インストール - セキュリティソフトウェア(Linux)
概要
ここでは、Linuxにおけるセキュリティソフトウェアの導入を記載する。
シマンテック社やトレンドマイクロ、マカフィーといった大手セキュリティソフトウェア企業は、主に法人用のソフトウェアを公開している。
無料のセキュリティソフトウェアには機能に制限があるので、余裕の場合は、有償版の利用を推奨する。
現在、ClamTkは、GitHubを見るかぎり更新が途絶えているようなので、ここでは省略する。
Bitdifender GravityZone Business Security (Bitdefender Endpoint Security Tools for Linux) (一般ユーザ / ビジネス)
Bitdefender Endpoint Security Tools (BEST) for Linuxの概要
Bitdifender GravityZone Business Securityは、独立したセキュリティテストにおいて常に1位を獲得しており、あらゆる規模の企業に信頼できるセキュリティを提供している。
効果的なマルウェア検出と最小限の誤検出のための階層型セキュリティにより、デスクトップ、ラップトップ、サーバを保護する。
Bitdefenderの機械学習モデルは、静的および動的な特徴を使用して、世界中の何億ものエンドポイントから収集した何十億ものクリーンおよび悪意のあるファイルサンプルで継続的に試験されており、
脅威が検出されると、プロセスの終了、隔離、削除、悪意のある変更のロールバックにより、即座に無効化される。
単一の統合管理コンソールであるGravityZone Control Centerを備えており、全てのセキュリティ管理コンポーネントに対して1つのビューを提供する。
この統合管理コンソールにより、セキュリティイベントの追跡と管理が容易になり、専用サーバや追加のメンテナンスが不要になる。
GravityZone Business Securityは、スタンドアロン、サーバ、仮想マシンを保護する。
対応しているLinuxディストリビューションを以下に示す。
- Red Hat Enterprise Linux / CentOS 6.0以降、Fedora 25以降
- SUSE Linux Enterprise 11 SP4以降、OpenSUSE Leap 42.0以降
- Debian 8.0以降、Ubuntu 14.04 LTS以降
- その他、Oracle Linux 6.3以降、Amazon Linux AMI 2016.09以降
また、GravityZone Business Securityの公式Webサイトから、無料体験版をダウンロードして使用することもできる。
サービスを継続して利用するには、試用期間が終了する前に有料のサブスクリプションプランを購入する必要がある。
Bitdefenderでネットワークを保護するには、GravityZoneを以下に示すように設定する必要がある。
- まず、GravityZone Control Centerにアクセスして、アカウントやその他の設定を構成し、エンドポイントにセキュリティエージェントを展開するためのインストールパッケージを用意する。
このためには、管理下にあるエンドポイントに対する管理者権限を持つGravityZone Control Centerユーザが必要となることに注意する。 - 次に、Windows PCおよびLinux PCはBitdefender Endpoint Security Tools、MacOSはEndpoint Security for Macのセキュリティエージェントをインストールする。
GravityZoneは、Control Centerから受け取ったポリシーにしたがって、セキュリティエージェントによる保護を保証する。 - また、Business Security以外の製品においては、Security Serverを1台以上のホストにインストールすることにより、
大規模なネットワークの場合にスキャンサーバとして機能し、ハードウェアリソースが限られたエンドポイントでのローカルスキャンの負担を軽減することができる。
追加でインストール可能なGravityZoneの機能を以下に示す。
- Security Containers (ただし、GravityZone Business Securityは不可)
- Email Security (GravityZone Cloudのみ)
- Endpoint Detection and Response(EDR) (ただし、GravityZone Business Securityは不可)
- eXtended Detection and Response (XDR) (GravityZone Cloudのみ) (ただし、GravityZone Business Securityは不可)
- Endpoint Risk Analytics (ERA) (GravityZone Cloudのみ)
- Security for Exchange (ただし、GravityZone Business Securityは不可)
