Здавалося ти хоч раз питанням, чи потрібен антивірус для Linux? Чимало списів було зламано в нескінченних суперечках, і ось, відповідь, начебто, очевидна - звичайно ж, потрібен! Але тільки якщо треба шукати віндовий віруси.
Здавалося б, можна вважати за аксіому, що якщо на платформі є віруси - то потрібен і антивірус. Але з Linux не все так просто. Так, віруси під Linux є, але в 99% випадків - це хробаки, які вміють експлуатувати одну-єдину уразливість в конкретному сервісі і, як правило, конкретному дистрибутиву (тому що версія сервісу, налаштування, та й параметри компіляції змінюються від дистрибутива до дистрибутива) . Гарним доказом цього факту може служити, наприклад, Linux.Ramen (що використовує уразливість в wu-ftpd на Red Hat 6.2 та 7.0), макрочервь Badbunny для OpenOffice або той же хробак Морріса.
Проте практично у кожного виробника антивірусів є версія під Linux. Правда, найчастіше це версія для поштового сервера, шлюзу або загального файлосховищах, для захисту віндовий клієнтів. Але останнім часом почала зростати кількість антивірусів для Linux-десктопа. І виробники відповідних продуктів лякають "прибувають в геометричній прогресії кількістю малварі під Linux". Використовувати чи ні антивірус на Linux-десктопі - особиста справа кожного. Як на мене - так поки популярність Linux на десктопах не перевищила 1-2%, і виробники популярних дистрибутивів своєчасно випускають security-апдейти - боятися нічого. Але бувають ситуації, коли треба перевірити гвинт з віндою на віруси або флешку перед тим, як віддати кому-небудь. У таких випадках і може стати в нагоді антівірь під Linux.
Взагалі, тестування антівірь - справа невдячна, оскільки якогось об'єктивного тесту не існує, і всі дуже сильно залежить від тестового набору вірусів (чим з успіхом користуються виробники, періодично виносячи на суд громадськості тести, незаперечно доводять, що їх антивірус "самий-самий "). Так як у всіх лінуксових антивірусах бази і ядро ідентичні віндовий версії, можна сміливо оцінювати ефективність антивірусів під Linux за тестами віндовий версій.
Платно
За більшість подібних антивірусів виробники просять гроші. Якщо антивірус робився з прицілом на корпоративних клієнтів, він і коштувати буде непоганих грошей. Але якщо антівірь потрібен "на пару раз", то можна обійтися і тріальний ліцензією (благо, більшість виробників її надають).
Огляд почну з Dr.Web для Linux, тому що у квітні вийшла "революційна" версія під номером 6 з новими цікавими можливостями і графічним інтерфейсом. Є підтримка як 32 -, так і 64-бітових дистрибутивів. Установка елементарна - з офіційного сайту завантажується. Run-файлик, при запуску якого з'являється графічний інсталятор. Після пари натискань кнопки "Далі" продукт буде встановлений. Якщо ліцензійного ключа поки немає, то під час установки можна запитати з сервера компанії демо-ключ на 30 днів (демо-ключ можна виконувати не частіше 1 разу на 4 місяці). Після встановлення в меню Gnome з'явиться пункт "DrWeb" (з двома підпунктами: запуск антивіруса і його видалення), а в треї з'явиться симпатична, але не дуже відповідна під дефолтну убунтовскую тему іконка, що символізує роботу файлового монітора.
CLI-сканер теж є, для сканування поточного каталогу запускається так:
$ / Opt / drweb / drweb. /
Якщо ругнется відсутній файл з ключем, то запускати із зазначенням ini-файлу, наприклад:
$ / Opt / drweb / drweb-ini = / home/adept/.drweb/drweb32.ini. /
Разом, за 799 рублів на рік користувач отримає антивірус з графічним (GTK) і CLI інтерфейсом, інтеграцією з DE, антивірусним сканером і монітором, перевіряючим файли при зверненні до них. З огляду на загальний з версією під вінду ядро і бази - досить вигідна пропозиція для тих, кому для спокійного сну потрібен платний антивірус для Linux-десктопа.
