aktualności

Fiche technique
aktualności
linuxfresh
ClamTk
– scanner anti-virus
Jean-Pierre Féval
L
a première idée qui nous vient
en tête après avoir entendu les
mots « scanner anti-virus pour
Linux » est – « pourquoi faire ?
Linux n'est pratiquement pas vulnérable
aux virus »... C'est vrai, mais souvent
Linux est utilisé comme serveur de fichiers ou de messagerie pour des clients
fonctionnant sous Windows. Il peut aussi
coexister avec le système de Redmond sur
le même ordinateur. Et dans ce cas, un programme anti-virus peut s'avérer fort utile.
À l’origine, le programme ClamAV a été
prévu pour scanner le courrier passant par
le serveur de messagerie à la recherche des
virus et des vers Internet, mais il peut être
également utilisé pour scanner des fichiers
spécifiques ou des répertoires entiers sur le
disque dur (y compris le contenu des archives). Quant à ses avantages, on peut énumérer le code ouvert, la gratuité et le temps
de réaction très court en cas d'apparition de
nouveaux virus (grâce à la collaboration de
plusieurs utilisateurs). Vu que la ligne de
commande n'est pas toujours commode
pour tous les utilisateurs, il existe quelques
interfaces graphiques, comme par exemple
ClamTk. Cette interfaceconvient parfaitement aussi bien à la mise à jour de la base
de virus (et plus précisément, leurs signatures) qu'au scanning du disque dur.
Avec Aurox et des distributions de
même type, l'installation ne pose pas de
problèmes, bien qu'il faille satisfaire à certaines dépendances. Outre le paquet RPM
créé par l'auteur, la version est disponible
dans le référentiel DAG. Bien sûr, il est
nécessaire d'installer aussi le programme
ClamAV en tant que tel (les paquets clamav
et clamav-db). Ils sont à télécharger à partir
du référentiel DAG, de même que d'autres
paquets indispensables : perl-File-FindRule, perl-Number-Compare, perl-Text-Glob
et perl-Gtk2. Ce dernier paquet est fourni
avec Aurox, mais il est préférable d'en
installer une version plus récente. À partir
de ce même référentiel, il est possible de
télécharger les paquets Rar ou Unrar, ce
Figure 1. Le scanning d'un grand nombre de fichiers peut prendre un peu de temps
40
Linux+ 8/2005
qui permettra au scanneur d'analyser le
contenu des archives RAR.
L'interface ClamTk peut être démarrée
après la sélection de l'option appropriée du
menu ou en tapant la commande clamtk.
Si une erreur « :locale_h » is not exported by
the POSIX module se produit, le plus simple
est d'éditer le fichier /usr/bin/clamtk et d'y
retrouver la onzième ligne contenant le
texte :
use POSIX qw/strftime locale_h/;
Il suffit de changer de place des mots strftime et locale_h, pour que le programme
démarre correctement. La ligne se présentera alors ainsi :
use POSIX qw/locale_h strftime/;
Au début, il est conseillé de mettre à jour la
base de signatures. Pour cela, il faut lancer
ClamTk avec les droits root. Dans le menu
Help l'option Signature Date permet de vérifier quelle est la date de la base de signatures installée. À l'aide de l'option Update
Signatures , elle peut être mise à jour.
Pour le fonctionnement normal, les
droits d’un utilisateur ordinaire sont suffisants. Il est important d'avoir les droits
sur les fichiers scannés. Au début, il est
recommandé de vérifier comment réagira
le programme après avoir trouvé un fichier
infecté. Par défaut, il ne fait rien, hormis
l'affichage des informations dans la fenêtre
principale du programme. Mais on peut
changer cela dans le menu Take This Action.
On peut, par exemple, isoler le fichier
(Quarantine) ou le supprimer (Delete). La
dernière option doit être employée avec
précaution car le programme n'est pas
infaillible et peut se tromper.
Il est possible d'enregistrer les informations sur les scannings effectués. Malheureusement, seule la date de scanning, le
nombre de signatures et de fichiers scannés
FRESH
et les informations sur les virus détectés
sont enregistrés. Mais il est impossible de
savoir quels répertoires ont été scannés.
Pour activer la journalisation, il suffit d'appuyer sur la touche [F1] ou de sélectionner
l'option appropriée dans le menu Scan
Options. Les fichiers du journal sont enregistrés dans le répertoire ~/.clamtk/history/
– leurs noms correspondent à la date du
scanning. Ensuite, ils sont consultables
à l'aide de l'option View–>View Histories.
S'ils deviennent inutiles, on peut les supprimer par View–>Delete Histories.
Hormis la journalisation, deux autres
options de scanning sont encore disponibles.
Il s'agit du scanning des fichiers masqués
(dont le nom commence par un point),
activé à l'aide de la touche [F2], et de l'affichage dans la fenêtre principale des noms
de tous les fichiers scannés, et pas seulement ceux qui sont infectés (activation par
la touche [F3]).
Trois méthodes de scanning sont disponibles. On peut scanner un fichier simple
(avec la combinaison de touches [Ctrl]+[F]),
un répertoire (combinaison [Ctrl]+[D]), et
récursivement le répertoire ([Ctrl]+[R]).
Pendant la sélection du répertoire à scanner, il faut faire attention de ne pas y accéder – s'il contient des sous-répertoires, il
sera scanné comme secondaire.
Le scanning récursif des répertoires
d'une taille importante peut durer un peu de
temps. Il ne faut pas s'inquiéter quand le programme donne parfois l'impression d'être
gelé – si la diode du disque dur clignote, probablement il est probablement en train d'ana-
lyser une archive ou un fichier d'archive. Les
opérations effectuées par ClamTk en cas de
détection d'un fichier infecté, dépendent des
options ci-dessus. Par défaut, le programme
se limite à informer l'utilisateur sur ce fait par
un message dans la fenêtre principale. Si l'on
a choisi par défaut la quarantaine, en plus du
message d'information, le fichier infecté est
transféré vers le répertoire ~/.clamtk/viruses/,
et le suffixe .VIRUS est ajouté à son nom. On
peut vérifier le nombre de fichiers mis en
quarantaine à l'aide de l'option Quarantine
–>Status. Si un fichier est une fausse alarme,
il faut le restaurer dans le répertoire source
manuellement – hélas, ClamTk ne possède
pas une telle fonctionnalité. Les autres
fichiers peuvent être supprimés au moyen
de l'option Quarantine–> Empty.
Quand on utilise les programmes antivirus, il ne faut pas oublier qu'il n'existe pas
de programme parfait. Pour s'assurer une
meilleure protection, il faut utiliser deux
scanneurs anti-virus indépendants. Cela
concerne, en particulier, les serveurs de
messagerie, mais c'est une bonne solution
aussi pour les ordinateurs personnels.
Dans la version récente du programme
ClamTk, la modification la plus importante
est l'ajout des tests de la connexion réseau
avant le démarrage de la mise à jour des
signatures. Cela permet d'éviter le figeage
du programme au cas de problèmes de
connexion. Quelques petites corrections
ont été également introduites.
News
Logwatch 6.1
Logwatch est un programme responsable de l'analyse des journaux système de la génération des rapports.
Lancé à des intervalles de temps
déterminées, il fournit des rapports
très utiles à chaque administrateur
système. La version récente contient
beaucoup de corrections et d'amélio
rations. L'option –range a été améliorée, de nouveaux services ont été ajoutés : audit, sonicwall et zz-network. De
plus, on a ajouté l'option --numeric
permettant de bloquer certaines requêtes DNS.
Gujin 1.1
Gujin semble une alternative très intéressante aux programmes LILO et GRUB.
Ce gestionnaire de démarrage (boot
loader) tente d'analyser lui-même les
partitions bootables disponibles (pas
seulement celles de Linux, mais aussi
celles de la famille BSD, MS-DOS,
Windows et autres) et affiche un menu
graphique à partir duquel il est possible de sélectionner le système à démarrer. Son avantage est qu'il détecte seul
les images du noyau se trouvant dans
le répertoire /boot, donc après l'installation, il ne faut pas reconfigurer le
bootloader. La version récente contient,
avant tout, les corrections des erreurs
trouvées.
TCP/IP Connection Cutter 1.03
Chaque administrateur réseau doit ajouter ce programme intéressant, à ses
outils. Il permet d'interrompre les connexions TCP/IP passant par un parefeu basé sur IPtables. Le détail intéressant : la connexion est fermée de façon
à ce que chaque participant à la connexion soit convaincu que celle-ci
a été interrompue par un autre. Évidemment, il ne faut pas utiliser cet
outil pour ennuyer d'autres utilisateurs, mais dans des cas justifiés.
Dans la nouvelle version, le mécanisme
d'analyse des fichiers dans le répertoire /proc/net/ a été amélioré. Grâce
à cela, le programme peut coopérer
avec un plus grand nombre de versions du noyau et avec les options conntrack.
Blueflops 2.0.10
Blueflops est une distribution, occupant
deux disquettes, qui contient le navigateur Links et le client IRC – Tirc.
Le noyau contient la plupart des
pilotes de cartes réseau compilés en
tant que modules et la gestion du PPP.
La nouvelle version comprend une
traduction hollandaise. La version du
noyau a été élevée jusqu'à 2.6.11.9, et
Syslinux est mis à jour sur la version
3.08-pre11.
Figure 2. Il est recommandé de mettre à jour les signatures des virus parce que chaque jour
il y en a de nouveaux
www.lpmagazine.org
41