19 Virenscanner und -Wächter für Linux

Inhaltsverzeichnis

Linux hat sich im Serverbereich als feste Größe etabliert. Das freie Betriebssystem verrichtet klaglos, zuverlässig und kostengünstig seinen Dienst als Mail- und, dank Samba, als Dateiserver. Da Samba naturgemäß vor allem Dateien für Windows-Clients lagert, ergeben sich die typischen Probleme der Microsoft-Welt: Viren, Würmer und andere digitale Schädlinge können sich auf dem und über den Server verbreiten. Dieses Problem haben die Hersteller von Antivirensoftware erkannt und vermarkten nun auch verstärkt ihre Linux-Produkte.

Waren es vor ein paar Jahren nur wenige Firmen, so bieten inzwischen viele Hersteller Linux-Programme zur Virenbekämpfung für jeden Geschmack und Geldbeutel an. Wir haben diese Lösungen einer peniblen Prüfung unterzogen. Ebenso wie bei Tests der Antivirussoftware für Windows arbeitet c't hierbei mit der Universität Magdeburg zusammen. Die für Windows-Clients üblichen Testverfahren [1] haben wir den geänderten Anforderungen angepasst. Die Ergebnisse fasst die Tabelle am Ende des Artikels zusammen.

Gescannt oder bewacht?

In einem normalen Netzwerk, das eine Verbindung zum Internet unterhält, gibt es zahlreiche Einfallstore für Schädlinge: Mail, Dateidownloads, sei es von FTP- oder HTTP-Servern, aus Tauschbörsen oder Instant-Messaging-Programmen (IM), oder klassisches Einschleppen auf Datenträgern. Um einen hundertprozentigen Schutz zu erreichen, müsste man all diese Tore, Türen und Türchen schließen. Da das in der Praxis niemand wirklich will, gilt es einen gesunden Kompromiss zu schließen. Wo der liegt, muss jeder für sich selbst ermitteln. Die Hersteller von Antivirussoftware und anderer Schutzsoftware führen spezielle Produkte, etwa um den Mail-, Web- und FTP-Verkehr zu überwachen, und bieten sogar Zusätze für IM-Software an. Ein sinnvoller Vergleich all dieser Speziallösungen wäre kaum möglich. Wir konzentrieren uns hier deshalb auf den Kern der Produkte, nämlich die eigentliche Scan-Engine, die Virensignaturen und andere verdächtige Muster in Dateien sucht -- sie bildet in der Regel den Unterbau für jede Speziallösung, die sich komfortabel in Mailserver oder Firewalls integrieren lässt, dort aber oft in an das konkrete Szenario optimierten Einstellungen läuft.

Eingefleischte Linux-Fans dürften ohnehin nur auf eine solide Engine erpicht sein. Sind sie es doch gewohnt, aus Komponenten eine Gesamtlösung selbst aufzubauen: Eine Scan-Engine lässt sich unter Linux vielseitig verwenden, etwa in den Mail-Server oder den File-Server integrieren und mit etwas Geschick sogar an den Proxy-Server dranhängen.

Sparfüchsen verspricht das auch geringere Kosten: Für einen Scanner sind meist nur pro Server Lizenzzahlungen nötig, während die auf Mail spezialisierten Lösungen pro Benutzer oder pro Mailbox zu bezahlen sind. Man sollte aber die Lizenzklauseln der Anbieter prüfen. Mancher möchte darin den Einsatz in einem Mailserver ausschließen -- statthaft wäre das aber nur, wenn der Käufer von diesem Umstand vor dem Kauf erfährt oder er Bestandteil des Kaufvertrags wäre.

Ansätze, einen Scanner in bestehende Dienste einzubauen, gibt es reichlich. Für die Mail-Integration bieten sich je nach SMTP-Server gleich eine Palette von Lösungen an, etwa Amavis(-ng), Exiscan, Milter und Mailscanner. SquidGuard, eigentlich ein Filterzusatz für den Proxy-Server Squid, lässt sich so aufbohren, dass er Schädlinge schon beim Download erkennt und gar nicht erst an den Client-PC ausliefert. Im Unterschied zu den Komplettlösungen der Hersteller von Antivirus-Software handelt es sich bei diesen Baukastenlösungen meist um freie Software, für die -- abgesehen vom Scanner selbst -- keine Lizenzzahlungen zu leisten sind.

Die betrachteten Produkte lassen sich in zwei Kategorien einteilen: Alle bringen so genannte On-Demand-Scanner mit, also klassische Virenscanner, die ein Systemverwalter explizit aufrufen muss, damit sie nach Schädlingen suchen. Natürlich kann man das auch automatisieren, indem solche Jobs via cron regelmäßig starten. Der Nachteil dieser Methode ist freilich, dass ein von einem Virus befallener Client schon eine Menge Schaden auf dem Server angerichtet haben kann, bevor die Gefahr erkannt wird.

Die zweite Kategorie bringt zusätzlich einen On-Access-Wächter mit. Er läuft permanent und überwacht Dateizugriffe. Je nach Konfiguration scannt er eine Datei beim Schließen oder Öffnen. Kommt es zu einem positiven Befund, räumt er die befallene Datei beiseite, löscht oder desinfiziert sie. Ein Systemverwalter muss sich also nicht darum kümmern, den Datenbestand zu prüfen, und erhält Alarmmeldungen schon beim ersten Befall.