На відміну від Dr.Web, в Лабораторії Касперського вважають, що домашньому Linux-користувачу антивірус зовсім не потрібен. А от у корпоративному секторі може і стати в нагоді. Тому Антивірус Касперського для Linux Workstation не можна купити окремо, тільки в складі Kaspersky Total Space Security, Kaspersky Enterprise Space Security, Kaspersky Business Space Security або Kaspersky Work Space Security (тобто, від 7700 рублів на рік). Оновлюється версія під Linux не дуже активно - останній реліз (5.7.26) був аж у жовтні 2008. На сайті доступні deb і rpm, заявлена підтримка як 32 -, так і 64-біт. При установці відразу вимагає видати йому файл з ліцензійним ключем (який можна запросити на офсайті для тестування), пропонує налаштувати проксі і завантажити останні версії баз, а також може встановити спеціальний модуль для webim і скомпілювати модуль ядра kavmonitor (дозволяє перехоплювати виклики ядра на звернення до файлів і перевіряти ці файли на віруси). На жаль, kavmonitor не підтримує ядра новіше 2.6.21 (для 32-бітових систем) та 2.6.18 (для 64-бітових), тому на всіх більш-менш нових дистрибутивах доведеться обійтися без нього. Графічного інтерфейсу в антивіруса немає, тільки CLI. Запускається наступним чином:
$ Sudo / opt/kaspersky/kav4ws/bin/kav4ws-kavscanner / tmp
Оновити бази можна так:
$ Sudo / opt/kaspersky/kav4ws/bin/kav4ws-keepup2date
Основні налаштування антивірусу зберігаються в конфіги / etc/opt/kaspersky/kav4ws.conf.
Ще один популярний у нас на батьківщині виробник антивірусів - ESET - теж має версію для Linux-ноутбуків (ESET NOD32 Antivirus 4 for Linux Desktop), яка, правда, поки носить статус бета-версії. Зате бета-версію можна абсолютно безкоштовно використовувати до певної дати. Після виходу релізу, швидше за все, безкоштовно можна буде використовувати тільки тріальний версію. Підтримуються архітектури x86 і x86-64, установка відбувається за допомогою графічного інсталятора. За замовчуванням антивірус ставиться в / opt / eset. Після установки нас вітає лаконічний інтерфейс на GTK і іконка в системному треї, що символізує роботу файлового монітора. Інтерфейс можна перемкнути в "режим експерта", в якому додасться пара пунктів: Setup (для настройки сканера і монітора) і Tools (для перегляду логів і файлів, що знаходяться на карантині). Є також CLI-сканер, сканування поточного каталогу:
$ / Opt / eset / esets / sbin / esets_scan. /
Опція '-h' покаже можливі параметри сканування.
Ще один досить великий виробник антивірусних рішень, що має Linux-версії своїх антивірусів - McAfee. Взагалі, якщо оцінювати тільки їх Linux-продукти, то вендор досить дивний (до слова, єдиний, в кого веб-сайт крутиться на IIS - нічого особистого, просто статистика:)). Замість All-in-one рішення в їх продуктовій лінійці є декілька окремих рішень для Linux: LinuxShield (монітор, перевіряючий файли при зверненні) і VirusScan Command Line Scanner for Linux. LinuxShield коштує приблизно в 2 рази дорожче. Зате Command Line Scanner є не тільки під Linux (x86 і x86-64), але і практично під всі мислимі ОС: Windows, FreeBSD, Solaris, HP-UX та AIX. McAfee позиціонує свої продукти як рішення тільки для великих компаній, тому у партнерів можна купити не менше 11 ліцензій кожного найменування продукту, а перш ніж завантажити пробну версію, треба заповнити найбільшу реєстраційну анкету, у якій докладно розповісти про свою компанію.
Command Line Scanner встановлюється скриптом install-uvscan з завантаженого архіву. При установці скрипт задасть пару питань (куди встановити і зробити чи сімлінк) і запропонує відразу перевірити всю ФС. Сканер не розрахований на роботу з новими дистрибутивами, тому без танців з бубном на Ubuntu 10.04 не завівся, лайнувся на відсутність libstdc + +. So.5. Довелося ставити з дебіана. Це єдиний антивірусний сканер, що не має якої-небудь утиліти для оновлення. Нові бази пропонується скачувати самостійно і складати в інсталяційну директорію. Для сканування поточної директорії набираємо:
$ Uvsan. /
Команда "man uvscan" повідає про велику кількість можливих опцій різного ступеня корисності.
LinuxShield офіційно підтримує тільки RHEL і SLED, для інших дистрибутивів (і, відповідно, інших ядер) необхідно перезбирати ядро з модулями антивіруса. Сумнівне задоволення - перезбирати ядро при кожному апдейте з-за одних тільки антивірусних модулів. До того ж не факт, що модулі зберуться з ядрами новіше 2.6.18.
