Настройка антивирусной системы NOD32

Автор: seacon.

Был у меня сервак для локалки, на котором крутился ftp сервер и самба (файлопомойка). Повадился какой-то добрый человек заражать шары вирусами. Было принято решение об установке антивируса. Первое, что попалось на глаза – связка samba+vscan+clamav. Но ввиду того, что последний vscan не собирается, а помечен как broken, решил установить Nod32, благо куплена лицензия… Да и clamav купила Sourcefire и скорее всего в будущем скачивание вирусных сигнатур станет платным…:(

Для установки антивируса вам понадобится ключ с лицензией и имя пользователя и пароль для обновления баз данных с официального сайта
Заходим на сайт производителя http://www.eset.com/download/business.php или смотрим в конец статьи, скачиваем последнюю версию под 6-ю ветку фрюхи (на момент написания статьи – это 2.71.8) и запускаем установщик:



#sh esets.i386.fbs6.tgz.bin This is ESET Security distribution script. It will create the installation package esets-2.71.8.i386.fbs6.tgz after you accept the Licence Agreement. This product was developed by ESET, spol. s r.o. For more information visit <http://www.eset.com>. Copyright (c) 2007 by ESET, spol. s r.o. This product includes PHP software, freely available from <http://www.php.net/software/>. This product includes shttpd software, Copyright (c) 2004-2005 Sergey Lyubka <valenok@gmail.com>. Press Enter to show the Licence Agreement... … Do you accept this Agreement? (y/n)

