aktualności
Transcription
aktualności
Fiche technique aktualności linuxfresh ClamTk – scanner anti-virus Jean-Pierre Féval L a première idée qui nous vient en tête après avoir entendu les mots « scanner anti-virus pour Linux » est – « pourquoi faire ? Linux n'est pratiquement pas vulnérable aux virus »... C'est vrai, mais souvent Linux est utilisé comme serveur de fichiers ou de messagerie pour des clients fonctionnant sous Windows. Il peut aussi coexister avec le système de Redmond sur le même ordinateur. Et dans ce cas, un programme anti-virus peut s'avérer fort utile. À l’origine, le programme ClamAV a été prévu pour scanner le courrier passant par le serveur de messagerie à la recherche des virus et des vers Internet, mais il peut être également utilisé pour scanner des fichiers spécifiques ou des répertoires entiers sur le disque dur (y compris le contenu des archives). Quant à ses avantages, on peut énumérer le code ouvert, la gratuité et le temps de réaction très court en cas d'apparition de nouveaux virus (grâce à la collaboration de plusieurs utilisateurs). Vu que la ligne de commande n'est pas toujours commode pour tous les utilisateurs, il existe quelques interfaces graphiques, comme par exemple ClamTk. Cette interfaceconvient parfaitement aussi bien à la mise à jour de la base de virus (et plus précisément, leurs signatures) qu'au scanning du disque dur. Avec Aurox et des distributions de même type, l'installation ne pose pas de problèmes, bien qu'il faille satisfaire à certaines dépendances. Outre le paquet RPM créé par l'auteur, la version est disponible dans le référentiel DAG. Bien sûr, il est nécessaire d'installer aussi le programme ClamAV en tant que tel (les paquets clamav et clamav-db). Ils sont à télécharger à partir du référentiel DAG, de même que d'autres paquets indispensables : perl-File-FindRule, perl-Number-Compare, perl-Text-Glob et perl-Gtk2. Ce dernier paquet est fourni avec Aurox, mais il est préférable d'en installer une version plus récente. À partir de ce même référentiel, il est possible de télécharger les paquets Rar ou Unrar, ce Figure 1. Le scanning d'un grand nombre de fichiers peut prendre un peu de temps 40 Linux+ 8/2005 qui permettra au scanneur d'analyser le contenu des archives RAR. L'interface ClamTk peut être démarrée après la sélection de l'option appropriée du menu ou en tapant la commande clamtk. Si une erreur « :locale_h » is not exported by the POSIX module se produit, le plus simple est d'éditer le fichier /usr/bin/clamtk et d'y retrouver la onzième ligne contenant le texte : use POSIX qw/strftime locale_h/; Il suffit de changer de place des mots strftime et locale_h, pour que le programme démarre correctement. La ligne se présentera alors ainsi : use POSIX qw/locale_h strftime/; Au début, il est conseillé de mettre à jour la base de signatures. Pour cela, il faut lancer ClamTk avec les droits root. Dans le menu Help l'option Signature Date permet de vérifier quelle est la date de la base de signatures installée. À l'aide de l'option Update Signatures , elle peut être mise à jour. Pour le fonctionnement normal, les droits d’un utilisateur ordinaire sont suffisants. Il est important d'avoir les droits sur les fichiers scannés. Au début, il est recommandé de vérifier comment réagira le programme après avoir trouvé un fichier infecté. Par défaut, il ne fait rien, hormis l'affichage des informations dans la fenêtre principale du programme. Mais on peut changer cela dans le menu Take This Action. On peut, par exemple, isoler le fichier (Quarantine) ou le supprimer (Delete). La dernière option doit être employée avec précaution car le programme n'est pas infaillible et peut se tromper. Il est possible d'enregistrer les informations sur les scannings effectués. Malheureusement, seule la date de scanning, le nombre de signatures et de fichiers scannés FRESH et les informations sur les virus détectés sont enregistrés. Mais il est impossible de savoir quels répertoires ont été scannés. Pour activer la journalisation, il suffit d'appuyer sur la touche [F1] ou de sélectionner l'option appropriée dans le menu Scan Options. Les fichiers du journal sont enregistrés dans le répertoire ~/.clamtk/history/ – leurs noms correspondent à la date du scanning. Ensuite, ils sont consultables à l'aide de l'option View–>View Histories. S'ils deviennent inutiles, on peut les supprimer par View–>Delete Histories. Hormis la journalisation, deux autres options de scanning sont encore disponibles. Il s'agit du scanning des fichiers masqués (dont le nom commence par un point), activé à l'aide de la touche [F2], et de l'affichage dans la fenêtre principale des noms de tous les fichiers scannés, et pas seulement ceux qui sont infectés (activation par la touche [F3]). Trois méthodes de scanning sont disponibles. On peut scanner un fichier simple (avec la combinaison de touches [Ctrl]+[F]), un répertoire (combinaison [Ctrl]+[D]), et récursivement le répertoire ([Ctrl]+[R]). Pendant la sélection du répertoire à scanner, il faut faire attention de ne pas y accéder – s'il contient des sous-répertoires, il sera scanné comme secondaire. Le scanning récursif des répertoires d'une taille importante peut durer un peu de temps. Il ne faut pas s'inquiéter quand le programme donne parfois l'impression d'être gelé – si la diode du disque dur clignote, probablement il est probablement en train d'ana- lyser une archive ou un fichier d'archive. Les opérations effectuées par ClamTk en cas de détection d'un fichier infecté, dépendent des options ci-dessus. Par défaut, le programme se limite à informer l'utilisateur sur ce fait par un message dans la fenêtre principale. Si l'on a choisi par défaut la quarantaine, en plus du message d'information, le fichier infecté est transféré vers le répertoire ~/.clamtk/viruses/, et le suffixe .VIRUS est ajouté à son nom. On peut vérifier le nombre de fichiers mis en quarantaine à l'aide de l'option Quarantine –>Status. Si un fichier est une fausse alarme, il faut le restaurer dans le répertoire source manuellement – hélas, ClamTk ne possède pas une telle fonctionnalité. Les autres fichiers peuvent être supprimés au moyen de l'option Quarantine–> Empty. Quand on utilise les programmes antivirus, il ne faut pas oublier qu'il n'existe pas de programme parfait. Pour s'assurer une meilleure protection, il faut utiliser deux scanneurs anti-virus indépendants. Cela concerne, en particulier, les serveurs de messagerie, mais c'est une bonne solution aussi pour les ordinateurs personnels. Dans la version récente du programme ClamTk, la modification la plus importante est l'ajout des tests de la connexion réseau avant le démarrage de la mise à jour des signatures. Cela permet d'éviter le figeage du programme au cas de problèmes de connexion. Quelques petites corrections ont été également introduites. News Logwatch 6.1 Logwatch est un programme responsable de l'analyse des journaux système de la génération des rapports. Lancé à des intervalles de temps déterminées, il fournit des rapports très utiles à chaque administrateur système. La version récente contient beaucoup de corrections et d'amélio rations. L'option –range a été améliorée, de nouveaux services ont été ajoutés : audit, sonicwall et zz-network. De plus, on a ajouté l'option --numeric permettant de bloquer certaines requêtes DNS. Gujin 1.1 Gujin semble une alternative très intéressante aux programmes LILO et GRUB. Ce gestionnaire de démarrage (boot loader) tente d'analyser lui-même les partitions bootables disponibles (pas seulement celles de Linux, mais aussi celles de la famille BSD, MS-DOS, Windows et autres) et affiche un menu graphique à partir duquel il est possible de sélectionner le système à démarrer. Son avantage est qu'il détecte seul les images du noyau se trouvant dans le répertoire /boot, donc après l'installation, il ne faut pas reconfigurer le bootloader. La version récente contient, avant tout, les corrections des erreurs trouvées. TCP/IP Connection Cutter 1.03 Chaque administrateur réseau doit ajouter ce programme intéressant, à ses outils. Il permet d'interrompre les connexions TCP/IP passant par un parefeu basé sur IPtables. Le détail intéressant : la connexion est fermée de façon à ce que chaque participant à la connexion soit convaincu que celle-ci a été interrompue par un autre. Évidemment, il ne faut pas utiliser cet outil pour ennuyer d'autres utilisateurs, mais dans des cas justifiés. Dans la nouvelle version, le mécanisme d'analyse des fichiers dans le répertoire /proc/net/ a été amélioré. Grâce à cela, le programme peut coopérer avec un plus grand nombre de versions du noyau et avec les options conntrack. Blueflops 2.0.10 Blueflops est une distribution, occupant deux disquettes, qui contient le navigateur Links et le client IRC – Tirc. Le noyau contient la plupart des pilotes de cartes réseau compilés en tant que modules et la gestion du PPP. La nouvelle version comprend une traduction hollandaise. La version du noyau a été élevée jusqu'à 2.6.11.9, et Syslinux est mis à jour sur la version 3.08-pre11. Figure 2. Il est recommandé de mettre à jour les signatures des virus parce que chaque jour il y en a de nouveaux www.lpmagazine.org 41