ClamAV instalatzeko, debian-volatile errepositorioa gaitu behar dugu. Hortarako, /etc/apt/sources.list fitxategian honako lerroa gehitu:
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-freeEguneratu pakete iturriek:
apt-get updateClamAV instalatuko dugu. Hiru aukerak instalatu behar ditugu. Hau da: zuzeneko egikarikaketa, liburutegiaren bitartez, eta TCP/IP socket-en bitartekoa. Instalatzeko:
apt-get install clamav clamav-daemon libclamav-dev unzoo lha unrar arj gzipAzkenengo ClamAV bertsioetan datorren defektuzko konfigurazioa oso aproposa da gure beharrizenetarako. Dena den, aldaketa batzuk egingo ditugu clamd demonioaren konfigurazio fitxategian. Fitxategia hau /etc/clamav/clamd.conf da. Aztertzeko fitxategiaren tamaina gehiengoa 15MB-ra igoko dugu. Esango diogo 3310 portua erabiltzeko (defektuzkoa), baina soilik makina beretik eskaturiko konexioetan. Fitxategiak hurrengo lerroak izan beharko ditu beste batzuez gain.
LogFileMaxSize 3MOHARRA: Nahiz eta azkenengo bertsioetan ez dagoen, agertuko balitz Unix socketen erabilpena komentatu (ezgaitu) egin beharko dugu. Soilik erabil dezakegu socket mota bat, eta TCP/IP socketak erabiliko ditugu. Honela geratuko da:
#LocalSocket /var/run/clamav/clamd.cltOrain sistema berrabiaraziko dugu:
/etc/init.d/clamav-daemon restart
Birusen datu-basea eguneratuko dugu:
freshclam
Erabilgai dugu jada ClamAV. freshclam zerbitzuak, orduro begiratuko du ea birus definizio berririk dagoen. Egonez gero, jaitsi egingo ditu eta clamd demonioa abisatuko du berriz irakur dezan datu-basea.
ClamAV eguneratzerakoan, kontutan izan aldatu egin dugula konfigurazio fitxategia. Honek esan nahi du, aguneratzerakoan, galdetzen badigu ea berria instalatu bahi dugun, ezezkoa esan behar diogula. Gomendio bezala: eguneratu aurretik, /etc/clamav/clamd.conf fitxategiaren kopia egin.
msrbl eta ClamAV
Nahiz eta ez izan bere lana, birus sinadurez gain, interesantea da beste erraminta batzuk ematea ClamAV-ri. Berteak beste, SPAM-a diren edota birusak dituzten irudien eta fitxategien sinadura digitalak. Holako sistema bat instalatuko dugu. Sinadura fitxategiak deskargatzeko script bat erabiliko dugu. Hona hemen nola descargatu eta instalatu scripta.
wget -P /var/www/lhpaiak http://www.sanesecurity.co.uk/clamav/ss-msrbl.shOrain cron lan bat sortuko dugu, egunero egikaritzeko script-a, fitxategi eguneratuak deskargatzeko. /etc/cron.d/ direktorioan, msrbl-cron izena duen fitxategi bat sortuko dugu. Hona hemen bere edukia:
53 04 * * * /var/lib/clamav/ss-rbl.sh &> /dev/null
Orain cron demonioa berrabiarazi.
/etc/init.d/cron restartFitxategi deskarga rsync bitartez egiten denez, TCP 873 portua gaitu behar dugu suhesian.
Source |
Destination |
Service |
Action |
---|---|---|---|
perimetroko antibirusa / antivirus perimetral |
Internet |
rsync(TCP) (873) |
Accept |
OHARRA: Ongi kontrola ClamAV hasieran. Ezin daiteke fida itsu-itsuan sistema hauetaz. Abisatuta zaude.
MailScanner
MailScanner erabiltzeko, hurrengo aplikazioak behar ditugu instalatuta izan.
PERLSuposatzen da dena instalatuta daukagula, eta beraz aurrera. MailScanner instala dezagun.
apt-get install mailscanner tnefAutomatikoki instalatuko du SpamAssassin.
Konfigurazioa ez da hain automatikoa. Pila bat gauza aldatu behar ditugu /etc/MailScanner/MailScanner.conf fitxategian. Lehenengo, ClamAV-rekin lan egiteko egokituko dugu.