Принимаем лицензионное соглашение

Устанавливаем пакет



#pkg_add esets-2.71.8.i386.fbs6.tgz

Идем править конфиг /usr/local/etc/esets/esets.cfg



[global] # # Главные параметры конфигурации ESET. # # base_dir = "directory" # Директория, откуда ESET Security scanner будет загружить модули base_dir = "/var/lib/esets" # daemon_sock_path = "path" # Где хранить сокет для связи с демоном daemon_sock_path = "/tmp/esets.sock" # tmp_dir = "path" # Временная папка tmp_dir = "/tmp" # lic_dir = "directory" # Директория с файлом лицензии lic_dir = "/usr/local/etc/esets/license" # license_warn_enabled = yes/no # Если включено, скрипт 'license_warn_script_file' будет запускаться # за 30 дней до окончания лицензии (один раз в день). license_warn_enabled = yes # license_warn_script_file = "path" # Путь к скрипту, указанному выше. Скрипт отправляет уведомление на # мыло руту license_warn_script_file = "/usr/local/etc/esets/scripts/license_warning_script" # num_thrd = value # Number of main daemon (esets_daemon) scanning threads. #num_thrd = 2 # max_session = value # количество сессий сканера esets_daemon. max_session = 100000 # exec_script = yes/no # Вкл/Выкл запуск внешнего скрипта, указанного в 'script_file' # в случае обноружения вируса. # Скрипт используется для отправки уведомления администратору exec_script = no #script_file = "path" # Путь к скрипту из пункта выше #script_file = "/usr/local/etc/esets/scripts/daemon_notification_script" # # Настроки логов. # # log_level = 0 - 6 # Уровень детализации логов. Подробнее в man esets_daemon(8). log_level = 4 # log_mask = "mask" # Маска логов демона. #log_mask = "11100111111" # log_enabled = yes/no # Вкл/выкл логов. log_enabled = yes # log_file = "path" # Путь к лог файлу. Он будет созан при первом запуске демона log_file = "/var/log/esets/daemon.log" # log_rewrite = yes/no # Метод ведения логи (перезаписывать файл или продолжать. log_rewrite = no # syslog_enabled = yes/no # Использовать для ведения логов syslog. syslog_enabled = no # syslog_facility = 0 - 11 / 16 - 23 # Defines syslog facility used for the logging (LOG_DAEMON by default). #syslog_facility = 3 # # Настройки политик проверки объектов. # # action_on_processed = "accept/defer/discard/reject" # Действие над проверенными объектами. # Подробнее в манах esets.cfg(5). action_on_processed = "accept" # av_enabled = yes/no # Вкл/выкл антивирусную проверку объектов #av_enabled = yes # action_on_infected = "accept/clean/delete/defer/discard/reject" # Действие над инфицированными объектами. # Подробнее в манах esets.cfg(5). action_on_infected = "clean" # action_on_uncleanable = "accept/delete/defer/discard/reject" # Действие над неизлечимыми объектами # Подробнее в манах esets.cfg(5). action_on_uncleanable = "delete" # action_on_notscanned = "accept/defer/discard/reject" # Действие над объектами, которые не могут быть проверены, # напр. защищенные паролем архивы. # Подробнее в манах esets.cfg(5). action_on_notscanned = "accept" # quarantine = yes/no # Помещать объекты в карантин, вместо выполнения действия, # указанного в параметре action_on_infected и # action_on_uncleanable. quarantine = no # quarantine_dir = "directory" # Каталог для карантина. quarantine_dir = "/var/cache/esets/quarantine" # as_enabled = yes/no # Вкл/выкл антиспамовую проверку, в случае, если # параметр action_on_processed в значении "accept" (для mail agents) as_enabled = no # action_on_spam = "accept/defer/discard/reject" # действие при обнаружении спама (для mail agents) #action_on_spam = "accept" # action_on_spamnotscanned = "accept/defer/discard/reject" # Что делать, если антиспам не может проверить объект (mail agents only). #action_on_spamnotscanned = "accept" # # Дополнительные параметры антивирусного сканера. # # scan_obj_files = yes/no # Вкл/выкл сканирования файлов. scan_obj_files = yes # scan_obj_archives = yes/no # Вкл/выкл сканирование архивов (.ZIP, .RAR, .ARJ, etc.). scan_obj_archives = yes # max_archive_level = level # Макс.кол-во вложеных директорий в архивах. max_archive_level = 10 # scan_timeout = timeout # Таймаут сканирования архива в секундах. Если проверка архива проходит # дольше, отменять проверку scan_timeout = 300 # scan_max_size = size # Максимальный распакованый размер архива для сканирования (в байтах) # Я указал 300Мб (на медленных машинах стоит это значение уменьшить) scan_max_size = 300000000 # scan_obj_emails = yes/no # Проверять почту на вирусы. scan_obj_emails = no # scan_obj_runtimepackers = yes/no # Проверять запакованные exeшники. scan_obj_runtimepackers = yes # scan_obj_sfx = yes/no # Проверять sfx архивы. scan_obj_sfx = yes # scan_app_adware = yes/no # Проверять на шпионское ПО adware, spyware, и т.