Халява
Деякі виробники для залучення уваги до своєї продукції видають безкоштовні ключі для домашнього використання (в тому числі і Linux-версій).
Так поступає, наприклад, BitDefender. Її продуктом BitDefender Antivirus Scanner for Unices можна користуватися абсолютно безкоштовно в особистих цілях. Після заповнення невеликий реєстраційної анкети на офсайті, на пошту прийде лист з ключем на рік і нагадуванням про те, що ключ "for personal usage only". Ще один плюс в скарбничку BitDefender - кількість версій: для скачування доступні deb-і rpm-пакети, ipk (універсальний інсталятор) і tbz для FreeBSD. І все це як для 32 -, так і для 64-бітових ОС. Також викликає повагу мануал на 128 сторінок. У складі антивіруса тільки сканер, монітора немає. Сканер можна запустити як через GUI (є інтеграція з DE), так і через CLI. Сканування поточного каталогу:
$ Bdscan. /
Оновлення баз:
$ Sudo bdscan - update
Як завжди, "man bdscan" покаже багато цікавих опцій.
Ще один безкоштовний для персонального використання антивірус - AVG. Є версії під Linux (deb, rpm, sh і просто архів з бінарниках. Правда, тільки 32-бітові) і FreeBSD (теж тільки для x86). Для вінди доступна 9-а версія, а для Нікс - поки тільки 8.5 (випущена в січні 2010), але бета-версію прийдешньої дев'ятки можна скачати після реєстрації. Крім сканера є монітор для сканування на льоту. Тільки включення даної функції не тривіально: потрібні спеціальні модулі для ядра (RedirFS або Dazuko). Графічного інтерфейсу в антивіруса немає, тільки CLI. Сканування поточної директорії:
$ Avgscan. /
Оновлення баз:
$ Sudo avgupdate
Черговий претендент - avast. Можна отримати безкоштовну річну ліцензію на персональне використання після реєстрації. Є deb, rpm і архів з бінарниках. Правда, знову тільки для 32-біт. Також відсутня інтеграція з DE. Запускається антивірус командою avastgui.
При першому запуску запитає реєстраційний ключ або запропонує пройти по посиланню і отримати його на сайті (проте не ведісь: хитрий антивірус відправляє за неправильною засланні; правильний лінк: wwwavast.com / registration-free-antivirus.php).
Крім GUI, є також CLI-інтерфейс. Сканування поточного каталогу:
$ Avast. /
Оновлення баз:
$ Sudo avast-update
Наступний вендор, що пропонує безкоштовне домашнє використання свого продукту - F-PROT. Версія для Linux: F-PROT Antivirus for Linux Workstations. Є версії для Linux (i386, x86-64 і PowerPC), FreeBSD, Solaris (для SPARC і Intel) і навіть AIX. Остання версія для Linux (6.0.3) вийшла в грудні 2009 року. Установка здійснюється за допомогою скрипта install-f-prot.pl. Скрипт просто створює сімлінк в / usr / local / bin (або будь-який інший вказаної директорії на викачані бінарники, тому краще не встановлювати F-Prot, скажімо, з робочого столу, а попередньо перемістити його куди-небудь, наприклад, в / opt). Остання стадія установки - скачування оновлень і постановка завдань на повсякчасне скачування оновлень у крон. Запуск:
$ Fpscan /
Параметрами можна поставити багато речей: наприклад, глибину рекурсії (за замовчуванням 30), рівні сканування і рівень роботи евристика і т.д. (Докладніше читай "man fpsan"). Примусове оновлення баз можна запустити командою fpupdate (лежить в інсталяційній директорії).
Свобода
Найвідоміший (і за сумісництвом - єдиний нормальний) OpenSource антивірус - clamav. Є консольний сканер і кілька GUI до нього (clamtk для GTK і klamav для kde). Може працювати також в якості монітора через DazukoFS. Правда, в більшості тестів показує не самі блискучі результати. Зате є в репозиторії будь-якого дистрибутива, для будь-якої архітектури, і немає ніяких ліцензійних обмежень. Саме те для невимогливих користувачів!
DazukoFS
DazukoFS (від Dateizugriffskontrolle, з німецької - контроль за доступом до файлів) - спеціальна ФС, що надає додаткам механізми для контролю доступу до файлів. Так як DazukoFS не входить в ванільне ядро, для того, щоб нею скористатися, доведеться пропатчити і перезібрати ядро. DazukoFS використовується багатьма антивірусами для реалізації функції монітора.