GravityZone Business Securityが使用できる機能の詳細については、公式WebサイトのFeatures distributionを参照すること。
Bitdefender Endpoint Security Tools (BEST) for Linuxのインストール
- Control Centerにログインする。
- インストールファイルをダウンロードする。
フルキットをダウンロードした場合は、アーカイブからファイルを抽出する。 - インストールファイルに実行権限を付加する。
chmod u+x installer
- インストールファイルを実行する。
sudo ./installer
- エージェントがエンドポイントにインストールされたことを確認する。
sudo systemctl status bdsec
- セキュリティエージェントが正常にインストールされた時、数分以内にコントロールセンター(ネットワークページ)にエンドポイントが管理されていることが表示される。
Bitdefender Endpoint Security Tools (BEST) for Linuxのインストールの詳細は、公式WebサイトのInstall security agents - standard procedureを参照すること。
Bitdefender Endpoint Security Tools (BEST) for Linuxにおいて、正しく機能しない場合は、公式Webサイトのトラブルシューティングを参照すること。
スキャン
Bitdefender Endpoint Security Tools (BEST) for Linuxは、事前に設定された多くのシステムディレクトリに対して、オンアクセススキャンを提供する。
このリストを確認したり、スキャンする他のディレクトリを追加するには、以下の手順を行う。
- Control Center Policiesページからポリシーを選択する。
- [Antimalware] - [On-Access]セクションに移動する。
- [On-access Scanning]の横にある[Settings]を選択する。
- [Advanced]を選択する。
- エージェントが常時スキャンするフォルダを設定する。
さらに、以下の手順で、フル/カスタム/クイックスキャンのタスクをスケジュールすることができる。
- [Control Center Policies]ページからポリシーを選択する。
- [Antimalware] - [On-Demand]セクションに移動する。
- [+Add]ボタンを押下する。
- スキャンの種類を選択する。
[Custom Scan]タイプでは、スキャンオプションやスキャンするフォルダを詳細に設定することができる。 - 必要に応じて、スキャンタスクのスケジューリングオプションを設定、および、スキャンオプションとターゲットを設定する。
- [Save]ボタンを押下する。
ネットワークを使用して手動でスキャンする場合は、コントロールセンターの[Network]インベントリーから対象マシンを右クリックして、[Tasks] - [Scan]を選択してタスクを実行する。
ターミナルを使用したローカルスキャンでは、フルスキャン、クイックスキャン、カスタムスキャン、タスクIDによって決定される以前のスキャンを実行することができる。
カスタムスキャンでは、スキャンするディレクトリまたはファイルのパスのリストを指定する必要があり、ワイルドカードを使用する(カスタムスキャンのみ)こともできる。
フルスキャン、クイックスキャン、タスクIDによって決定される以前のスキャン、カスタムスキャンのスキャンプロファイルの設定を確認する。
sudo bduitool get scanprof <full または quick または custom>
# フルスキャンを実行する sudo bduitool scan -s full # クイックスキャンを実行する sudo bduitool scan -s quick # 指定されたタスクIDのタスクを実行する sudo bduitool scan -s task <taskID> # 任意のファイルやディレクトリに対して、カスタムスキャンを実行する sudo bduitool scan -s custom <path1> <path2> ... 例. sudo bduitool scan -s custom /home/user1/folder1 /home/user1/file.txt
以下の例では、カスタムスキャンにワイルドカードを使用している。
# 1つのディレクトリレベルを拡張する sudo bduitool scan -s custom /dir/*/direxpands # ディレクトリツリーを完全に展開する sudo bduitool scan -s custom "/dir/*/dir" # ?記号を使用して1文字を置換する sudo bduitool scan -s custom "/dir/*/dir?"
