BitDefender 入れてみた
京ぽん2用Linux俺サーバの続き。
ONOさん、ロボネタじゃないのに紹介していただき恐縮です。
非公開とはいえ、外部からのアクセスを許可するということで、セキュリティにも気を使わなければいけない。
基本的にはルータからのポートフォワーディングは特定ポートのみだが、何かあってからでは遅いし、Linuxバージンなので何かあっても分からないし対処できない。
物理的にDMZを設けるような余裕も無いので、今のうちにこのマシンに対して思いつく限りの武装をしておくことにする。
というわけで、Linux用のフリーのウイルス対策ソフト BitDefenderを入れてみました。
Linux用のフリー版はこちらからダウンロードできます。
(製品版と違ってリアルタイムスキャンなんかは出来ないらしいです。)
BitDefender-Console-Antivirus-7.1-3.linux-gcc3x.i386.rpm をチョイス。 Fedora Coreはgcc3系のrpm版がいいそうだ。
BitDefenderをインストールする前に、compat-libstdc++ というのが必要だとか。GCCのC++ライブラリらしい。
入れておく。
# yum install compat-libstdc++-33
でインストール。
続いて、ダウンロードした BitDefender をインストール。
# rpm -ivh BitDefender-Console-Antivirus-7.1-3.linux-gcc3x.i386.rpm
これで入ったはず。
で、BitDefenderの定義ファイルをアップデート。
# bdc --update
エラー発生。 "Error: can't find update dll"
ググってみると、前述の compat-libstdc++ が無いと、こういったエラーが出るらしいが、入れたしな...
うまく入っていないのかと思い、もう一度入れなおしてみてもダメでした。
あんまり情報ないし、動いてる人もいるみたいだし。
Linuxをつい数日前に始めたような初心者にはよく分からんです...
1つ、セキュリィティ機能の SELinux が怪しいみたいな話もありました。
その事例では、Frdora Core 4で動かなくなって、結局解決しなかったっぽくて、3に戻してましたね。
確かに、ウチのもSELinuxのログに、こんなのがありました。 bdc (BitDefenderのコマンド)が、SELinuxのポリシーに引っかかってるぽい感じ?
----------------------------------------------------
May 13 13:48:19 proxy kernel: audit(1147495699.314:22): avc: denied { execmod } for pid=2868 comm="bdc" name="bdupd.so" dev=dm-0 ino=939236 scontext=root:system_r:unconfined_t:s0-s0:c0.c255 tcontext=system_u:object_r:usr_t:s0 tclass=file
----------------------------------------------------
試しに、SELinuxの設定を「enforcingモード」から「permissiveモード」に変更してみました。
「enforcingモード」はSELinuxの設定ポリシーが適用されるモード,
「permissiveモード」は設定ポリシー上は引っかかる物でも、とりあえずログには吐くけど許しちゃうモード。
だそうです。
で、もう一度BitDefenderの定義ファイルをアップデート。
# bdc --update
今度はOK。
確定。 SELinuxが原因。
とはいっても、セキュリティ強化のためにBitDefenderを入れようとしてるのに、SELinuxを切るのも本末転倒なので、そのポリシー設定をざっと眺めてみました。
なんとなく気になった項目があったので、チェック一閃! おぁたぁ!(ケンシロウ風)
「互換性」-「テキストリロケーションを用いた共有ライブラリ・・・」 です。
で「enforcingモード」で動かしてみた。
おお! 動いた。
チェックを外すと... 動かない。
変えたのはここだけ。
一撃かよ。 すげえよ俺!
ちなみに、SELinuxの設定項目数ですが、ものすごい数があります。
そのうちの1つです。
昔から結構、この手のカンはいい方です。
やり方が正解かどうかはわかりませんが、とりあえずSELinuxの機能はほとんど生かしたままで動かすことが出来ました。
このチェックがどれほど危険なのかは分かりませんが、全部切るよりはるかにマシでしょう。
ホントは、特定プログラムは例外的に許可とかいったような設定があるんだろな...
...おしえて、人形つかいさん...
定義ファイルもアップデートできたので、スキャンしてみる。
# bdc --delete --list /
(発見したら削除。作業状況を表示。)
出来ました。
これも、さっきのチェックを入れないと動きませんでした。
今の構成で、スキャンに約1時間かかります。
あとは、この定義ファイルのアップデートとスキャンをcronとかで定期実行すればいいかな。
| 固定リンク
この記事へのコメントは終了しました。
コメント
ごめんなさい。SELinuxは不勉強で全然わからないのです。
SecureOS がどういうことをやるのかは知っているのですが、個々のOSがどうなっているかは全然…
投稿: 人形つかい | 2006.05.14 14:17
人形つかいさんこんにちは。
そうですか。残念。
ありがとうございました。
投稿: いずみかわ | 2006.05.16 23:39