д.. scan_app_adware = no # scan_app_unsafe = yes/no # Проверять на наличие потенциально опасного ПО. scan_app_unsafe = no # scan_app_unwanted = yes/no # Проверять на наличие потенциально опасного ПО. scan_app_unwanted = no # scan_pattern = yes/no # Использовать вирусные сигнатуры. scan_pattern = yes # scan_heur = yes/no # Использовать эвристический анализ. Может сильно нагружать процессор... scan_heur = yes # scan_adv_heur = yes/no # Использовать расширенный эвристический анализ. scan_adv_heur = no # scan_all_files = yes/no # Проверять все файлы вне зависимости от расширения. scan_all_files = yes # ext_add = "ext1:ext2:ext3" # Добавить свои расширения файлов для сканирования помимо стандартных. #ext_add = "" # ext_remove = "ext1:ext2:ext3" # Исключить расширения файлов из сканирования #ext_remove = "" # log_all = yes/no # Писать в логи все проверенные файлы. (При включении логи быстро разростаются # в размере) log_all = no # write_to_emails = 0 - 2 # Добавлять в тело письма информацию о том, что оно проверено антивирусом. # Подробнее в манах esets.cfg(5). #write_to_emails = 0 # write_to_subject = 0 - 2 # Добавлять в тему письма информацию о том, что оно проверено антивирусом. #write_to_subject = 0 # write_to_header = 0 - 2 # Добавлять в тему заголовок письма информацию о том, что оно проверено антивирусом. #write_to_header = 0 # # Параметры системы отправки разрабам новых вирусов. # # samples_enabled = yes/no # Вкл/выкл системы отправки. samples_enabled = no # samples_cache_dir = "directory" # Где хранить кэш. samples_cache_dir = "/var/cache/esets/charon" # samples_send_enabled = yes/no # Вкл/выкл отправку сэмплов вирусов. samples_send_enabled = no # samples_send_period = value # Временной интервал (в секундах) отправки сэмплов. #samples_send_period = 3600 # samples_provider_mail = "email" # e-mail для обратной связи. #samples_provider_mail = "" # samples_provider_country = "country" # Страна для обратной связи. #samples_provider_country = "" # # Дополнительные настройки антиспама. # # as_subject_spam_prefix = "prefix" # Текст, добавляемый к теме письма, содержащего спам #as_subject_spam_prefix = "" [update] # Настройки демона нода и системы обновления. # av_update_period = period # Интервал обновления антивирусных баз (в минутах) # (0) - не обновлять. av_update_period = 60 # as_update_period = period # Интервал обновления баз антиспама (в минутах) # В моем случае - 0, т.к. я не использую этот компонент. as_update_period = 0 # server = "server" # Указать сервер обновления баз. Если не указано, использовать # стандартные адреса обновлений # Опция полезна в случае, если у вас в сети есть локальное зеркало # обновления, как у меня. Указываем его адрес. #server = "\\serv\nod" # username = "username" # Имя пользователя для обновления баз. #username = "" # password = "password" # Пароль для обновления баз. #password = "" # proxy_addr = "addr" # Адрес прокси сервера (если есть). #proxy_addr = "" # proxy_port = port # Порт прокси сервера. #proxy_port = 3128 # proxy_username = "username" # Авторизация прокси сервера. #proxy_username = "" # proxy_password = "password" # Пароль авторизации прокси сервера. #proxy_password = "" # add_mod = "mod1:mod2:..." # Список копонентов модулый для закачки с сервера eset. #add_mod = "" [wwwi] # Настройик модуля вэб интерфейса антивируса # agent_enabled = yes/no # Вкл/выкл модуль вэб интерфейса esets_wwwi. agent_enabled = yes # listen_addr = "address" # Адрес, на котором слушать входящие соединения. # Для прослушивания всех адресов указать 0.0.0.0 #listen_addr = "0.0.0.0" # listen_port = port # Какой порт слушать для вэб интерфейса. # Не забудьте разрешить входящие соединения на этот порт в файрволе. listen_port = 81 # Имя пользователя и пароль для вэб интерфейса (обязательный параметр) username = "eset" password = "nod" [mda] # Настройки модуля MAil Delivery Agent. # mda_path = "path" # Путь к настоящему MDA. Т.е. нод работает по принципу прокси. Представляется # фальшивым MDA, проверяет почту и отправляет ее натоящему MDA #mda_path = "/usr/bin/procmail" [smtp] # Настройки модуля фильтра SMTP. # agent_enabled = yes/no # Вкл/выкл модуль esets_smtp. #agent_enabled = no # num_proc = value # Кол-во параллельных процессов модуля esets_smtp. #num_proc = 1 # num_thrd = value # Кол-во нитей для каждого процесса модуля esets_smtp. #num_thrd = 2 # listen_addr = "address" # На каком интерфейсе слышать порт для входящих smtp соединений # 0.0.0.0 - слушать на всех интерфейсах. #listen_addr = "localhost" # listen_port = port # Какой порт слушать для входящих smtp соединений. listen_port = 2526 # server_addr = "address" # Адрес или