また、一時停止、再開、停止コマンドは、Bitdefender User Interface Toolから開始したスキャンにのみ適用される。
# 実行中の全てのスキャンタスクを一時停止する sudo bduitool scan -p # 一時停止している全てのスキャンタスクを再開する sudo bduitool scan -r # 実行中または一時停止中の全てのスキャンタスクを停止する sudo bduitool scan -q
Bitdefender Endpoint Security Tools (BEST) for Linuxのスキャンについての詳細は、公式WebサイトのユーザーズガイドにあるScanning for malwareを参照すること。
アップデート
bduitoolコマンドを以下に示すオプションで実行する。
# 製品の状態に関する情報を表示する sudo bduitool get ps # バージョン情報を表示する sudo bduitool -v または sudo bduitool --version # 製品に関する情報(名前、バージョン)およびBitdefenderのプライバシーポリシーへのリンクを表示する sudo bduitool about # アップデートを起動する sudo bduitool update <-p または -s または -ps> -sオプション : アンチマルウェアのシグネチャを更新する -pオプション : 製品のアップデートを開始する -psオプション : シグネチャと製品の両方をアップデートする
Bitdefender Endpoint Security Tools (BEST) for Linuxのアップデートについての詳細は、公式WebサイトのユーザーズガイドにあるProduct status and updatesを参照すること。
サポートツール
サポートツールの使用についての詳細は、公式Webサイトのサポートツールを参照すること。
ESET NOD32 Antivirus for Linux (一般ユーザ向け)
ESET NOD32 Ativirusは、ThreatSense.NET早期警告システムを使用している。
ThreatSense.NETは、ESETのユーザから新しいマルウェアの挙動に関するデータを継続的に収集して、ESETのネットワーク全体で共有することにより、新たな脅威から守ることができる。
ESET NOD32 Antivirusは多くの機能を備えていないが、インストール、設定、使用が簡単であることを意味している。
そのため、ユーザインターフェースはシンプルかつ軽量である。
また、リアルタイムの保護に加えて、オンデマンドスキャンとスケジュールスキャンを提供している。
※注意
ESET NOD32 Antivirus for Linuxは現在、限定的なサポートを受けており、2022年第3四半期に終了する予定である。
ビジネスユーザは、ESET Endpoint Antivirus for Linuxをインストールするか、ESET PROTECT Entryの一部として購入する必要がある。
ESET NOD32を使用するには、以下に示す条件が必要となる。
- Linuxカーネル 2.6以降
- GLIBC 2.3以降
- GTK+ 2.6以降
- LSB 3.1互換
まず、ESET NOD32 Antivirusの動作に必要な依存関係のライブラリをインストールする。
sudo zypper install insserv-compat
次に、ESET NOD32 Antivirus for Linuxの公式Webサイトにアクセスして、ESET NOD32 Antivirusをダウンロードする。
ダウンロードしたファイルに実行権限を付加する。
chmod +x ./eset_nod32av_64bit_ja.linux
ESET NOD32 Antivirusをインストールする。
sudo ./eset_nod32av_64bit_ja.linux
画面に従って、ESET NOD32 Antivirusのインストールを行う。
ESET NOD32 Antivirusのデーモンを有効にする。
なお、ESET NOD32 Antivirusのデーモンファイルは、/etc/init.d/esetsファイルである。
また、デーモンから実行されるファイルは、/opt/eset/esets/sbin/esets_daemonファイルである。
sudo systemctl enable esets.service
アンインストールする場合、デスクトップエントリファイルに存在するESET NOD32 Antivirusアンインストールを実行する。
これにより、ESET NOD32 Antivirusの全てのファイルが削除される。
ESET NOD32 Antivirusの詳細を知りたい場合は、公式Webサイトにあるドキュメントを参照すること。
ESET Endpoint Antivirus for Linuxの詳細を知りたい場合は、公式Webサイトのドキュメントを参照すること。
SOPHOS Antivirus for Linux (一般ユーザ / ビジネスユーザ)
無料のセキュリティソフトウェアである。多くのLinuxディストリビューションで使用できる。
利用するにはユーザ登録を行う必要がある。
SOPHOS Antivirus for Linux 9のインストール
以下に、インストール手順を記載する。
- Sophosの公式Webサイトにアクセスして、
[Endpoint and Server for Linux]欄のSophos Antivirus for Linux(sav-linux-9-i386.tgz)をダウンロードする。 - ダウンロードしたファイルを解凍する。
tar xf sav-linux-9-i386.tgzcd sophos-av
- Sophos Antivirus for Linuxをインストールする。
sudo ./install.sh
- 利用規約に同意して、各種設定を行う。
インストール後は、以下に示すサービスユニットファイルが作成される。
- /etc/systemd/system/sav-protect.service
- /usr/lib/systemd/system/sav-protect.service
- /usr/lib/systemd/system/sav-rms.service
- /usr/lib/systemd/system/sav-update.service
また、sophosavユーザおよびsophosavグループが追加される。
