ClamAV, MailScanner eta SpamAssassin instalatzen

ClamAV

Eguneratu pakete iturriak:

    aptitude update

ClamAV instalatuko dugu. Hiru aukerak instalatu behar ditugu. Hau da: zuzeneko egikarikaketa, liburutegiaren bitartez, eta TCP/IP socket-en bitartekoa. Instalatzeko:

    aptitude install clamav clamav-daemon libclamav-dev unrar-free arj gzip unzip

Azkenengo ClamAV bertsioetan datorren defektuzko konfigurazioa oso aproposa da gure beharrizenetarako. Dena den, aldaketa batzuk egingo ditugu clamd demonioaren konfigurazio fitxategian. Fitxategia hau /etc/clamav/clamd.conf da. Aztertzeko fitxategiaren tamaina gehiengoa 15MB-ra igoko dugu. Esango diogo 3310 portua erabiltzeko (defektuzkoa), baina soilik makina beretik eskaturiko konexioetan. Fitxategiak hurrengo lerroak izan beharko ditu beste batzuez gain.

LogFileMaxSize 3M
StreamMaxLength 15M
TCPSocket  3310
TCPAddr 127.0.0.1
ScanPDF yes

OHARRA: Nahiz eta azkenengo bertsioetan ez dagoen, agertuko balitz Unix socketen erabilpena komentatu (ezgaitu) egin beharko dugu. Soilik erabil dezakegu socket mota bat, eta TCP/IP socketak erabiliko ditugu. Honela geratuko da:

#LocalSocket /var/run/clamav/clamd.ctl

Orain sistema berrabiaraziko dugu:

    /etc/init.d/clamav-daemon restart

Birusen datu-basea eguneratuko dugu:

    freshclam

Erabilgai dugu jada ClamAV. freshclam zerbitzuak, orduro begiratuko du ea birus definizio berririk dagoen. Egonez gero, jaitsi egingo ditu eta clamd demonioa abisatuko du berriz irakur dezan datu-basea.

ClamAV eguneratzerakoan, kontutan izan aldatu egin dugula konfigurazio fitxategia. Honek esan nahi du, aguneratzerakoan, galdetzen badigu ea berria instalatu bahi dugun, ezezkoa esan behar diogula. Gomendio bezala: eguneratu aurretik, /etc/clamav/clamd.conf fitxategiaren kopia egin.

msrbl eta ClamAV

Nahiz eta ez izan bere lana, birus sinadurez gain, interesantea da beste erraminta batzuk ematea ClamAV-ri. Besteak beste, SPAM-a diren edota birusak dituzten irudien eta fitxategien sinadura digitalak. Holako sistema bat instalatuko dugu. Sinadura fitxategiak deskargatzeko programa bat erabiliko dugu. Hona hemen nola descargatu eta instalatu programa.

    wget -P /var/www/lhpaiak http://www.inetmsg.com/pub/clamav-unofficial-sigs.tar.gz
    cd /var/www/lhpaiak
    tar zxf
clamav-unofficial-sigs.tar.gz
    cd
clamav-unofficial-sigs-3.7
    cp clamav-unofficial-sigs.sh /usr/local/bin/
    cp clamav-unofficial-sigs.conf /usr/local/etc/
    ln -s /usr/local/etc/clamav-unofficial-sigs.conf /etc/clamav-unofficial-sigs.conf
    mkdir -p /usr/local/man/man8
    cp clamav-unofficial-sigs.man.8 /usr/local/man/man8/
    cp clamav-unofficial-sigs-cron /etc/cron.d/
    cp clamav-unofficial-sigs-logrotate /etc/logrotate.d/

Orain aldaketatxo batzuk egingo dizkiogu /etc/clamav-unofficial-sigs.conf fitxategiari. Hurrengo lerroan honela geratu behar dira:

enable_logging="yes"
reload_dbs="yes"
user_configuration_complete="yes"

Datu-base batek arazoak eman dizkigu ClamAV-rekin. Formatua ez dela egokia esaten digu antibirusak. Ez dugu erabiliko jurlbl.nbd datu-basea. Beraz, hurrengo lerrroak honekla geratuko dira fitxategian:

ss_dbs="
   junk.ndb
   phish.ndb
   rogue.hdb
   sanesecurity.ftm
   scam.ndb
   spamimg.hdb
   winnow_malware.hdb
   winnow_malware_links.ndb
"

GOGORATU: Fitxategi deskarga rsync bitartez egiten denez, TCP 873 portua gaitu behar dugu suhesian.

Source

Destination

Service

Action

perimetroko antibirusa / antivirus perimetral

Internet

rsync(TCP) (873)

Accept

Probatu egingo dugu:

    /usr/local/bin/clamav-unofficial-sigs.sh

Arazorik? Ez? Aurrera.

Orain cron deabruaren konfigurazioak birkargatu.

    /etc/init.d/cron reload

OHARRA: Ongi kontrolatu ClamAV hasieran. Ezin daiteke fida itsu-itsuan sistema hauetaz. Abisatuta zaude.

