SAVFLをインストールして設定してみた

NO IMAGE

※過去のブログの記事を移植したため、情報は古めです。

SymantecのLinux用セキュリティソフトであるSAVFL(Symantec Anti Virus For Linux)をインストールしてみました。

以下に手順を簡単に書いてみます。

インストールはrpm。必要な機能ごとにrpmが分かれています。
GUIを利用するためのrpmもありますが、LinuxにわざわざGUIを入れることないので、今回は入れていません。

# rpm -Uvh sav-1.0.10-26-i386.rpm      ←メイン
# rpm -Uvh savap-x64-1.0.10-26.x86_64.rpm  ←auto protect機能
# rpm -Uvh savjlu-1.0.10-26.i386.rpm     ←live update機能

インストールできたことを確認します。
# rpm -qa | grep sav
gnome-screensaver-2.16.1-8.el5
savjlu-1.0.10-26
xorg-x11-drv-savage-2.1.1-5.fc6
sav-1.0.10-26
savap-x64-1.0.10-26

設定コマンドの使い方を確認してみます。
ヘルプオプションは微妙にバグがありました。

# /opt/Symantec/symantec_antivirus/sav –help
Invalid parameter or command.          ←ちゃんとオプションつけてるのに無効って言われる;
Usage: sav [OPTIONS] COMMAND

Options are:
-q | –quiet
-h | –help

Commands are:
autoprotect
-e | –enable
-d | –disable
manualscan
-s | –scan
-c | –clscan
-t | –stop
scheduledscan
-c | –create
-f | –frequency
-i | –interval
-t | –time
-m | –missedevents <0|1>
-l | –list
-n | –info
-d | –delete
-e | –enable
-s | –disable
-p | –stop
liveupdate
-u | –update
-v | –view
-s | –schedule
-f | –frequency
-i | –interval
-t | –time
-m | –missedevents <0|1>
quarantine
-l | –list
-d | –delete
-r | –restore
-p | –repair
-i | –info
definitions
-r | –rollback
-u | –usenewest
info
-d | –defs
-e | –engine
-p | –product
-s | –scanner
-a | –autoprotect
-t | –threats

For more information please refer to the man page or documentation.

auto protect機能の状態を確認します。
# /opt/Symantec/symantec_antivirus/sav info -a
disabled

無効になっているので有効にします。
# /opt/Symantec/symantec_antivirus/sav autoprotect -e
# /opt/Symantec/symantec_antivirus/sav info -a
enabled

スケジュールスキャンの設定を確認。
デフォルトでは設定されていません。
サーバなのでとりあえずスキャンは設定しなかったです。
# /opt/Symantec/symantec_antivirus/sav scheduledscan -l

LiveUpdateのスケジュール設定を確認します。
デフォルトでは金曜の20時に実行するようになっていました。
# /opt/Symantec/symantec_antivirus/sav liveupdate -v
Frequency: Weekly – Fri at 20:00
Missed Events: Enabled
State: Enabled

プロキシを使っているので、プロキシ経由でLiveUpdateを実施するように設定します。
# vi /etc/liveupdate.conf

hosts/0/url=http://liveupdate.symantecliveupdate.com:80
workdir=/tmp
logfile=/opt/Symantec/LiveUpdate/liveupdt.log
jar=/opt/Symantec/LiveUpdate/jlu.jar
urls=1
proxy=<プロキシサーバーのホスト名orIPアドレス>:8080

実行するとバイナリファイルになってしまうので、
バックアップを取っておいたほうが良いです。
# cp -p /etc/liveupdate.conf /etc/liveupdate.conf_before_binary

現在の定義ファイルのバージョンを確認。
# /opt/Symantec/symantec_antivirus/sav info –defs
2010年11月03日 rev. 2

LiveUpdateを実行します。
# /opt/Symantec/symantec_antivirus/sav liveupdate -u
1.000000%

99.000000%

定義ファイルが更新されたことを確認。
# /opt/Symantec/symantec_antivirus/sav info –defs
2010年12月21日 rev. 2

