ユーザーズガイド KASPERSKY ANTI-VIRUS 5.7 FOR LINUX WORKSTATION

[. . . ] 目次 1 KASPERSKY LABS JAPAN Kaspersky Anti-Virus for Linux Workstation 5. 7 管理者ガイド ® © Kaspersky Labs Japan http://www. kaspersky. co. jp 2008 年 11 月 2 Kaspersky Anti-Virus for Linux Workstation 5. 7 目次 目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 第 1 章 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1. 1. コンピュータウイルスとマルウェア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1. 2. Kaspersky Anti-Virus の目的と主な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1. 3. バージョン 5. 7 の新機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1. 4. [. . . ] 定義データベースの自動更新 設定ファイルを変更して、定義データベースの定期的な自動更新を設定することができます。 タスク：定義データベースの自動更新が 1 時間ごとに行われるように設定する。システムログにはアプリケー ションエラーだけを記録する。開始されたタスクすべてについて一般ログをとるが、画面には情報を表示しない。 ソリューション：タスクを実行するには、以下の手順を実行します： 1. アプリケーションの設定ファイルで、以下の値を指定します。設定例は以下のとおりです： [updater. options] KeepSilent=yes [updater. report] Append=yes ReportLevel=1 以下のように入力して、cron (crontab -e) プロセス用に設定ファイルを編集します： 0 0-23/1 * * * /opt/kaspersky/bin/kav4ws-keepup2date 2. タスク：カスペルスキーのアップデートサーバから行う定義データベース更新で、keepup2date コンポーネントに 含まれるリストにあるアップデートサーバの URL が自動的に選択されるように設定する。 ソリューション：タスクを実行するには、以下の手順を実行します： アプリケーション設定ファイルの [updater. options] セクションで、UseUpdateServerUrl に No の値を 指定します。 タスク：管理者の指定した URL から定義データベースの更新をダウンロードするように、コンポーネントを設定 する。この URL からダウンロードできない場合は、ダウンロード処理を中断する。 ソリューション：タスクを実行するには、以下の手順を実行します： [updater. options] セクションの UseUpdateServerUrl と UseUpdateServerUrlOnly に、Yes の値 を指定します。UpdateServerUrl には、アップデートサーバの URL を指定する必要があります。 KASPERSKY ANTI-VIRUS の使用 17 タスク：指定された URL から定義データベースの更新をダウンロードするように、コンポーネントを設定する。こ の URL からダウンロードできない場合は、keepup2date コンポーネントに含まれるリストで指定されている URL から データベースを更新する。 ソリューション：タスクを実行するには、以下の手順を実行します： [updater. options] セクションの UseUpdateServerUrl に Yes の値を指定し、 UseUpdateServerUrlOnly に No の値を設定します。UpdateServerUrl には、アップデートサーバの URL を指定する必要があります。 4. 1. 2. 定義データベースのオンデマンド更新 定義データベースの更新は、コマンドラインからいつでも行うことができます。以下のコマンドを入力します： # /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date タスク：定義データベースの更新を開始し、結果を /tmp/updatesreport. log に記録する。 ソリューション：タスクを実行するには、コマンドラインで以下のように入力します # /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date -l/tmp/updatesreport. log 複数のコンピュータにある定義データベースを更新する場合は、アップデートサーバから更新をダウンロードしてネット ワークディレクトリに置き、各コンピュータがこのディレクトリを更新元として使用する方法が便利です。 タスク：ネットワークディレクトリ /home/bases から定義データベースを更新するように設定し、このディレクト リにアクセスできない場合またはディレクトリが空白の場合にはカスペルスキーのアップデートサーバから更新するよう に設定する。結果は report. txt ファイルに出力する。 