シンジです。トレンドマイクロ大好き人間のシンジとしては、サーバーのアンチウィルスと言えばServer Protectを使いたいところですが、残念ながらAmazon Linuxでは動作しませんので、必然的にDeep Securityを選ぶことになります。ところが、個人利用でDeep Securityを購入して利用するというのはハードルが高いので、個人利用でAmazon Linuxでフリーで使えるといえばClamAVとなるわけですが、今回は個人利用であれば無償で提供されるSophos Anti-Virus for Linuxをインストールしました。
Sophos Anti-Virus for Linux
通常はかなりいい金額のアンチウィルスですが、個人利用であれば無償で提供されています。有償版との違いは、企業向けの集中管理機能がない、ユーザーサポートがないことだけで、アンチウィルスとしての目的はきちんと達成出来るわけです。もちろん、オンアクセススキャンにも対応しており、機能的にはかなり充実しています。
さっそくダウンロード
https://www.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux.aspx
sav-linux-free-9.tgzをゲットしたら、インストールしたいサーバーにファイルを転送しましょう。
作業はroot権限で
tar zxvf sav-linux-free-9.tgz cd sophos-av/ ./install.sh
ライセンス読んでね確認は、スペースキーでさくさく進みます。
Do you accept the licence? Yes(Y)/No(N) [N] > Y Where do you want to install Sophos Anti-Virus? [/opt/sophos-av] > Do you want to enable on-access scanning? Yes(Y)/No(N) [Y] > Y Which type of auto-updating do you want? From Sophos(s)/From own server(o)/None(n) [s] > s Updating directly from Sophos. Do you wish to install the Free (f) or Supported (s) version of SAV for Linux? [s] > f The Free version of Sophos Anti-Virus for Linux comes with no support. Forums are available for our free tools at http://openforum.sophos.com/ Do you need a proxy to access Sophos updates? Yes(Y)/No(N) [N] > N Fetching free update credentials. Installing Sophos Anti-Virus.... Selecting appropriate kernel support... When Sophos Anti-Virus starts, it updates itself to try to find a Sophos kernel interface module update. This might cause a significant delay. Sophos Anti-Virus starts after installation. Starting Sophos Anti-Virus daemon: [ OK ] Installation completed. Your computer is now protected by Sophos Anti-Virus.
アップデートします
cd /opt/sophos-av/bin/ ./savupdate Updating from versions - SAV: 9.11.0, Engine: 3.61.0, Data: 5.19 Updating Sophos Anti-Virus.... Updating SAVScan on-demand scanner Updating Virus Engine and Data Updating Talpa Kernel Support Updating Manifest Selecting appropriate kernel support... On-access scanning not available because of problems during kernel support compilation. Update completed. Updated to versions - SAV: 9.11.0, Engine: 3.63.0, Data: 5.22 Successfully updated Sophos Anti-Virus from sdds:SOPHOS
オンアクセス検索を有効にして、サービス起動
/opt/sophos-av/bin/savdctl enable /etc/init.d/sav-protect start
試しにスキャンしてみる(結構速いです)
savscan / SAVScan virus detection utility Version 5.19.0 [Linux/AMD64] Virus data version 5.22, December 2015 Includes detection for 10436682 viruses, Trojans and worms Copyright (c) 1989-2015 Sophos Limited. All rights reserved. 28523 files scanned in 1 minute and 20 seconds. 5 errors were encountered. No viruses were discovered. End of Scan.
OS再起動しても自動で起動されます
念のため確認してみる
chkconfig --list | grep sav sav-protect 0:off 1:off 2:on 3:on 4:on 5:on 6:off
アンインストールしたい時
/opt/sophos-av/uninstall.sh Uninstalling Sophos Anti-Virus. WARNING: Sophos Anti-Virus still running. Do you want to stop Sophos Anti-Virus? Yes(Y)/No(N) [N] > Y Stopping Sophos Anti-Virus. Stopping Sophos Anti-Virus daemon: [ OK ] Sophos Anti-Virus has been uninstalled.
試しにウィルスをダウンロードしてみる
テストウイルス EICAR(エイカー)をダウンロードしてみます。
http://downloadcenter.trendmicro.com/index.php?regs=jp&prodid=1424
wget http://files.trendmicro.com/products/eicar-file/eicar.com ls eicar.com
ウィルス検出しているか確認してみる
/opt/sophos-av/bin/savlog --today --utc 2015-12-21 18:25:17: log.threat Threat detected in /root/test/eicar.com: EICAR-AV-Test (Close). (The file is still infected.)
オンデマンドスキャンでの挙動も見てみましょう
検出したタイミングで、即座に表示されます。
savscan / Virus 'EICAR-AV-Test' found in file /opt/sophos-av/bin/eicar.com
ログを見てみると、
/opt/sophos-av/bin/savlog --today --utc 2015-12-21 18:26:37: log.threat Threat detected in /root/test/eicar.com: EICAR-AV-Test during on-demand scan. (The file is still infected.)
確認出来ますね。
ちなみにsyslogにも記録されています。
基本的に自動アップデートしますが、即時アップデートしたいときは
序盤で行ったアップデートと同じコマンドでOKです
/opt/sophos-av/bin/savupdate
ウィルスを駆除してみます
ファイルのパスが分かっている場合は、savscan パス名 -di で駆除出来ますが、面倒なので全スキャンで発見次第に駆除します
savscan / -di
ちなみにこれでもEICARは消えません。
ウィルスを削除する
savscan / -remove Virus 'EICAR-AV-Test' found in file /root/test/eicar.com Proceed with removal of /opt/sophos-av/bin/eicar.com ([Y]es/[N]o/[A]ll) ? Yes Removal successful
これでEICARともおさらばです。
細かい使い方は日本語マニュアルがあります
https://www.sophos.com/ja-jp/medialibrary/PDFs/documentation/savl_9_cgeng.pdf
というわけで、Amazon Linuxにもフリーでアンチウィルスが出来るよ〜
法人利用、マジでやるならトレンドマイクロ Deep Securityでいきましょう
