Linux服务器部署高效防毒软件

Linux服务器部署高效防毒软件

Linux对病毒的抵抗能力是人所共知的。这主要得力于其优秀的技术设计，这不仅使它的作业系统难以宕机，而且也使其难以被滥用。首先，Linux早期的使用者一般都是专业人士，就算是今天，虽然其使用者激增，但典型的使用者仍为那些有着很好的电脑背景且愿意协助他人的人，Linux高手更倾向于鼓励新手支持这样一种文化精神。正因为如此，Linux使用群中一种内化的倾向就是以安全的经验尽量避免感染病毒。其次，年轻，也是Linux很少受到病毒攻击的原因之一。事实上，所有的操作系统（包括DOS和Windows）在其产生之初，也很少受到各种病毒的侵扰。 Unix经过27年的发展和完善，已经变得非常坚固，而Linux基本上继承了它的优点。在Linux里，如果不是超级用户，那么恶意感染系统文件的程序将很难得逞。随着Linux在服务器上的广泛应用，各种针对它病毒也纷至沓来。

一、Linux 下病毒分类

    Linux操作系统一直被认为是Windows系统的劲敌，因为它不仅安全、稳定、成本低，而且很少发现有病毒传播。但是，随着越来越多的服务器、工作站和个人电脑使用Linux软件，电脑病毒制造者也开始攻击这一系统。对于Linux系统无论是服务器，还是工作站的安全性和权限控制都是比较强大的，这主要得力于其优秀的技术设计，不仅使它的作业系统难以宕机，而且也使其难以被滥用。当然，这并不是说Linux就无懈可击，病毒从本质上来说是一种二进制的可执行的程序。速客一号(Slammer)、冲击波(Blast)、霸王虫(Sobig)、米虫(Mimail)、劳拉（Win32.Xorala）病毒等恶性程序虽然不会损坏Linux服务器，但是却会传播给访问它的Windows系统平台的计算机。

    Linux平台下的病毒分类:

    1.可执行文件型病毒：可执行文件型病毒是指能够寄生在文件中的，以文件为主要感染对象的病毒。病毒制造者们无论使用什么武器，汇编或者C，要感染ELF文件都是轻而易举的事情。这方面的病毒有Lindose。

    2.蠕虫（worm）病毒：1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”在Linux 平台下，蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen，lion，Slapper等，这些病毒都感染了大量的Linux系统，造成了巨大的损失。

    3.脚本病毒：目前出现比较多的是使用shell脚本语言编写的病毒。此类病毒编写较为简单，但是破坏力同样惊人。我们知道，Linux系统中有许多的以.sh结尾的脚本文件，而一个短短十数行的shell脚本就可以在短时间内遍历整个硬盘中的所有脚本文件，进行感染。

    4.后门程序：在广义的病毒定义概念中，后门也已经纳入了病毒的范畴。活跃在Windows系统中的后门这一入侵者的利器在Linux平台下同样极为活跃。从增加系统超级用户账号的简单后门，到利用系统服务加载，共享库文件注射，rootkit工具包，甚至可装载内核模块（LKM），Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除。是Linux系统管理员极为头疼的问题。

二、Linux 服务器病毒防范策略

    综合以上介绍，可以看到总体来说计算机病毒对Linux系统存在较小的危险。但是由于各种原因在企业应用中往往是Linux和Windows操作系统共存形成异构网络。在服务器端大多使用Linux和Unix的，桌面端使用Windows 。所以为Linux的防范病毒策略分成两个部分：

    1． 针对Linux本身（服务器和使用其作为桌面的计算机）防范策略。

    可执行文件型病毒、蠕虫（worm）病毒、脚本病毒的防范通过安装GPL查杀病毒软件基本可以防范。服务器端可以使用f－prot（http: //www.f-prot.com/  ）它是工作在命令行下的，运行时可以较少占用系统资源。桌面用户可以选择tkantivir（http://www.sebastian- geiges.de/tkantivir/ ）是用Tcl/Tk写的，可以运行在任何X-Windows环境下面，比如KDE或Gnome等。

    对于后门程序防范可以采用LIDS（http://www.lids.org/ ）和Chkrootkit（http://www.chkrootkit.org/ ），LIDS是Linux内核补丁和系统管理员工具(lidsadm)，它加强了Linus内核。可以保护dev/目录下的重要文件。而 Chkrootkit可以检测系统的日志和文件，查看是否有恶意程序侵入系统，并且寻找关联到不同恶意程序的信号。最新版本的 Chkrootkit0.45可以检测出sniffers、Trojans、worms、rootkit等59种。

