Pod obecně používaným označením "Ochrana Samby" je potřeba představit si antivirovou ochranu souborů uložených a spravovaných pomocí produktu Samba, nikoliv ochranu procesů Samby samotné.
Typická situace: na uživatelských desktopech je instalován operační systém Windows. Služby autentifikace uživatelů a souborového serveru přebírá Samba instalovaná na Linuxu.
Na linuxovém disku jsou uložena data uživatelů, která jsou z Windows dostupná přes smb protokol spravovaný na straně Linuxu Sambou. Jelikož tyto soubory mohou obsahovat škodlivý kód, stejně jako kterýkoliv napadnutelný soubor na lokálním disku, a jsou sdíleny v rámci LAN, je vhodné zajistit jejich účinnou a soustavnou antivirovou ochranu.
Účinně = on-access
Pokud chceme hovořit o účinné ochraně systémů proti možnosti napadení spuštěním infikovaného souboru, musíme mluvit jedině o on-access skenování. Tento způsob kontroly zajišťuje kontrolu objektu (soubor, boot record) ještě před tím, než má k jeho obsahu povolen přístup aplikace. Data objektu jsou ihned po žádosti o otevření otestována antivirem a podle výsledku je aplikaci přístup povolen, nebo odepřen.
Naproti tomu on-demand skenery (test na požádání, pozn. redakce) jsou vhodné zejména jako prostředky pracovní (test souboru s nastavením maximální citlivosti v případě podezření na infekci) a záchranné (odstranění infekce).
Běžně dostupnými produkty schopnými zajistit požadované funkce jsou například NOD32 for Linux a Kaspersky Anti-Virus for Samba. Oba výrobci přistupují k řešení rozdílně, avšak s podobnými prostředky; popišme si tedy oba produkty i přístupy.
Sambu můžete také chránit svobodným antivirem ClamAV. Podporuje on-access i on-demand režimy a automatické aktualizace. Na to, že za ním nestojí komerční firma, dosahuje uspokojivých výsledků.
NOD32 (EsetSoftware)
NOD32 kontroluje přímo filesystém Linuxu bez ohledu na proces, který se souborem pracuje, spadá sem tedy i Samba. Důraz je položen na ochranu co možná nejnižší úrovně přístupu k objektu. Antivirový systém je schopen reagovat na každou manipulaci se souborem.
Nevýhodou takovýchto řešení je neschopnost komunikace se stanicí, která se souborem pracuje - antivirový systém totiž nemá k dispozici údaje mimo vlastní OS. Uživatel desktopu dostane od Windows informaci o nedostupnosti zdroje (souboru) bez uvedení skutečného důvodu. Výhodou je naopak společná implementace antivirové ochrany pro celý souborový subsystém.
V instalačním balíčku NOD32 naleznete stručnou, ale postačující dokumentaci, on-demand skener, on-access skener a aktualizační program. Instalační balíčky jsou k dispozici ve formátech pro běžně rozšířené distribuce Linuxu.
Před rozběhnutím on-access skeneru je potřeba systém doplnit o volně šiřitelný kernel modul Dazuko. Ten sleduje přístup k souborům a předá o každé takové události informaci démonu nod32fac. Míra kooperace mezi Dazuko a NOD32 je řešena možností reagovat na spuštění, otevření nebo zavření souboru. Nastavením tohoto parametru lze, podle převažujícího způsobu práce se soubory na serveru, výrazně ovlivnit výkon.
Dazuko není předmětem dodávky, stáhnete si jej z Internetu, přeložíte a začleníte do systému podle návodu obsaženém v dokumentaci NOD32. Nezapomeňte, že pro překlad budete potřebovat zdroje aktuálně používaného kernelu.
Ke správné funkci celého antivirového systému budete potřebovat také aktuální virové databáze. S touto úlohou vám pomůže skript /usr/sbin/nod32_update. Pro správnou funkci stačí doplnit do souboru /etc/nod32/nod32.auth přihlašovací informace, které jste obdrželi společně s licencí. Ve vlastním skriptu nemusíte, ale můžete, upravit cestu k souboru s přihlašovacími informacemi, server s aktualizacemi a umístění stažených souborů na lokálním disku.
Konfigurace NOD32 je uložena v textovém souboru nod32fac.cfg. Zde lze upravit všechny potřebné parametry, jako je typ skenovaných objektů (archivy, samorozbalovací archivy, boot sektory), použití a úroveň heuristiky, způsob vypořádání se s infikovaným objektem (nic, čištění, přejmenování, smazání) a podobně.
