heyheytower

日々のメモです。誰かのお役に立てれば幸いです。

Ubuntu12.04 で "Sophos Anti-Virus for Linux" を使ってみる

目次

目的

"Sophos Anti-Virus for Linux" を Ubuntu12.04 にインストールし、各種設定変更を行う。

方法

インストールは下記サイトを参考にさせていただきました。
Sophos Anti-Virus for Linuxを使う - 雑木林

インストール

tgz ファイルダウンロード後は下記コマンドを実行しました。

$ tar zxvf sav-linux-free-9.9.tgz
$ sudo sophos-av/install.sh
$ sudo /opt/sophos-av/bin/savupdate

動作確認

下記コマンドを実行すると "テスト用ウイルス様ファイル" のダウンロードが行われ、それによりウイルスを検知しポップアップが生じました。

$ wget http://files.trendmicro.com/products/eicar-file/eicar.com

Sophos Anti-Virus 警告!
Pic.1 "Sophos Anti-Virus" の警告

ログも確認します。

$ sudo /opt/sophos-av/bin/savlog
[sudo] password for ito: 
日時                     カテゴリ                 イベント
〜略〜
20150623225527秒: log.threat           脅威が /home/ito/eicar.com で検出されました: EICAR-AV-Test (閉じる)(ファイルはまだ感染しています。)

設定変更

OS 起動時の "Sophos Anti-Virus for Linux" 自動起動

下記コマンドを実行する。

sudo /opt/sophos-av/bin/savdctl enableOnBoot savd

※自分の環境では "sudo /opt/sophos-av/bin/savdctl enableOnBoot savd" 実行後も systemV の起動設定が反映されてなさそうだったので、 "sudo sysv-rc-conf" で "sav-protect" の 2:on、3:on、4:on、5:on 自動起動設定を行った。(2015/06/28 追記)

メール宛先・メールサーバの設定変更

sudo /opt/sophos-av/bin/savconfig set Email test@testmail.jp
sudo /opt/sophos-av/bin/savconfig set EmailServer targethost:25

アップデート間隔の変更

sudo /opt/sophos-av/bin/savconfig set UpdatePeriodMinutes 120

エラー対策1(検索の対象から特定ファイルを除外)

OS 再起動時に、"/var/log/daemon.log" に下記出力がありました。

Jun 24 01:16:01 calc0 savd: Error detected: 0x3c: Unable to write to talpa socket in /var/log/ntp.log
Jun 24 01:16:01 calc0 savd: Error detected: 0x3c: Unable to write to talpa socket in /run/ntpd.pid

また、"sudo /opt/sophos-av/bin/savlog" を実行した結果のログには下記出力がありました。

2015年06月24日 01時16分01秒: log.error            /var/log/ntp.log を検索中、エラーが発生しました: 0x3c: Unable to write to talpa socket (閉じる)。 (操作は拒否されました。)
2015年06月24日 01時16分01秒: log.error            /run/ntpd.pid を検索中、エラーが発生しました: 0x3c: Unable to write to talpa socket (閉じる)。 (操作は拒否されました。)

これに対しては、下記を設定し検索の対象から当該ファイルを除外しました。

sudo /opt/sophos-av/bin/savconfig add ExcludeFilePaths /var/log/ntp.log
sudo /opt/sophos-av/bin/savconfig add ExcludeFilePaths /run/ntpd.pid

エラー対策2(検索の対象から特定ディレクトリを除外)

OS 再起動時に、"/var/log/kern.log" に下記出力がありました。

Jun 23 22:42:52 calc0 kernel: [  863.182817] talpa: Failed to open a  directory /home/ito/.gvfs: -13
Jun 23 22:42:52 calc0 kernel: [  863.182832] talpa: Failed to open a  directory /home/ito/gdrive: -13

これは google ドライブ共有のため、"google-drive-ocamlfuse" で使っていたディレクトリでした。

上記に対しては、下記を設定し検索の対象から当該ディレクトリを除外しました。

sudo /opt/sophos-av/bin/savconfig add ExcludeFileOnGlob '/home/ito/gdrive/*'
sudo /opt/sophos-av/bin/savconfig add ExcludeFileOnGlob '/home/ito/.gvfs/*'

エラー対策3(調査中)

"/var/log/kern.log" に下記出力がありました。

Jun 24 22:34:50 calc0 kernel: [ 2006.789087] talpa-vfshook: atomic_open exit 1

上記に関してはWEBにも情報が少なく、発生タイミングも分からず他にログ出力もないため、対策につき調査中です。

参考
Several asophos-av problems - SophosFreeTalk community

所感

最新版ではないかもですが、下記ドキュメントを参考に設定を行いました。
Sophos Anti-Virus for Linux 環境設定ガイド

ソフォスさん、今後使い続けるかは分かりませんが、ありがたく使わせてもらいます。

以上。