- /etc/passwd (ユーザのアカウント情報)
- sophosav
- /etc/shadow (シャドウパスワード)
- sophosav
- /etc/group (ユーザのグループ情報)
- sophosav
アップデート
Antivirus for Linuxのアップデートを行うため、以下のコマンドを実行する。
sudo /opt/sophos-av/bin/savupdate
SOPHOS Antivirus for Linuxの開始
Sophos Aantivirusデーモンの開始と停止を行う場合、以下のコマンドを実行する。
sudo systemctl start sav-protect.service sudo systemctl start sav-rms.service
SOPHOS Antivirus for Linuxの停止
sudo systemctl stop sav-protect.service sudo systemctl stop sav-rms.service
ログの確認
Sophos Antivirusのセキュリティログを確認する場合は、以下のコマンドを実行する。
sudo /opt/sophos-av/bin/savlog
状態の確認
ステータスの確認は、以下のコマンドを実行する。
sudo /opt/sophos-av/bin/savdstatus
Sophos Live Protectionを有効にする場合、以下のコマンドを実行する。
/opt/sophos-av/bin/savconfig set LiveProtection true
Sophos Live Protectionを無効にするには、以下のコマンドを実行する。
/opt/sophos-av/bin/savconfig set LiveProtection false
SOPHOS Antivirus for Linux 9のアンインストール
Sophos Antivirus for Linuxをアンインストールする場合は、以下のコマンドを実行する。
もし、savdデーモンが起動している場合は、停止を指示するメッセージがスクリプトから表示される。
sudo /opt/sophos-av/uninstall.sh
上記のアンインストールにおいて、以下に示す項⽬を削除する。
- Sophos AntiVirus for Linuxに関連するすべてのスタートアップ項⽬
- Sophos AntiVirus for Linuxのmanページ
- Sophos AntiVirus for Linuxのmanページは、ローカルのman環境に追加される。
- パスは通常、/usr/local/manである。ただし、このパスは環境変数によって異なる。
- オンデマンドスキャナsavscan(/usr/local/bin)
- /opt/sophos-avおよびそのコンテンツ
オンアクセス検索の有効化および無効化
オンアクセス検索は、"ファイルを開く"、"ファイルのコピー"、"ファイルの保存"を行う時、ウイルス検索が実⾏されて、安全な場合のみファイルへのアクセスが許可される。
オンアクセス検索は初期状態で有効になっている。
必要に応じて、オンアクセス検索の状態を確認して、有効または無効に切り替えることができる。
オンアクセス検索を有効にするには、次のいずれかの⼿順を実⾏する。
sudo /opt/sophos-av/bin/savdctl enable # または sudo systemctl start sav-protect
オンアクセス検索を無効するには、次のいずれかの⼿順を実⾏する。
sudo /opt/sophos-av/bin/savdctl disable # または sudo systemctl stop sav-protect
その他
Sophos Antivirusは、スキャンを操作するsav-protectとメッセージおよび通信サービス管理を操作するsav-rmsの2つからなる。
ただし、スタンドアロンインストールの場合、RMSデーモンは関係が無い。
どのSophos Aantivirusデーモンが実行されているかを確認する場合、以下のコマンドを実行する。
sudo systemctl list-units | grep sav
Comodo Antivirus for Linux (一般ユーザかつ古いディストリビューション向け)
Comodo Antivirus for Linuxは、一般ユーザがLinuxを使用する場合に利用できるアンチウイルスソフトウェアである。
強力なアンチウイルス保護機能と共に、リアルタイムのマルウェア保護、ファイアウォール、悪意のあるファイルがネットワークに侵入するのをブロックするメールゲートウェイを提供している。
(Postfix、qmail、Sendmail、Eximと互換性がある)
アンチウイルスエンジンは、「デフォルトの拒否保護」を採用しており、ファイルをウイルス定義のリストと照合するのではなく、未知のファイルをサンドボックスに格納することにより、
ファイルが無害であることが証明されるまで、システムの重要な部分へのアクセスが拒否される。
また、Comodo Antivirus for Linuxには、リアルタイムの動作分析機能もある。
これは、オプトインすることで、新しいファイルをComodo社のリモートサーバに自動的にアップロードすることにより、Comodo社のセキュリティチームが分析することができる。
Comodo Antivirus for Linuxの強力なメールゲートウェイは、Linuxマシンからメールサーバを実行する場合に最適な選択肢となる。
※注意
ただし、既にComodo Antivirus for LinuxはLinuxのサポートを終了しており、動作しない可能性がある。
まず、Comodo Antivirus for Linuxの公式Webサイトにアクセスして、Comodo Antivirus for Linuxをダウンロードする。
ダウンロードしたファイルに実行権限を付加する。
chmod +x cav-linux_x64.rpm
Comodo Antivirus for Linuxをインストールする。
sudo zypper install ./cav-linux_x64.rpm
その他
この他にも、以下に示すセキュリティソフトウェア等が存在する。
- Avast
- F-PROT
- Clam AntiVirus
- Clam AntiVirusのインストールについては、インストール - Clam AVを参照すること。