MailScanner

MailScanner erabiltzeko, hurrengo aplikazioak behar ditugu instalatuta izan.

PERL
gcc
wget
Postfix

Suposatzen da instalatuta ditugula, baina paketetxo bat galta zaigu: TNEF.

    aptitude install tnef

Listo! Orain MailScanner instalatu behar dugu. Zoritxarrez ez dago paketea Debian Lenny biltegietan. Debian Squeeze biltegietatik instalatuko dugu. Biltegi hau gehituko dugu gure /etc/apt/sources.list fitxategian. Hona hemen nola geratuko den:

......
......
deb http://ftp.es.debian.org/debian/ squeeze main restricted contrib non-free

Orain hobespen fitxategi bat sortu behar dugu direktorio berean:

    touch /etc/apt/preferences

Hona hemen bere edukia

Package: *
Pin: release a=lenny
Pin-Priority: 900

Package: *
Pin: release a=squeeze
Pin-Priority: 400

Datubasea kargatu eta mailscanner instalatuko dugu.

    aptitude update
    apt-get -t squeeze install mailscanner

INPORTANTEA: Instalatu ondoren, komentatu Squeeze biltegiaren lerroa.

Automatikoki instalatu zaigu SpamAssassin.

Konfigurazioa ez da hain automatikoa. Pila bat gauza pertsonalizatu behar ditugu. Horretarako, fitxategiak sortuko ditugu /etc/MailScanner/conf.d direktorioan. Lehenengo gauza orokorrak. MailScanner-ek erabiliko duen posta zerbitzaria, erabiltzaile izena eta taldea, etab. Fitxategia general.conf izango da. Hona hemen bere edukioa:

MTA = postfix
Run As User = postfix
Run As Group = postfix
Incoming Queue Dir = /var/spool/postfix/hold
Outgoing Queue Dir = /var/spool/postfix/incoming

Queue Scan Interval = 6

%report-dir% = /etc/MailScanner/reports/es

Orain gure erakundeari egokitu behar zaizkion gauzak. Izena, helbidea, web orria, etab. Kontuz izen laburrarekin. Ez jarri ez zuriunerik ( ), ez punturik (.) ez azpilerrorik (_). Izen luzean, '\n' jartzen badugu, lerro jauzia egingo du. Fitxategia organization.conf izango da. Hona hemen bere edukia:

%org-name% = NireEskola
%org-long-name% = Nire Eskola\nNire Kalea 69 -- xxxxx NIREHERRIA (BIZKAIA)
%web-site% = www.nireeskola.net

Antibirusari dagokizkion aldaketak orain. Fitxategia virus.conf izango da eta hona hemen bere edukia:

Virus Scanning = yes
Virus Scanners = clamav
Monitors for ClamAV Updates = /var/lib/clamav/*.cvd /var/lib/clamav/*.cld /var/lib/clamav/*.hdb /var/lib/clamav/*.nbd
ClamAVmodule Maximum Recursion Level = 10
ClamAVmodule Maximum File Size = 15000000

Azkenik, SPAMari dagokizkionak. Azkenik, SpamAssassin-en puntuaketak definituko ditugu, eta zer egin. Esango diegu, spam bezala marka ditzala 4 puntutik gorako mezuak. Esango diogu puntuazio altua izan dadila 7 puntutik gora, eta mezu hauek koarentenan jartzeko. Gainera, esango diogu soilik aztertzeko mezuaren lehenengo 40KB.Fitxategia spam.conf izango da eta hona hemen bere edukia:

Spam Checks = yes
Use SpamAssassin = yes
Log Spam = yes
Notify Senders = yes
Sign Clean Messages = no
Max SpamAssassin Size = 40k
Required Spam Assassin Score = 3
High SpamAssassin Score = 6
High Scoring Spam Actions = store
Spam List = spamhaus-ZEN

OHARRA: Ez erabili ezgaituta edo abandonatuta dauden zerrendak. Arazoak sor daitezke.

Aldaketatxo bat egin beharra dago /etc/MailScanner/virus.escanner.conf fitxategian. Honela geratuko da hurrengo lerroa:


clamav /etc/MailScanner/wraper/clamav-wrapper /usr

Azken ikututxo batzuk falta zaizkigu. Ugazaba aldatuko diegu koarentenan eta sartzear dauden mezuen direktorioei.

    chown postfix:postfix /var/spool/MailScanner/incoming
    chown postfix:postfix /var/spool/MailScanner/quarantine

MailScanner-en direktorio baten ugazaba aldatuko dugu.

    chown postfix:postfix /var/lib/MailScanner

Dena konfiguratu ondoren, erabilpena gaituko dugu. Gainera. aldaketatxo bat egingo dugu. /etc/default/mailscanner fitxategian, hurrengo lerro hauek, horrela geratu behar dira:

q_days=15
run_mailscanner=1

Orain MailScanner berrabiaraziko dugu.