ソリューション：タスクを実行するには、以下の手順を実行します： 1. アプリケーションの設定ファイルで、該当する値を指定します： [updater. options] UpdateServerUrl=/home/bases UseUpdateServerUrl=yes UseUpdateServerUrlOnly=no 2. コマンドラインで以下のように入力します： # /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date -l /tmp/report. txt 4. 1. 3. 定義データベース保存用ディレクトリの作成 定義データベースをネットワークディレクトリから正しく更新するには、ディレクトリのファイル構造がカスペルスキーのア ップデートサーバと同じである必要があります。以下のセクションでは、このタスクについて詳しく見ていきます。 18 Kaspersky Anti-Virus for Linux Workstation 5. 7 タスク：ネットワーク内のローカルコンピュータが定義データベースの更新元として使用するネットワークディレク トリを作成する。 ソリューション：タスクを実行するには、以下の手順を実行します： 1. ローカルディレクトリを作成します 以下のように入力して keepup2date コンポーネントを起動します： # /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date -u <dir> <dir> には、ローカルディレクトリへのフルパスを指定します 3. このディレクトリに対する読み取り専用のネットワークアクセス権を、ローカルコンピュータに付与します タスク：定義データベースの更新がプロクシサーバ経由で行われるように設定する。 ソリューション：タスクを実行するには、以下の手順を実行します： 1. [updater. options] セクションの UseProxy に Yes の値を指定します 設定ファイルの [updater. options] セクションで、ProxyAddress にプロクシサーバの URL を指定し ます。アドレスは「http://username:password@ip_address:port」の形式で指定してください。ip address と port は必ず指定する必要がありますが、username と password はプロクシサーバに 認証が必要な場合にのみ指定します または 1. [updater. options] セクションの UseProxy に Yes の値を指定します 2. 環境変数 http_proxy を「http://username:password@ip_address:port」の形式で指定します。 この環境変数は [updater. options] セクションの UseProxy がない場合または Yes が指定されて いる場合に限って考慮されます 4. 2. アンチウイルスによるファイルシステムの保護 kavscanner コンポーネントは、ファイルのスキャンを行ったり、感染オブジェクトや感染が疑われるオブジェクトの処理 を設定に基づいて行うことで、コンピュータのファイルシステムをウイルスから保護します。 kavscanner コンポーネントの設定はすべて、アプリケーション設定ファイルの [scanner. *] セクションにまと められています。 デフォルトでは、オンデマンドスキャンを開始できるのは root ユーザだけです。 ファイルシステム全体、個別のディレクトリ、個別のファイルをスキャンすることができます。保護設定は、以下の内容で グループ分けされます： • • スキャン対象 (4. 2. 1 項を参照) オブジェクトのスキャン方法と感染駆除方法 (4. 2. 2 項を参照) KASPERSKY ANTI-VIRUS の使用 19 • • オブジェクトに対して実行する操作 (4. 2. 3 項を参照) 操作結果レポートの作成に使われる設定 (5. 6 項を参照) コンピュータのファイルシステムに対するスキャンは、以下のように開始することができます： • • 1 度だけのタスクとして、コマンドラインから開始する (4. 2. 4 項を参照) cron ユーティリティを使って設定したスケジュールに基づいて開始する (4. 2. 5 項を参照) コンピュータ全体のウイルススキャンには、非常に多くのリソースが必要です。したがって、このタスクを開始す る場合はコンピュータのパフォーマンスが低下するため注意が必要です。多くのリソースを必要とするアプリケーション が動作していないときにスキャンを行ってください。問題発生を避けるため、ディレクトリを個別に選択してスキャンする ことをお勧めします。 4. 2. 1. スキャン対象 スキャン対象は、おおまかに 2 つに分けることができます： • • スキャンパス - ウイルススキャンの対象となるディレクトリおよびオブジェクトのリスト スキャンオブジェクト - ウイルススキャンの対象となるオブジェクトのタイプ (アーカイブなど) デフォルトでは、利用可能なファイルシステムのオブジェクトに対するスキャンは、カレントディレクトリから開始されま す。 コンピュータのファイルシステムをすべてスキャンするには、ルートディレクトリに切り替えるか、コマンドラインで スキャン対象を「/」と指定します。 スキャンパスは、以下の方法で定義し直すことができます： • • スキャン対象となるディレクトリおよびファイルを、コマンドラインですべて列挙する (スペース区切り)。パスは、 絶対パスまたは相対パス (カレントディレクトリから見て) を使用する スキャンパスをテキストファイルに列挙し、このファイルを使用するようにコマンドラインで -@<filename> を指定する。