имя SMTP сервера к которому подключается модуль esets_smtp. #server_addr = "localhost" # server_port = port # Порт к которому подключается модуль esets_smtp. #server_port = 2525 # add_header_xvirus = yes/no # Добавлять строку 'X-Virus-Scanner:' к просканированным сообщениям. #add_header_xvirus = yes # add_header_received = yes/no # Добавлять заголовок 'Received:' к просканированным сообщениям. #add_header_received = no [smfi] # Настройки модуля проверки контента Sendmail`а. # agent_enabled = yes/no # Вкл/выкл модуль esets_smfi. #agent_enabled = no # smfi_sock_path = "path" # Сокет для взаимодействия модуля esets_smfi с Sendmail MTA. #smfi_sock_path = "/var/run/esets_smfi.sock" [http] # Настройки модуля ESETS HTTP. # agent_enabled = yes/no # Вкл/выкл модуль esets_http. #agent_enabled = no # num_proc = value # Кол-во параллельных процессов модуля esets_http. #num_proc = 1 # num_thrd = value # Кол-во нитей для каждого процесса модуля esets_http. #num_thrd = 2 # listen_addr = "address" # На каком интерфейсе слышать порт для http соединений # 0.0.0.0 - слушать на всех интерфейсах. #listen_addr = "" # listen_port = port # Какой порт слушать для http соединений. #listen_port = 8080 [ftp] # Настройки модуля ESETS FTP. # agent_enabled = yes/no # Вкл/выкл модуль esets_ftp. #agent_enabled = no # num_proc = value # Кол-во параллельных процессов модуля esets_ftp #num_proc = 1 # num_thrd = value # Кол-во нитей для каждого процесса модуля esets_ftp. #num_thrd = 2 # listen_addr = "address" # На каком интерфейсе слышать порт для ftp соединений # 0.0.0.0 - слушать на всех интерфейсах. #listen_addr = "" # listen_port = port # Какой порт слушать для ftp соединений. #listen_port = 2121 [pop3] # Настройки модуля ESETS POP3. # agent_enabled = yes/no # Вкл/выкл модуль esets_pop3. #agent_enabled = no # num_proc = value # Кол-во параллельных процессов модуля esets_pop3 #num_proc = 1 # num_thrd = value # Кол-во нитей для каждого процесса модуля esets_pop3. #num_thrd = 2 # listen_addr = "address" # На каком интерфейсе слышать порт для pop3 соединений # 0.0.0.0 - слушать на всех интерфейсах. #listen_addr = "" # listen_port = port # Какой порт слушать для pop3 соединений. #listen_port = 8110 # server_addr = "address" # Адрес или имя POP3 сервера к которому подключается модуль esets_pop3. #server_addr = "localhost" # server_port = port # Порт к которому подключается модуль esets_pop3. #server_port = 110 [imap] # Настройки модуля ESETS IMAP. # agent_enabled = yes/no # Вкл/выкл модуль esets_imap. #agent_enabled = no # num_proc = value # Кол-во параллельных процессов модуля esets_imap #num_proc = 1 # num_thrd = value # Кол-во нитей для каждого процесса модуля esets_imap. #num_thrd = 2 # listen_addr = "address" # На каком интерфейсе слышать порт для imap соединений # 0.0.0.0 - слушать на всех интерфейсах. #listen_addr = "" # listen_port = port # Какой порт слушать для imap соединений. #listen_port = 8143 # server_addr = "address" # Адрес или имя imap сервера к которому подключается модуль esets_pop3. #server_addr = "localhost" # server_port = port # Порт к которому подключается модуль esets_pop3. #server_port = 110 # Далее описывается 2 метода проверки файлов "на лету". Насколько я понял, # pac больше подходит для Linux, а dac для FreeBSD. Используем второй. # Для его работоспособности необходимо установить модуль ядра Dazuko. [pac] # Settings for ESETS Preload library based file Access Controler module. # event_mask = value # На какое событие реагировать (1 при открытии файла, 2 при закрытии). #event_mask = 1 # ctl_incl = "directory" # Список каталогов, в которых проводить сканирование. #ctl_incl = "" # ctl_excl = "directory" # Список каталогов, исключаемых из сканирования. #ctl_excl = "" [dac] # Settings for ESETS Dazuko powered file Access Controler module. # agent_enabled = yes/no # Вкл/выкл модуль esets_dac. agent_enabled = yes # num_proc = value # Кол-во параллельных процессов модуля esets_dac. num_proc = 1 # num_thrd = value # Кол-во нитей для каждого процесса модуля esets_dac. num_thrd = 2 # event_mask = value # На какое событие реагировать (1 при открытии, 2 при закрытии, 4 при запуске). event_mask = 1 # ctl_incl = "directory" # Список каталогов, в которых проводить сканирование. # Собственно моя шара с файлопомойкой ctl_incl = "/var/share" # ctl_excl = "directory" # Список каталогов, исключаемых из сканирования. #ctl_excl = "" [scan] # Настройки сканирования "на лету". # subdir = yes/no # Вкл/выкл проверки подкаталогов. #subdir = yes # max_subdir_level = value # Макс.глубина вложения каталогов (0 = неограничено). max_subdir_level = 0 # symlink = yes/no # Переходит по симлинкам. symlink = yes