Virus Scanning = yesHau agertu behar da /etc/MailScanner/virus.escanner.conf fitxategian:
Orain, Postfix-ekin lan egiteko aldatuko dugu. Debian-en defektuzko instalazioak suposatzen du Exim4 izango dela posta zerbitzaria. postfix erabiltzailea bezala egikarituko da MailScanner.
MTA = postfixKoarentenan dauden eta sartzear dauden mezuentzat direktorioak sortuko ditugu. Ugazaba aldatuko diegu.
mkdir -p /var/spool/MailScanner/incomingMailScanner-en direktorioen ugazaba aldatuko dugu.
chown postfix:postfix /var/lib/MailScannerOrain, MailScanner-en mezuak konfiguratuko ditugu. Gure eskolaren izena agertu behar da abisu mezuetan. Kontuz izen laburrarekin. Ez jarri ez zuriunerik ( ), ez punturik (.) ez azpilerrorik (_). Izen luzean, '\n' jartzen badugu, lerro jauzia egingo du.
Mezuak gazteleraz eman ditzala esango diogu,
Zenbat segunduro saiatu behar da sarrerako mezuak aztertzen? 6 segunduro esango diogu. Defektuz hola dator.
Esango diogu SpamQssassin erabil dezala, eta spam-a erregistra dezala.
Defektuzko konfigurazioan, MailScanner-ek posta blokeatzen duenean, ez ditu abisatzen bidaltzaileak. Abisa ditzan aginduko diogu. Dena den, ez ditu abisatzen birus bidaltzaileak, gaur egun ez baitu zentzutik.
Postaren egiaztapenaz abisatzeko, dago bat, zein soilik da eragiketa beraren abisua. Hau da: nahiz eta ezer ez bilatu, abisua jartzen du posta mezuan. Hartzailea molestatu baino ez du egiten honek. Kendu egingo dugu. Honela jarriko dugu:
Azkenik, SpamAssassin-en puntuaketak definituko ditugu, eta zer egin. Esango diegu, spam bezala marka ditzala 4 puntutik gorako mezuak. Esango diogu puntuazio altua izan dadila 7 puntutik gora, eta mezu hauek koarentenan jartzeko. Gainera, esango diogu ez aztertzeko 40KBetik gorako mezuak. Spam mezuak ez dira izaten hain potoloak. Honela geratuko dira hurrengo lerroak:
Max SpamAssassin Size = 40kRequired SpamAssassin Score = 4SpamAssassin-ek zerrenda beltzak erabil ditzala ere konfiguratuko dugu. Niri gehien gustatzen zaidan spamhaus erakundearen ZEN zerrenda erabiliko dugu. Hainbat gehiago daude erabilgarri. Ikusi /etc/MailScanner/spam.lists.conf fitxategia. Nahi ditugunak erabil ditzakegu, baina kontutan izan, bere denbora ematen duela egiaztatze bakoitzak, zeren Interneteko zerbitzari batzuetara konektatu behar da. Honela jarri behar da hurrengo lerroa:
Spam List = spamhaus-ZEN
OHARRA: Ez erabili ezgaituta edo abandonatuta dauden zerrendak. Arazoak sor daitezke.
Dena konfiguratu ondoren, erabilpena gaituko dugu. Gainera. aldaketatxo bat egingo dugu. /etc/default/mailscanner fitxategian, hurrengo lerro hauek, horrela geratu behar dira:
q_days=15Orain MailScanner berrabiaraziko dugu.
/etc/init.d/mailscanner startSpamAssassin
Instalatu ondoren, aldaketa txiki batzuk egin behar dizkiogu SpamAssassin-i. Gure erakundeko goi buruak ez-ikus ditzan, bayes analisia egiten duenean, esan behar diogu. Hortarako, /etc/MailScanner/spam.assassin.prefs.conf fitxategian, 116. lerrotik aurrera, unconfigured-debian-site jartzen duen tokian, gure erakundearen izen motza jarri behar dugu. Hain zuzen ere, /etc/MailScanner/MailScanner.conf fitxategian, %org-name% aldagaian jarri genuena. Honela geratuko litzateke:
bayes_ignore_header NireEskola-MailScannerEz dira erabili behar Razor2 eta Pyzor sareask. Hortarako, /etc/MailScanner/spam.assassin.prefs.conf fitxategian, 160. lerro aldera, deskomentatu egingo ditugu lerro batzuk. Horrela geratuko lirateke:
use_razor2 0Beste gauza interesgarri bat. Gaitasuna dauka SpamAssassin-ek, pisu ezberdina emateko hizkuntza ezberdinetako mezuei. Hau da: Hizkuntza batean dagoen mezuari, spam puntuzaio gutxiago emango dio. Euskara eta gaztelera aukeratuko ditugu, zeren spam gehiena ingelesez iristen zaigu. Honela jarri hurrengo lerro hau:
ok_locales eu es
Euskara eta gaztelera hizkuntzak detektatzeko TextCat plugin-a behar da. Plugin hau, gaitu egin behar dugu /etc/spamassassin/v310.pre fitrxategian. Hola geratuko da:
loadplugin Mail::SpamAssassin::Plugin::TextCat
Orain konfiguratuta dago SpamAssassin. Erabilgarri dagoerla adieraziko dugu /etc/default/spamassassin fitxategian. Hurrengo lerroan 1 jarri behar dugu. Honela:
ENABLED=1Ongi dabilela egiaztatuko dugu orain.