Antivirový systém NOD32 ochrání váš systém i v případě FTP serverů, WebDAV webových serverů či pošty. Je schopen detekovat jakýkoli přístup na zavirovaný soubor (tedy i mimo Sambu).
Jelikož on-access skener pokrývá celý filesystém, není pravidelné spouštění on-demand skeneru nutné. Výjimkou jsou situace, kdy např. chcete provést mimořádnou kontrolu s vyššími nároky na detekci škodlivého kódu.
Kaspersky Anti-Virus for Samba (Kaspersky-Lab)
KAV4Samba se skládá za tří základních komponent - on-demand skeneru (kavscanner), on-access skeneru (kavsamba) a aktualizačního programu (keepup2date).
On-access skener je integrován přímo do prostředí Samba serveru. Pro zachycení přístupu k souboru je používán parametr VFS Objects v konfiguračním souboru Samby smb.conf, příslušejícící ke sledovanému sdílenému prostředku (share).
Kaspersky-Lab volí pro kontrolu souborů sdílených prostřednictvím Samby přímou integraci do prostředí. Nevýhodou tohoto řešení je, že kontrolu souborů mimo Sambu musíte řešit odděleně. Kaspersky-Lab vychází z předpokladu, že primární je řešit on-access ochranu souborů sdílených ve Windows, zatímco předpoklad na napadení ze strany Linuxu je stále minimální.
Výhodou je snadná implementace (odpadá překládání jaderných modulů) a zejména možnost interakce s uživateli Windows přistupujícími k souboru. Uživatel může být informován o důvodu odmítnutí přístupu nebo o provedené dezinfekci buď e-mailem nebo vhodnějším vyskakovacím oknem.
Způsob informování uživatele o napadení se v konfiguračním souboru Samby může realizovat například takto:
OnInfected=exec echo "Soubor %FULLPATH%/%FILENAME% je napaden virem %VIRUSNAME%" | smbclient -M %USERHOST%
Konfigurace umožňuje nastavit chování při nemožnosti dezinfekce - typicky trojské koně nelze ze souboru odstranit, neboť se nejedná o modifikaci, ale celý soubor provádí nežádoucí akce. Kavsamba se pokusí o dezinfekci (v konfiguraci je uvedeno Cure=Yes) a v případě neúspěchu použije direktivu OnInfected (např. pošle zprávu o infekci) a zakáže k souboru přístup.
Celkový výkon systému významně ovlivňuje použití technologie IChecker. Pokud je při prvním přístupu soubor současnou virovou databází označen jako nenapadený, bude tak označován až do změny databází nebo restartu programu vždy, bez provádění antivirových kontrol při dalších přístupech. Tím se šetří zdroje serveru a samozřejmě se snižuje i čas nutný k provedení kontroly.
Pravidelnou kontrolu souborů mimo Sambu lze zajistit spouštěním on-demand skeneru pomocí plánovače cron. Cron je rovněž využit pro spouštění pravidelné aktualizace virových definic, které jsou na serveru výrobce aktualizovány přibližně každé tři hodiny. Aktualizační program stahuje data z nejméně zatíženého zdroje (default), nebo lze určit vlastní server pro aktualizace.
Konfiguraci KAV4Samba lze provést buď přímo v textovém souboru nebo přes pohodlné webové rozhraní modulu pro Webmin (o Webminu se dočtete v rubrice Software, pozn. redakce). Dokumentace dodaná s produktem obsahuje vedle popisu konfiguračních položek také vzorová nastavení pro řadu situací, s nimiž se administrátor může běžně setkat.
Závěrem
Pohledem "linuxáře" je řešení NOD32 systémově čisté, s akcentem na podstatu věci, tedy antivirovou kontrolu. Kaspersky přistupuje k řešení cíleně, s nadhledem a nabízí navíc pohodlí v implementaci i konfiguraci.
Tabulka: ceny multilicencí (bez DPH):
|
Produkt |
Pořízení |
Prodloužení na další rok |
|---|---|---|
|
NOD32 Linux File Server |
11200 |
5600 |
|
KAV Business Optimal |
9280 |
6496 |
Článek vznikl ve spolupráci s firmou PCS Software.
Obě řešení poskytnou vašim souborům i systémům účinnou ochranu před škodlivými kódy a nelze je než doporučit.