Перші дві версії Dazuko були розроблені і випущені під ліцензією GPL компанією Avira GmbH. Третя версія, що отримала назву DazukoFS, була повністю переписана вже силами спільноти.
Живий антивірус
LiveCD з антивірусом не раз виручав мене в ситуації, коли потрібно було швидко відновити хоч яку-небудь працездатність вінди, яка під вантажем своїх вірусів ні в яку не хотіла завантажуватися. На жаль, вибір серед подібних інструментів не дуже великий - далеко не кожен вендор пропонує свій LiveCD, та ще й на халяву.
Мабуть, найвідоміший представник - Dr.Web LiveCD. Поточна версія (5.02) вийшла досить давно, і поки ніяких публічних бета-версій немає (хоча складання з оновленими базами виходить кожну добу). Але є надія, що, після виходу версії 6 під Linux LiveCD, нарешті оновлять. Незважаючи на те, що збірка заснована на не зовсім старих компонентах (ядро, наприклад, версії 2.6.30), гілка про LiveCD на офіційному форумі drweb сповнена повідомленнями про те, що ОС в графічному режимі не вантажиться на тому чи іншому залозі. На такий випадок є SafeMode з голою Консолька і консольним сканером.
На відміну від Dr.Web, Касперський свій LiveCD особливо не афішує, на офсайті про нього немає навіть згадки. Але від гугла нічого не приховаєш! 
LiveCD можна вільно скачати звідси. Вантажиться LiveCD досить спритно. Тільки встигнеш помітити, що він побудований на базі Gentoo і ядрі 2.6.31, як вискочить ліцензійну угоду. Після прийняття умов використання запускається GUI (зовні схожий на kav 2010) з можливістю сканування і оновлення баз.
У AVG теж є свій LiveCD. При запуску зустрічає ліцензійною угодою, яка, звичайно ж, уважно прочитавши, треба прийняти (інакше - ребут). Єдиний LiveCD, що має псевдографічний інтерфейс. При завантаженні автоматично монтує віндовий розділи, при цьому розділи з ФС, відмінною від FAT або NTFS, монтувати відмовляється. Але з псевдографічний інтерфейсу можна вийти (а при необхідності командою arl запустити знову), змонтувати руками і запустити перевірку з консолі. З корисностей можна ще відзначити тулза для редагування реєстру (Windows Registry Editor).
Бувають випадки, коли результатів перевірки одним антивірусом недостатньо. Мабуть, так думали творці дистрибутива ViAvRe (Virtual Antivirus Rechecker), що містить цілу купу різних антивірусів: Avg, Avast, Doctor Web (CureIt), McAfee, BitDefender, F-Prot. Проект ще дуже молодий, але вже подає великі надії. Остання на момент написання статті версія (04.10, що вийшла у квітні цього року) створена на базі OpenSuse 11.2 з допомогою SuSeStudio. Ще одна фішка дистрибутива - команда viavre-update, що дозволяє оновити бази відразу для всіх встановлених антивірусів. Випускається LiveCD у двох редакціях: full версія з KDE (і мінімальні вимоги в 768 Мб ОЗУ) і light версія з LXDE (поставляється без антивіруса mcafee, avg, firefox, virtualbox і k3b; здатна працювати на 256 Мб ОЗУ).
Висновок
На жаль, розглянути вдалося далеко не всі антивіруси для Linux, а тільки найбільш відомі. За бортом залишилися, наприклад, Panda DesktopSecure for Linux і антивірус від Avira. Але я сподіваюся, що і серед представлених варіантів ти при необхідності зможеш знайти собі що-небудь до душі.
INFO
Докладніше про ClamAV читай в Хакери за серпень 2008 (стаття "Перемагаємо віруси в Нікс").
WWW
products.drweb.com / linux - Dr.Web для Linux
wwwfreedrweb.com / livecd - Dr.Web LiveCD
wwwkaspersky.ru / anti-virus_linux_workstation - Антивірус Касперського для Linux Workstation
beta.eset.com / linux - NOD32 для Linux-десктопів
wwwbitdefender.com / world / business / antivirus-for-unices.html - BitDefender для Linux
free.avg.com / gb-en / download.prd-afl - AVG Free Edition for Linux
wwwavast.com / linux-home-edition - avast! Linux Home Edition
wwwclamav.net - ClamAV
code.google.com / p / viavre / - ViAvRe
WARNING
Пам'ятай, що лікування вінди з LiveCD не завжди безпечно. На форумах повно тим про те, що після такого лікування вінда не завантажувалася.