spamassassin -p /etc/MailScanner/spam.assassin.prefs.conf --lintEz luke errorerik eman behar.
Orain abiarazi egin dezakegu SpamAssassin.
/etc/init.d/spamassassin startSpamAssassin-ek, arrakasta handiena lortzen du zerrenda beltzen bitartez. Zarranda asko daude. Horietatik asko, /etc/MailScanner/spam.lists.conf fitxategian daude. MailScanner konfiguratzekoan, spamhaus-ZEN aukeratu dugu. Debian errepositorioetan dagoen SpamAssassin bertsioak ez du zerrenda hau. Gaitu egingo dugu. /etc/MailScanner/spam.lists.conf fitxategiaren azkenean, hau gehituko dugu (ez ahaztu azken puntua):
spamhaus-ZEN zen.spamhaus.org.
Listo.
FuzzyOCR eta SpamAssassin
Gaur egun, spam asko irudiez eginak daude. Irudi hauek, testua daukate edukin nagusi bezala. Metodo trasizionalñak ez dute bale spam hau detektatzeko. Irudi hauek aztertzeko OCR bat behar da. FuzzyOCR dugu SpamAssassin.-entzat plugina. Prozesu kapazitatea aurrezteko, aztertutako irudiak gogoratu egiten ditu. Gainera, irudi hauen arteko aldaketa txikiak ere detekta ditzake. Funtzionatzeko, SpamAssassin 3.1.4 edo berriagoa behar dugu.
Instala dezagun. Lehenengo FuzzyOCRk behar dituen paketeak.
apt-get install netpbm gifsicle libungif-bin gocr ocrad libstring-approx-perl libmldbm-perl libmldbm-sync-perlOrain deskargatu egingo dugu FuzzyOCR. Garapen bertsioa da gomendagarriena, bestea oso zaharra baita.
wget -P /var/wwwlhpaiak http://users.own-hero.net/~decoder/fuzzyocr/fuzzyocr-3.5.1-devel.tar.gz
Deskonprimitu eta kopiatu fitxategiak /etc/spamassassin direktoriora.
cd /var/www/lhpaiakKonfigurazioa fitxategia /etc/spamassassin/FuzzyOcr.cf da. Esango diogu, zein fitxategitan dauden, bilatu behar dituen hitzak. Nahi izanez gero, hemen jar ditzakegu nahi ditugun guztiak.
focr_global_wordlist /etc/spamassassin/FuzzyOcr.wordsOrain esango diogu, zein aplikazio laguntzaile erabili. Honela geratu behar da (dena lerro batean):
focr_bin_helper pnmnorm, pnminvert, convert, ppmtopgm, tesseract
Non bilatu aplikazio hauek:
# Search path for locating helper applications
focr_path_bin /usr/local/netpbm/bin:/usr/local/bin:/usr/bin ?????
focr_preprocessor_file /etc/spamassassin/FuzzyOcr.preps
focr_scanset_file /etc/spamassassin/FuzzyOcr.scansets
Gaitu iruidien hash datubasea.
focr_enable_image_hashing 2
focr_digest_db /etc/spamassassin/FuzzyOcr.hashdb
focr_db_hash /etc/spamassassin/FuzzyOcr.db
focr_db_safe /etc/spamassassin/FuzzyOcr.safe.db
Erregistroa non idatzi? /var/log/FuzzyOcr.log fitxategian.