    /etc/init.d/mailscanner start

SpamAssassin

Instalatu ondoren, aldaketa txiki batzuk egin behar dizkiogu SpamAssassin-i. Gure erakundeko goi buruak ez-ikus ditzan, bayes analisia egiten duenean, esan behar diogu. Hortarako, /etc/MailScanner/spam.assassin.prefs.conf fitxategian, 85. lerrotik aurrera, unconfigured-debian-site jartzen duen tokian, gure erakundearen izen motza jarri behar dugu. Hain zuzen ere,  /etc/MailScanner/MailScanner.conf fitxategian, %org-name% aldagaian jarri genuena. Honela geratuko litzateke:

bayes_ignore_header NireEskola-MailScanner
bayes_ignore_header NireEskola-MailScanner-SpamCheck
bayes_ignore_header NireEskola-MailScanner-SpamScore
bayes_ignore_header NireEskola-MailScanner-Information

Ez dira erabili behar Razor2 eta Pyzor sareask. Hortarako, /etc/MailScanner/spam.assassin.prefs.conf fitxategian, 140. lerro aldera, deskomentatu egingo ditugu lerro batzuk. Horrela geratuko lirateke:

use_razor2 0
use_pyzor  0

Defektuz, behar duen plugina gaituta ez dagoelako, eta bestela abisuak ematen dituelako probatzerkoan, zerrenda zuri automatikoak ere desgaitu egongo ditugu. Hurrengo lerroa honela geratuko da fitxategi berean:

# use_auto_whitelist 0

Beste gauza interesgarri bat. Gaitasuna dauka SpamAssassin-ek, pisu ezberdina emateko hizkuntza ezberdinetako mezuei. Hau da: Hizkuntza batean dagoen mezuari, spam puntuzaio gutxiago emango dio. Euskara eta gaztelera aukeratuko ditugu, zeren spam gehiena ingelesez iristen zaigu. Honela jarri hurrengo lerro hau:

ok_locales    eu es

Euskara eta gaztelera hizkuntzak detektatzeko TextCat plugin-a behar da. Plugin hau, gaitu egin behar dugu /etc/spamassassin/v310.pre fitrxategian. Hola geratuko da:

loadplugin Mail::SpamAssassin::Plugin::TextCat

Orain konfiguratuta dago SpamAssassin. Erabilgarri dagoerla adieraziko dugu /etc/default/spamassassin fitxategian. Hurrengo lerroan 1 jarri behar dugu. Honela:

ENABLED=1

Ongi dabilela egiaztatuko dugu orain.

    spamassassin -p /etc/MailScanner/spam.assassin.prefs.conf --lint

Ez luke errorerik eman behar.

Orain abiarazi egin dezakegu SpamAssassin.

    /etc/init.d/spamassassin start

Listo.

MailScanner eta Postfix elkarrekin

Esngo diogu Postfix-i egiazta dezala postaren barne-goiburuak, header_checks fitxategian dauden edukinekin. Hortarako, hurrengo hau gehitu /etc/postfix/main.cf fitxategian.


header_checks = regexp:/etc/postfix/header_checks

Fitxategi hontan, posta mezu berriak HOLD direktorioan gorde ditzala esango diogu. Hortarako hurrengo lerroa jarriko dugu /etc/postfix/header_checks fitxategian.


/^Received:/ HOLD

MailScanner eta Postfix berrabiaraziko ditugu.

    /etc/init.d/mailscanner restart
    /etc/init.d/postfix restart

MailScanner-i buruz

MailScanner-en lana ez da soilik antibitus eta antiespan produktuak erabili eta kudeatzea. Arriskutsuak izan daitezkeen edukinak filtratzeko kapazitate handia du. Edukin horiek, .pif, .exe, .scr etab. fitxategiak izaten dira. Word aplikazioaren .DOC fitxategiak makro arriskutsuak eduki ditzakete. Windows-wn WMF (Windows Metafile) fitxategiak 0day.exploit ahulkeriak esplotatzeko erabil daitezke. Beste Windows atakatzeko erabili den fitxategi mota vbat ANI da. Hau da. kurtsore bizidunak. Filtratu egin behar dura.

Hori dela eta, MailScanner-ek pila bat fitxategi blokea ditzake, eta gure erabiltzaileak ez dute ulertuko egunero erabiltzebn duten fitxategi mota baten ariskua. Gure esku dago segurtasun politikak malgutzea. MailScanner-en /etc/MailScanner/filename.rules.conf fitxategian desgaitu ditzakegu behar ditugun formatuak. Honen ondoren, MailScanner barrabiarazi.

Beharrezkoa izan daiteke desgaitzea WMB eta BMT, gure erabiltzaileek, Windows programen irudiak OpenOffice-en .odt fitxategian itsatsirik bidaltzen badituzte.

Toki berean dugu filetype.rules.conf fitxategia. Antzerako funtzionalitatea du fitxategi motekin.


DNS eta Suebakian aldaketak

Antibirusaren lehenengo DNS zerbitzarian, beronen izena jarri behar dugu posta zerbitzari bezala (MX erregistroa), posta zerbitzaria baino lehentasun txikiagoarekin. Hau da: zenbaki handiagoarekin.

Suhesian, NAT egin beharko dugu, baina ez posta zerbitzarira, baizik eta perimetroko antibirusa duen zerbitzarira.