ファイル内の各オブジェクトは改行して入力し、絶対パスを使用する スキャンパスとスキャンオブジェクトのテキストファイルの両方をコマンドラインで指定すると、ファイル 内に指定されたパスだけがスキャン対象となります。コマンドラインで入力されたパスは無視されます。 • スキャン対象から除外するファイルおよびディレクトリのマスクを設定ファイル kav4ws. conf に指定して ([scanner. options] セクションの ExcludeMask および ExcludeDirs)、デフォルトのパス (カレントデ ィレクトリから始まるすべてのパス) またはコマンドラインに列挙されたパスに制限をかける スキャン対象の再帰的スキャンをオフにする ([scanner. options] セクションの Recursion、またはコマ ンドラインパラメータ -r) • 20 Kaspersky Anti-Virus for Linux Workstation 5. 7 • 別の設定ファイルを作成し、このファイルを使用するようにコンポーネント起動時にコマンドラインで -c <filename> を指定する デフォルトのスキャンオブジェクトは設定ファイル kav4ws. conf の [scanner. options] セクションで指定されてお り、以下の方法で定義し直すこともできます： • • • ファイルを直接編集する コンポーネント起動時にコマンドラインパラメータを使用する 別の設定ファイルを使用する 4. 2. 2. オブジェクトのスキャンと感染駆除のモード このモードの設定は非常に重要です。感染ファイルが検知されたときにアプリケーションが感染駆除を行うかどうかが、 この設定によって決定されます。 デフォルトでは、感染駆除はオフになっています。オブジェクトをスキャンし、ウイルスや疑わしいファイルまたは破損し たファイルが検知された場合にメッセージを表示してレポートに情報を記録する、というのがデフォルト動作です。 ウイルススキャンの結果として、各オブジェクトにはいずれかのステータスが割り当てられます： • • • • • • • Clean - ウイルスは検知されませんでした (オブジェクトは感染していません) Infected - オブジェクトは感染しています Warning - オブジェクトコードが既知のウイルスのコードと似ています Suspicion - オブジェクトは未知のウイルスに感染している疑いがあります Corrupted - オブジェクトが破損しています Protected - オブジェクトが暗号化されている (パスワード保護されている) ためスキャンできません Error - オブジェクトのスキャン中にエラーが発生しました 駆除モードがオンになっている場合 ([scanner. options] セクション、Cure = yes)、Infected ステータスのオブジ ェクトだけがアンチウイルス処理を受けます。駆除の結果として、各オブジェクトにはいずれかのステータスが割り当て られます： • • • Cured - オブジェクトの感染は正常に駆除されました CureFailed - オブジェクトの感染を駆除できませんでした。このステータスのファイルは、感染オブジェクトに 関して指定されているルールに従って処理されます Error - オブジェクトのスキャン中にエラーが発生しました 4. 2. 3. オブジェクトに対して実行する操作 オブジェクトに対して実行される動作は、オブジェクトのステータスによって異なります (第 2 章を参照)。デフォルトで は、感染オブジェクトまたは感染が疑われるオブジェクトの検知に関して通知が行われるだけです。しかし、 Infected、 Suspicious、Warning、Error、Protected、Corrupted のステータスが割り当てられたオブジェクトに対して以下 のような対応を設定することができます： KASPERSKY ANTI-VIRUS の使用 21 • • • ディレクトリへの移動 - 指定されたステータスのオブジェクトをディレクトリへ移動します。単体オブジェクトも コンテナオブジェクトも移動可能です ファイルシステムからの削除 コマンドの実行 - 標準の Unix スクリプトファイルまたはそれと同等のものを使用してファイルを処理します Kaspersky Anti-Virus は単体のオブジェクト (ファイル) とコンテナオブジェクト (複数のオブジェクトで構成されたもの。 例： アーカイブ) を区別します。これらのオブジェクトに対する動作も区別されており、設定ファイル内での指定位置が 分かれています。単体オブジェクトの場合は [scanner. object] セクション、コンテナオブジェクトの場合は [scanner. container] セクションで動作が指定されます。 自己解凍型アーカイブに対する動作を区別することができます。アーカイブ自体が感染している場合、ア―カイ ブは単体オブジェクトと見なされます。アーカイブ内のオブジェクトが感染している場合は、コンテナと見なされます。し たがって、アーカイブに対して実行される動作は、状況に基づいて、設定ファイルの該当セクションで指定された設定に よって決定します。 オブジェクトに対する動作は、以下の方法で選択することができます： • • デフォルト動作として使用する場合は、kav4ws. conf 設定ファイル内で指定します ([scanner. object] セクションと [scanner. container] セクション) 別の設定ファイルで動作を指定し、コンポーネントの起動時にこのファイルを使用します コンポーネントの起動時にコマンドラインで設定ファイルが指定されていない場合は、kav4ws. conf ファイル の動作設定が使用されます。