    此外对于Linux服务器来说运行的软件大都是开源软件，而且都在不停升级，稳定版和测试版交替出现。在www.apache.org 等网站上，最新的ChangeLog中都写着：bug fix, security bug fix的字样。所以Linux系统管理员要经常的关注相关网站的bug fix和升级，及时升级或添加补丁。千万不要报侥幸心理，否则一个Shell脚本就可能拿下你的网站。套用一句名言：你的服务器永远可能在第二天被黑客接管。

    2.针对使用Linux服务器后端的Windows系统的病毒防范策略。

    许多企业使用代理服务器接入互联网，许多用户Windows系统进行都是在进行HTTP网页浏览和文件下载时感染病毒，所以可以在代理服务器上加挂一个病毒过滤器，对用户浏览的HTTP网页进行病毒检测，发现有用户浏览网页感染病毒的状况即由代理服务器进行阻断，丢弃带有病毒的请求，将不安全的进程阻止在代理服务器内，禁止带有病毒的数据向客户端计算机传播。

    squid是一款非常优秀的代理服务器软件，但是并没有专门的病毒过滤功能。可以考虑使用德国开放源码爱好者开发的一款基于Linux的病毒过滤代理服务器——HAVP（http://www.server-side.de/ ）。HAVP病毒过滤代理服务器软件既可以独立使用，也可以与Squid串联使用，增强Squid代理服务器的病毒过滤功能。提供邮件服务是Linux服务器中重要应用。可以使用ClamAV（http://www.clamwin.com/ ），ClamAV 全名是 Clam AntiVirus，它跟Liunx一样强调公开程序代码、免费授权等观念，ClamAV 目前可以侦测超过40,000 种病毒、蠕虫、木马程序，并且随时更新数据库，有一组分布在世界各地的病毒专家，24小时更新及维护病毒数据库，任何人发现可疑病毒也可以随时跟她们取得联系，立刻更新病毒码，在极短的时间内，网络上采用ClamAV的邮件服务器就完成最新的防护动作。

三、安装配置f－prot

    系统要求：硬件： 中央处理器：兼容 Intel X86处理器Pentium 200 以上 ，32 兆(推荐64兆)内存，100兆硬盘空间 ，显示内存4兆。软件： 内核版本 2.2以上 ，perl语言版本5。8以上。

    f－prot 官方网址：http://www.f-prot.com/ ...，是著名的冰岛F-Port杀毒软件，具有即时病毒扫描、定期病毒扫描、自定义病毒扫描等功能。这是一个简单使用的抗滤过性病原体的工具，将透过发现及移动的病毒入侵中，保护你的资料。它目前可以发觉出64000不寻常及有害的计算机害虫。除了存取和要求扫描外，此工具也包含更新功能，自动的得到最新的病毒码程序。任何新的病毒都可以直接的加入到查觉数据库及解毒数据库。更新及病毒扫描可以自动执行。f－prot免费版为Home版，Linux版免费，windows收费，下载地址： Linux版本：http://www.f-prot.com/downl... ，填写基本资料后才能下载，下载后，安装过程中不会要求输入序列号等。f－prot主要用于文件服务器（NFS和Samba）和邮件服务器（sendmail、postfix、Qmail）。

    1. 软件下载

    #wget http://files.f-prot.com/fil...

    2. 软件安装升级

    软件安装完成后会自动连接到官方网站进行升级，操作如下：

#rpm -ivh fp-linux-ws.rpm
Preparing...                ########################################### [100%]
   1:fp-linux-ws            ########################################### [100%]
***************************************
* F-Prot Antivirus Updater            *
***************************************

Theres a new version of:
"Application/Script viruses and Trojans" signatures on the web.
Starting to download...
Download completed.

Preparing to install Application/Script viruses and Trojans signatures.
Application/Script viruses and Trojans signatures have successfully been installed.

Preparing to install Document/Office/Macro viruses signatures.
Document/Office/Macro viruses signatures have successfully been installed.

**********************************
* Update completed successfully. *
**********************************
默认软件包安装在/usr/local/f-prot 目录下。

    3. 查看f－prot手册页

 &n