focr_logfile /var/log/FuzzyOcr.logSor dezagun erregistro fitxategia.
touch /var/log/FuzzyOcr.logEtengabeki has ez dadin, biratu egin behar dugu log fitxategia. Hurrengo edukiarekin sortuko dugu /etc/logrotate.d/fuzzyocr fitxategia:
/var/log/FuzzyOcr.log {
rotate 12
weekly
notifempty
compress
delaycompress
create 666 root root
}
Orain SpamAssassin berrabiaraziko dugu. Arazorik? Erroren bat aurki dezakegu. Logger.pm modulua falta bada, agian, izan daiteke ez dugulako bilatzen. Agian beste direktorioa batean daukagu instalatuta. Zuzeneko diraktoriora kopiatuko dugu.
cp /usr/share/perl5/Log/Agent/Logger.pm /usr/share/perl5/Mail/SpamAssassin/Aurki sdezakegun beste arazi bat, Timeout.pm liburutegia da. Ez badaukagu sisteman, SpamAssassin deskargatu behar dugu Internetetik. Bertan aurki dezakegu liburutegi hau.
wget -P /var/www/lhpaiak http://apache.rediris.es/spamassassin/source/Mail-SpamAssassin-3.1.8.tar.gzBeste PERL liburutegi batzuk instlatuko ditugu. Instalazioa CPAN errepositorioetatik egingo dugu. CPAN konfigurazioa eskuz ezarri nahi dugun galdetzen badigu, ezezkoa erantzun.
cpan -i String::Approx Time::HiRes Log::Agent
Proba dezagun ea funtzionatzen duen. FuzzyOCR deskargatu dugun direktorioan zenbait irudu daude adibide gisa.
spamassassin --debug FuzzyOcr < /var/www/lhpaiaki/FuzzyOcr-3.5.1/samples/ocr-gif.eml > /dev/nullDena ongi badago, holako zerbait ikusi behar dugu:
[10025] dbg: FuzzyOcr:Listo! Martxan dugu jada FuzzyOCR!
MailScanner eta Postfix elkarrekin
Esngo diogu Postfix-i egiazta dezala postaren barne-goiburuak, header_checks fitxategian dauden edukinekin. Hortarako, hurrengo hau gehitu /etc/postfix/main.cf fitxategian.
Fitxategi hontan, posta mezu berriak HOLD direktorioan gorde ditzala esango diogu. Hortarako hurrengo lerroa jarriko dugu /etc/postfix/header_checks fitxategian.
MailScanner eta Postfix berrabiaraziko ditugu.
/etc/init.d/mailscanner restartMailScanner-i buruz
MailScanner-en lana ez da soilik antibitus eta antiespan produktuak erabili eta kudeatzea. Arriskutsuak izan daitezkeen edukinak filtratzeko kapazitate handia du. Edukin horiek, .pif, .exe, .scr etab. fitxategiak izaten dira. Word aplikazioaren .DOC fitxategiak makro arriskutsuak eduki ditzakete. Windows-wn WMF (Windows Metafile) fitxategiak 0day.exploit ahulkeriak esplotatzeko erabil daitezke. Beste Windows atakatzeko erabili den fitxategi mota vbat ANI da. Hau da. kurtsore bizidunak. Filtratu egin behar dura.
Hori dela eta, MailScanner-ek pila bat fitxategi blokea ditzake, eta gure erabiltzaileak ez dute ulertuko egunero erabiltzebn duten fitxategi mota baten ariskua. Gure esku dago segurtasun politikak malgutzea. MailScanner-en /etc/MailScanner/filename.rules.conf fitxategian desgaitu ditzakegu behar ditugun formatuak. Honen ondoren, MailScanner barrabiarazi.
Beharrezkoa izan daiteke desgaitzea WMB eta BMT, gure erabiltzaileek, Windows programen irudiak OpenOffice-en .odt fitxategian itsatsirik bidaltzen badituzte.
Toki berean dugu filetype.rules.conf fitxategia. Antzerako funtzionalitatea du fitxategi motekin.
Antibirusaren lehenendo DNS zerbitzarian, beronen izena jarri behar dugu posta zerbitzari bezala (MX erregistroa), posta zerbitzaria baino lehentasun txikiagoarekin. Hau da: zenbaki handiagoarekin.
Suhesian,
NAT egin beharko dugu, baina ez posta zerbitzatrira, baizik eta
perimetroko antibirusa duen zerbitzarira.