このファイルを起動時に使用するのに、特別な設定は必要ありません。 • 現在の作業セッションに対しては、 コンポーネント起動時にコマンドラインパラメータを使用して設定可能です 単体オブジェクトに対する動作とコンテナオブジェクトに対する動作では、同じ構文を使用します ([scanner. object] セクションと [scanner. container] セクション)。 4. 2. 4. 個別ディレクトリのオンデマンドスキャン Kaspersky Anti-Virus に実装されている最も一般的なタスクには、個別ディレクトリのウイルススキャンと感染駆除が あります。 タスク：/tmp ディレクトリのウイルススキャンを開始し、検知された感染オブジェクトを自動的に感染駆除する。 感染を駆除できなかったオブジェクトは削除する。 infected. lst、suspicion. lst、corrupted. lst、warning. lst ファイルを作成し、スキャンで検知された感染オブジェ クト、疑わしいオブジェクト、破損オブジェクトのファイル名を記録する。 コンポーネント動作の結果 (起動日、感染していないファイル以外のファイルに関する情報) を、カレントディレ クトリに作成されるレポートファイル kav4ws-kavscanner-current_date-pid. log に出力する。 ソリューション：タスクを実行するには、コマンドラインで以下のように入力します： # /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner -rlq pi/tmp/infected. lst -ps/tmp/suspicion. lst -pc/tmp/corrupted. lst -pw/tmp/warning. lst 22 Kaspersky Anti-Virus for Linux Workstation 5. 7 -o/tmp/kav4ws-kavscanner-`date "+%Y-%m-%d-$$"`. log -i3-ePASBMe -j3 -mCn /tmp 4. 2. 5. スケジュールスキャン Kaspersky Anti-Virus のタスクの実行は、cron アプリケーションを使用してスケジュール可能です。 タスク：/home ディレクトリのウイルススキャンを毎日 0:00 に行い、設定ファイル /etc/kav/scanhome. conf で指定されたスキャン設定を使用する。 ソリューション：タスクを実行するには、以下の手順を実行します： 1. 設定ファイル /etc/kav/scanhome. conf を作成し、必要なスキャン設定をこのファイルに指定します 以下のように入力して、cron (crontab -e) プロセスの動作を規定する設定ファイルを編集します： 0 0 * * * /opt/kaspersky/kav4ws/bin/kav4wskavscanner /etc/kav/scanhome. conf /home -c 4. 2. 6. 追加機能： スクリプトファイルの使用 Kaspersky Anti-Virus では、標準の Unix コマンドおよびスクリプトファイルを使用して、ウイルス分析時にオブジェクト の追加処理を行うことができます。これらのツールを使用してステータスが異なる各オブジェクトに対する動作を定義す ることで、Kaspersky Anti-Virus の機能を拡張することができます。 4. 2. 6. 1. アーカイブ内にある感染オブジェクトの感染駆除 Kaspersky Anti-Virus はアーカイブ内の感染ファイルまたは疑わしいファイルを検知しますが、感染駆除は行いません。 しかし、スクリプトファイルを使用することで、アーカイブ内のファイルの感染を駆除することができます。以下に示す例 では、Kaspersky Anti-Virus の配布パッケージに含まれるスクリプトファイル vox. sh を使用して tar および zip の感 染を駆除する方法を紹介します。 スクリプトは、起動するとアーカイブを解凍してウイルススキャンを行い、個別のオブジェクトを処理して、スキャン済み のファイルを再び圧縮します。必要な圧縮ツールがシステムにインストール済みであることが前提です。 タスク：tar および zip 形式のアーカイブを、スクリプト vox. sh を使用してスキャンする。 ソリューション：タスクを実行するには、以下の手順を実行します： コマンドラインで以下のように入力します： # /opt/kaspersky/kav4ws/share/contrib/vox. sh <archive-path> 4. 2. 6. 2. 管理者への通知 通常の Unix ツールを使用して、ファイルシステムで感染オブジェクト、疑わしいオブジェクト、または破損オブジェクト が検知された場合に管理者へ通知を送るように設定することができます。 KASPERSKY ANTI-VIRUS の使用 23 タスク：設定ファイル kav4ws. conf の設定を使ったシステムスキャンで感染ファイルまたはアーカイブが検知 された場合に管理者へ通知が行われるように指定する。チェック対象オブジェクトに対し、シンボリックリンクの解決を 有効にする。 ソリューション：タスクを実行するには、以下の手順を実行します： 単体オブジェクトとコンテナオブジェクトの処理に関するルールを、kav4ws. conf で指定します： [scanner. options] FollowSymlinks=yes [scanner. object] OnInfected=exec echo %FULLPATH%/%FILENAME% is infected by %VIRUSNAME% | mail -s kav4ws-kavscanner admin@localhost. ru [scanner. container] OnInfected=exec echo archive %FULLPATH%/%FILENAME% is infected, viruses list is in the attached file %LIST% | mail -s kav4ws-kavscanner -a %LIST% admin@localhost. com このサンプルを実行する前に、mail ユーティリティが標準のインストールパスにあることを確認してください。 4. 3. リアルタイムのアンチウイルス ファイルシステムに対するリアルタイムのアンチウイルスは、kavmonitor によって実施されます。 kavmonitor コンポーネントの設定はすべて、アプリケーション設定ファイルの [monitor. *] セクションにまとめられ ています。kavmonitor コンポーネントは、別のプログラムがファイルアクセス (ファイルを開く、閉じる、実行する) を要 求した場合にウイルススキャンを行うように設定されています。ファイルを閉じるという動作の場合は、ファイルが変更 された場合にのみスキャンが行われます。デフォルトでは、ユーザが指定したすべてのオブジェクトタイプがスキャンさ れますが、以下のものはスキャンされません： • • • • アーカイブ 自己解凍型アーカイブ メールデータベース メールメッセージ シンボリックリンクのスキャンでは、リンクの対象オブジェクトがチェックされます。対象オブジェクトが保護の範 囲外であっても同様です。シンボリックリンクが IncludeDirs リストに追加されていると、kavmonitor コンポーネント によって解決されません。 スキャン結果をふまえて、アプリケーション設定ファイルで指定された設定を使ってアンチウイルス機能によるオブジェ クト処理が行われます。 24 Kaspersky Anti-Virus for Linux Workstation 5. 7 デフォルトでは、感染オブジェクトの感染駆除は無効になっています。変更するには、アプリケーション設定ファ イルで [monitor. options] セクションの Cure 設定に Yes の値を設定します。 Infected、Suspicious、Warning、Error、Protected、CureFailed のステータスが割り当てられたオブジェクトに 対し、以下のようなスキャン後の対応を設定することができます： • • • ディレクトリへの移動 - 指定されたステータスのオブジェクトをディレクトリへ移動します。単体オブジェクトも コンテナオブジェクト (フルパスを復元) も移動可能です ファイルシステムからの削除 コマンドの実行 - 標準の Unix スクリプトファイルまたはそれと同等のものを使用してファイルを処理します アプリケーションの設定ファイルで、オブジェクト処理のルールを設定することができます ([monitor. [. . . ] ポリシー作成の完了 ウィザードの最後のウィンドウには、タスクが正常に作成されたことを知らせるメッセージが表示されます。 ウィザードが完了すると、Kaspersky Anti-Virus ポリシーが該当するグループの [ポリシー] フォルダに追加され、結 果パネルに表示されます。 新規ポリシーの設定を編集し、 アイコンを使用して設定の変更に制限をかけることができます。ロックされた設定は、 アプリケーションやタスクのプロパティでは変更できなくなります。ポリシーは、クライアント PC が初めてサーバと同期 するときにクライアント PC へ適用されます。 コンテキストメニューまたは [操作] メニューの [コピー]/[貼り付け] および [削除] コマンドを使用して、グループ間 でのポリシーのコピーおよび移動、ポリシーの削除を行うことができます。 6. 3. 2. ポリシー設定の表示と編集 ポリシーは編集可能です。また、ネスト化されたグループポリシーやアプリケーション設定、タスク設定に対する変更を 禁止することもできます。 1. 設定編集の対象となるコンピュータグループを、コンソールツリーの [グループ] フォルダ (図 1) から選 択します グループ内の [ポリシー] フォルダを選択します。結果パネルに、そのグループに対して作成されたポリシ ーがすべて表示されます Kaspersky Anti-Virus for Linux Workstation and File Server 5. 7 ([アプリケーション] フィール ドで指定されたアプリケーション名) 向けポリシーのリストから、編集対象のポリシーを選択します ポリシーを選択し、コンテキストメニューの [プロパティ] を選択します。いくつかのタブで構成されたポリシ ーのプロパティウィンドウが表示されます [全般]、[実施]、および [イベント] タブは、Kaspersky Administration Kit の標準的なタブです。詳細については 『Kaspersky Administration Kit 管理者用マニュアル』を参照してください。 [設定] タブ (図 6) には、Kaspersky Anti-Virus 固有の設定があります。詳細は以下のとおりです。 44 Kaspersky Anti-Virus for Linux Workstation 5. 7 図 6. ポリシーの設定 ポリシー設定を編集する場合には、 ボタンを使用して、このポリシーに関して指定されたデータをロックする ことができます。ロックされた設定は、アプリケーションやタスクのプロパティでは変更できなくなります。 6. 3. 2. 1. [. . . ]