После этого импортируем файл лицензии


# /usr/local/sbin/esets_lic -–import nod32.lic

Далее устанавливаем модуль ядра Dazuko из портов, предварительно обновив их


#cd /usr/ports #make search name=dazuko Port: dazuko-2.3.2 Path: /usr/ports/security/dazuko Info: A common interface for 3rd party file access control Maint: acm@FreeBSD.org B-deps: R-deps: WWW: http://dazuko.org/ #cd /usr/ports/security/dazuko #make install clean

В конце лезет два вопроса



Do you want load dazuko.ko? [ y/n ]: y Do you want load dazuko.ko on boot time? [ y/n ]: n

Проверяем запустился ли модуль:


#kldstat | grep dazuko 7 1 0xc5938000 c000 dazuko.ko

Загружать модуль через /boot/loader.conf не рекомендуют, посему правим стартовый скрипт демона нода

Пробуем запустить демон


#cd /usr/local/etc/rc.d #./esets_daemon.sh start Starting ESET Security for FreeBSD: esets_daemon Start first time anti-virus modules update, it may take several minutes, please wait... Start mirror process Checking remote update packages at 'u38.eset.com'... ok / 3k (100%) Checking local update packages in '/var/lib/esets/mirror/'... ok (0 nups found). Downloading 17 file(s). Downloading ENGINE0... ok Downloading ENGINE1... ok Downloading ENGINE2... ok Downloading ADVHEUR0... ok Downloading ADVHEUR1... ok Downloading ARCHS0... ok Downloading ARCHS1... ok Downloading ARCHS2... ok Downloading PWSCAN0... ok Downloading PWSCAN1... ok Downloading PWSCAN2... ok Downloading CHARON0... ok Downloading CHARON1... ok Downloading CHARON2... ok Downloading UTILMOD0... ok Downloading UTILMOD1... ok Downloading UTILMOD2... ok Mirror process done Start compile process Dump modules version information Virus signature database - installed: ( 0), available: 2705(11359) Advanced heuristics - installed: ( 0), available: 1068(1169) Archive support - installed: ( 0), available: 1.059(1197) pwscan - installed: ( 0), available: 1.001(1012) charon - installed: ( 0), available: 1.009(1047) utilmod - installed: ( 0), available: 1.100(1202) Update in progress... ESET security system has been updated succesfully Compile process done Anti-virus modules update done .

При первом запуске он обновит базы и запустится демоном. Проверяем


gw# ps -ax | grep eset 90690 ?? Is 0:00,01 /usr/local/sbin/esets_daemon 90692 ?? S 0:00,01 /usr/local/sbin/esets_daemon 90693 ?? I 0:00,01 /usr/local/lib/esets/esets_dac 90696 ?? I 0:00,00 /usr/local/lib/esets/esets_dac

В процессе эксплуатации просматриваем лог /var/log/esets/stats.txt


scanned: 34 error: 0 infected: 0 cleaned: 0 spam: 0 accepted: 34 deferred: 0 discarded: 0 rejected: 0

P.S. Работает данная связка по сравнению с vscan+samba в разы быстрее.

P.P.S. дистрибутив 2.71.8 под 6ю ветку тут

P.P.P.S по многочисленным просьбам выложил файл лицензии тут

размещено: 2007-12-06,
последнее обновление: 2007-12-12,
автор: seacon

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK