Antivirus für Manjaro Linux

Hallo,

ich kenne ClamAV/TK für Linux. Dieser hat keinen On Demand Scanner und keine Planbaren Scans. Außer AV Signaturen/Pattern, ist es also nur Manuell brauchbar.
Eset NOD32 gibt es für andere wie Debian/Ubuntu basierte. Allerdings ist/wird es dieses Jahr eingestellt und für Arch/Manjaro hat es das eh nie gegeben.

Was kann man nehmen um wie bspw. bei ESET und Co. einen On Demand Antivirus Programm zu haben wie es bspw. bei mac/Win vorhanden oder eingebaut ist?

Vielen Dank!

Viele Grüße

Revan335

Das Thema ist nicht neu, und du kannst die üblichen Antworten mit einer Forensuche leicht finden. :wink:

Kurz gesagt:

  • Es gibt kaum Viren für Linux.
  • Die Eingesetzten Scanner werden üblicherweise eingesetzt um Netzwerk shares abzusichern die von Windows-Clients genutzt werden.
  • Linux hat ein ausgefeiltes Rechtesystem und ist deswegen wenig anfällig für Viren :man_shrugging:

Hallo @Revan335 :wink:

Ich frag mal besser nicht, warum du das brauchst. Wird wohl eher so sein, dass du viel mit wine arbeitest und deswegen auf Windows Viren überprüfen willst. (Einen Mail-Server wirst du auf dem Desktop wahrscheinlich nicht haben, wo ClamAV hauptsächlich eingesetzt wird.)

Planer:

On Demand Scan:

grafik

Stimmt schon, aber man beachte das Windows Viren auch wunderbar unter wine funktionieren. Und da wine standardmäßig das Linux Root Verzeichnis sehen kann und nicht beschränkt wird, kann das durchaus zu einen Problem werden.

1 Like

Linux Root Verzeichnis sehen kann und nicht beschränkt wird

@megavolt wie meinst du das? startest du wine mit sudo Rechten? wine kann root sehen, aber das war es dann auch (hoffe ich doch!). ich nutze kein wine, könnte mich daher auch irren.

PS: nutze VM’s ohne antiviren programme, da ein VM backup ist in wenigen minuten wieder hergestellt ist.

1 Like

So wie ich sage: Das gesamte Root Verzeichnis ist lesbar.

Nein :rofl:

Alles was dein Konto kann, ist von wine aus möglich. Bestes Beispiel ist “wannacry” … und schwupps sind deine ganzen wichtigen Dokumente verschlüsselt.

Wenn man jetzt auf dubiosen Seiten surft, um “Geld zu sparen”, dann kann es vorkommen, das man sich sowas einfängt. Aber wie gesagt. Das System an sich kann dann nicht infziert werden, aber sehr wohl all deine wertvollen Dateien im Home-Verzeichnis. Im Prinzip alles worauf wine standardmäßig eine Verlinkung hat.

Lutris und Bottles zum Beispiel habe wine standardmäßig in einer Sandbox, was aber nicht für das Wine aus den Paketquellen gilt.

OK, wie schon gesagt, wine ist nicht so mein Fall, hatte mich nur gewundert wegen root. Da die root dateien in der regel chmod 644 rechte haben, wird ein windoof programm diese nur lesen können. um deine home dateien zu schützen könnte man firejail nutzen? ich nutze firejail z.B. derzeit mit dem browser, der so nur zugriff auf meinem download ordner hat.

1 Like

Könnte man machen, aber in der Regel irgendwie übertrieben für wine, da es bisher keine “wine viren” gibt, werden auch keine linux syscalls ausgeführt.

Mit Sandbox im Fall von Lutris und Bottles ist gemeint, dass einfach die Z:\ Verlinkung zum Rootverzeichnis entfernt wird. Dann kann das Programm nur auf Dateien im Wine Prefix zugreifen.

Ja macht schon Sinn für Fremd-Software, die nicht System relevant ist.

