Grundsätzliche Fragen zur Verwendung von Clamav

19/02/2008 - 07:59 von Peter Schütt | Report spam
Hallo,
bisher habe ich mein Debian-Lenny-System mit KDE 3.5 hinter einem Router
weder mit Virenscanner noch mit Firewall gesichert.
Eine Firewall finde ich bisher für mich nicht sinnvoll.
Ganz anders ist es mit dem Virenscanner.
Clamav habe ich installiert und es wird auch immer aktualisiert, aber
irgendwie muß ich es doch auch so einbinden, daß es die Dateien prüft, die
auf meine Kiste kommen.

Zum einen wàren es meine Mails.
Zur Zeit verwende ich Thunderbird mit IMAP, plane aber die Umstellung auf
K-Mail. Hierbei wàre auch eine Prüfung auf Windows-Viren sinnvoll.

Dann gibt es noch Dateien, die ich über verschiedene Browser (IceWeasel,
Kazehakase, Galeon, Epiphany) herunterlade. Auch hier wàre eine zusàtzliche
Prüfung auf Windows-Viren sinnvoll.
Hierzu fànde ich eine Überwachung des Cache-Verzeichnisses der einzelnen
Browser auf neue Dateien für sinnvoll.

Natürlich wàre es nicht so schön, wenn dauernd im Hintergrund ein Dienst
làuft, der immer alle Dateien in einem Verzeichnis prüft.
Sinnvoll wàre es, wenn die Prüfung nur bei Änderungen angestoßen wird (neue
Mail, neue Datei heruntergeladen).

Und zu guter letzt muß man irgendwie noch explizit Dateien prüfen können,
die man mittels USB-Stick oder Wechseldatentràger auf seinen Rechner holt.
Dazu wàre es sinnvoll, wenn Hal das automatisch zur Auswahl anbieten würde.

Wie macht ihr das so?
Oder bin ich zu paranoid?

Ciao
  Peter Schütt

www.pstt.de

Die E-Mail-Adresse funktioniert, kann aber u.U. in Zukunft mal abgeschaltet
werden. Ohne "_remove_this_" wird sie auch in Zukunft noch funktionieren.
 

Lesen sie die antworten

#1 Heiko Schlenker
19/02/2008 - 13:50 | Warnen spam
* Peter Schütt schrieb:

Clamav habe ich installiert und es wird auch immer aktualisiert, aber
irgendwie muß ich es doch auch so einbinden, daß es die Dateien prüft, die
auf meine Kiste kommen.

Zum einen wàren es meine Mails.



Mein lokaler Mailserver bindet ClamAV via amavisd-new ein,
quasi zur Erweiterung des Spam-Filters.
Passende Newsgroups:
de.comm.software.mailserver
de.comp.security.virus

Zur Zeit verwende ich Thunderbird mit IMAP, plane aber die
Umstellung auf K-Mail. Hierbei wàre auch eine Prüfung auf
Windows-Viren sinnvoll.



Passende Newsgroups:
de.comm.software.mozilla.mailnews
de.comm.software.mailreader.misc
de.comp.os.unix.apps.kde
de.comp.security.virus

Dann gibt es noch Dateien, die ich über verschiedene Browser
(IceWeasel, Kazehakase, Galeon, Epiphany) herunterlade. Auch hier
wàre eine zusàtzliche Prüfung auf Windows-Viren sinnvoll.



Lokalen HTTP-Proxy aufsetzen, der Inhalte filtern, also auch einen
Virenscanner einbinden kann.
Passende Newsgroups:
de.comp.os.unix.networking.misc
de.comm.software.webserver
de.comp.security.virus

Natürlich wàre es nicht so schön, wenn dauernd im Hintergrund ein
Dienst làuft, der immer alle Dateien in einem Verzeichnis prüft.



Sog. On-Access-Virenscanner sind gar nicht schön, da sie erstens
alltàgliche Arbeitsablàufe stören und zweitens Ressourcen en masse
verbraten.

Oder bin ich zu paranoid?



Ja. Deine Maßnahmen zielen auf Symptombekàmpfung ab. Der Knackpunkt
ist: Wenn ein On-Access-Virenscanner anschlàgt, dann haben die
Sicherheitsrichtlinien offensichtlich versagt. Der Schàdling hàtte
nàmlich gar nicht soweit, bis zum Sekundàrspeicher, vordringen
können dürfen.

Zudem scheinst Du den Nutzen eines Virenscanners zu überschàtzen. Er
mag vielleicht alte, ihm bekannte Schàdlinge finden, gegen neue hat
er aber praktisch keine Chance. Findet ein Virenscanner nichts, dann
heißt das noch lange nicht, dass die untersuchten Daten unbedenklich
sind. In Zeiten des Internet verbreiten sich Schàdlinge schneller
als die Virenscannerhersteller die jeweilige Virensignaturdatenbank
aktualisieren können. Und schlàgt er Alarm, dann bedeutet das nicht,
dass tatsàchlich ein Schàdling vorhanden ist (Stichwort Fehlalarm
(false positive)).

Passende Newsgroups:
de.comp.security.virus
de.comp.security.misc

Gruß, Heiko
Neu im Usenet? -> http://www.kirchwitz.de/~amk/dni/
Linux-Anfànger(in)? -> http://www.dcoul.de/infos/
Fragen zu KDE/GNOME? -> de.comp.os.unix.apps.{kde,gnome}
Passende Newsgroup gesucht? -> http://groups.google.com/groups?as_umsgid=

Ähnliche fragen