a instalacao e configuracao

    Quer ter certeza que estah tudo certo ?

    Voce pode baixar uma assinatura de virus para testar...

    Sim, existe um arquivo disponivel na Internet (http://www.eicar.org/download/eicar.com),

    Eh um arquivo com assinatura de virus para TESTES, utilizado por muitas empresas para testar a eficacia de configuracoes de antivirus.

    Para tanto voce deve baixar este arquivo e manda-lo anexado/atachado a um email para qualquer usuario da sua rede.

    Eh bom testar tambem, enviando um email com ele (eicar.com) atachado de um servidor de email externo para algum usuario da rede interna.

    Eu tenho conta no www.bol.com.br e utilizei esta conta para enviar este email com o eicar.com.

    Se estiver tudo OK, voce recebera um email alertando-o da presenca de um arquivo atachado com virus...

    PRONTO !!!

    Apague os diretorios criados para instalacao do AMaVis e do UvScan, se quiser faca o backup dos arquivos .tar baixados em outro diretorio, p.ex. /home/install: 

    [root@servidor /root ]# rm -fr /tmp/amavis
[root@servidor /root ]# rm -fr /tmp/virus

    Eh sempre bom lembrar que o software da McAfee NAO EH GRATUITO, sendo interessante voce procurar se informar sobre a aquisicao (COMPRA) dele.

    Assim voce fica coberto pela possibilidade de ser AVISADO pela propria McAfee, quando surge algum virus novo, e assim voce possa baixar o arquivo dat-4xxx.tar do site FTP deles.

    OBSERVACOES GERAIS

    Espero que nao tenha faltado nada, que houve algum problema, entre em contato comigo em PVT no email macedo@marilan.com.

    BOA SORTE !!! 

        ===========================
    Alexandre Macedo
    Analista de Sistemas Sr
    macedo@marilan.com
    Marilan Biscoitos
    www.marilan-biscoitos.com.br
    Linux Registered User # 106.459
    ICQ Number: 6979023
    ===========================