Und schwupps ein Rollback mit btrfs und snapper und weg ist der Datenmüll.
:wink:
Das Verschlüsseln ist auffällig, weil es starke Last erzeugt, und weil es zwangsweise massenhaft schlecht komprimierbare neue Dateien erzeugt :wink: (Was enorm Platz auf der Platte verbrauchen wird)

Läuft dieser Planer auch, wenn der PC nicht an war. Also sobald er wieder eingeschaltet ist? Es ist ja nicht sicher wann der PC immer läuft.

Also scannt er schon bspw. wenn man Dateien runterlädt/öffnet wie bspw. unter Win …? Oder wird das als Echtzeitschutz betitelt?

Dachte das dies ClamAV noch nicht hat und man dies manuell starten muss, wie bspw. ein Full/Fast … Scan.

Ja, es sind auch Win Clients im Netz oder als VM vorhanden.

Korrekt, Mailserver hab ich nicht.

Clamtk verwendet hier crontab. Es wird nur zur besagten Zeit ausgeführt.

Das nennt sich hier “OnAccessScan”, siehe hier: ClamAV - ArchWiki aber es ist relativ unreif und hat Bugs. Für den Produktiveinsatz eher nicht geeignet.


Praktisch, wenn du es wirklich verwenden willst, dann lass es von systemd timer starten, sodass dieser in in Abständen die Dateien scannt.

Wie gesagt, hauptsächlich wird ClamAV auf Mail-Servern oder Fileservern verwendet, die dauerhaft laufen, wo dann die Verzeichnisse in Abständen überprüft werden.

snapper -c home create erstellt standardmäßig einen neuen Snapshot im Verzeichnis /home/.snapshots/.

Baumstruktur von Snapshots in Home:

├── @home/
│  └── Username
│  └── .snapshots/
              ├── 1/
              │   └── snapshot/
              │           ├── Username
              │           └── .snapshots/
              ├── 2/ 
               ...

Ich wundere mich, ob alle Snapshots von Virus wie WannaCry durch Rekursionsalgorithmus beschädigt werden können?

Ich denke, der beste Weg ist, alle Snapshots sollen in @snapshots als ein neues Subvolume auf der ersten Ebene liegen, nicht in @home, das wird von Virus angegriffen.

├── @/
│  └── ....
├── @home/
│  └── ....
├── @snapshots/
│  └── home/...
│  └── root/...

Snapshots verdienen den Namen nur, wenn sie auch readonly sind.

Bei Btrfs (mit snapper) werden Snapshots automatisch readonly angelegt. (Außer du wählst selbst was anderes.) Da kann man nix verschlüsseln oder löschen.

Um das zu ändern mußt du root sein. Dann kannst du aber auch einfach die rohe Platte mit nullen füllen. :wink:
Also kein Ersatz für ein Backup, aber ansonsten ganz gut.
https://wiki.manjaro.org/index.php/Btrfs

1 Like

Stimmt.
Es geht auch um die Verbreitung.
Sprich verseuchte Anhänge nicht einfach so weiter zu leiten.

Die Verbreitung kommt daher:
Unter windofs gibt es bestimmt eine 3-stellige Anzahl Methoden eine Datei ausführbar zu machen.

  • Das fängt mit unzähligen Autostartoptionen für Disketten, CDs, MBR, … an
  • und hör bei beliebten Programmen mit Makrofunktion (Die dann wieder Programme starten kann) noch nicht auf.
  • Es gibt unzählige Stellen im Dateisystem wo man was ablegen kann, das wenn es den “richtigen” Namen hat zu einem bestimmten Zeitpunkt ausgeführt wird. (mit Systemrechten)
  • Und natürlich gehört die passende Dateiendung (harmloser_text.txt.exe) auch dazu. Die wird von Windof dann auch brav noch vor dem Benutzer versteckt, so dass er die Gefahr gar nicht wahr nehmen kann!

Das ist systematisch Problembehaftet !

Ich meinte die Verbreitung (weiterleiten der Verseuchten Anhänge) mittels Linuxrechner. Der Rest sind Win Probleme.