毎日朝7時にLiveUpdateを実行するようにスケジュールを設定します。
# /opt/Symantec/symantec_antivirus/sav liveupdate –schedule -f daily -i 07:00 -m 1
# /opt/Symantec/symantec_antivirus/sav liveupdate -v
Frequency: Daily – 07:00
Missed Events: Enabled
State: Enabled

※LiveUpdateのスケジュール設定を無効にするには以下のコマンドを実行します。
# /opt/Symantec/symantec_antivirus/symcfg add –key “Symantec Endpoint Protection”\\AV\\PatternManager\\Schedule –value Enabled –data 0 –type REG_DWORD
 
 
 「0」を「1」にすると有効にできます。

ログのローテート設定を行います。
まずは現在の設定を確認します。
# /opt/Symantec/symantec_antivirus/symcfg list -k ‘Symantec Endpoint Protection\\AV ‘
[Symantec Endpoint Protection\\AV\AdministratorOnly]
[Symantec Endpoint Protection\\AV\ClientScan]
[Symantec Endpoint Protection\\AV\Common]
[Symantec Endpoint Protection\\AV\ForwardScan]
[Symantec Endpoint Protection\\AV\LiveUpdate]
[Symantec Endpoint Protection\\AV\LocalScans]
[Symantec Endpoint Protection\\AV\PatternManager]
[Symantec Endpoint Protection\\AV\ProductControl]
[Symantec Endpoint Protection\\AV\Storages]
[Symantec Endpoint Protection\\AV\SystemScan]
Symantec Endpoint Protection\\AV\ClientType 2 REG_DWORD
Symantec Endpoint Protection\\AV\Connected 0 REG_DWORD
Symantec Endpoint Protection\\AV\GlobalScanStatus 4 REG_DWORD
Symantec Endpoint Protection\\AV\HeuristicLevel 2 REG_DWORD
Symantec Endpoint Protection\\AV\Home Directory /var/symantec REG_SZ
Symantec Endpoint Protection\\AV\RunUserScans 1 REG_DWORD
Symantec Endpoint Protection\\AV\SAV Directory /opt/Symantec/symantec_antivirus REG_SZ
Symantec Endpoint Protection\\AV\Temporary Directory /var/tmp REG_SZ
Symantec Endpoint Protection\\AV\Status 0 REG_DWORD
Symantec Endpoint Protection\\AV\Type 1 REG_DWORD
Symantec Endpoint Protection\\AV\Virus Definitions Directory /opt/Symantec/virusdefs REG_SZ
Symantec Endpoint Protection\\AV\MaxInput 100 REG_DWORD
Symantec Endpoint Protection\\AV\NoFileMod 0 REG_DWORD
Symantec Endpoint Protection\\AV\ScanEngineVendor NAV REG_SZ
Symantec Endpoint Protection\\AV\PatternFileDate 280B15 REG_BINARY
Symantec Endpoint Protection\\AV\PatternFileRevision 2 REG_DWORD
Symantec Endpoint Protection\\AV\PatternFileSequence 118567 REG_DWORD
Symantec Endpoint Protection\\AV\UsingPattern 3353090 REG_DWORD
Symantec Endpoint Protection\\AV\CurrentPatternName 20101221.002 REG_SZ
Symantec Endpoint Protection\\AV\ScanEngineVersion 1694630030 REG_DWORD
Symantec Endpoint Protection\\AV\InstalledProducts 1 REG_DWORD
Symantec Endpoint Protection\\AV\Orientation 1 REG_DWORD
Symantec Endpoint Protection\\AV\ProductVersion 1713946 REG_DWORD

31日を過ぎたログが削除されるように設定します。
# /opt/Symantec/symantec_antivirus/symcfg add -k ‘Symantec Endpoint Protection\\AV’ -v LogFileRollOverDays -d 31 -t REG_DWORD

設定されたことを確認します。
# /opt/Symantec/symantec_antivirus/symcfg list -k
‘Symantec Endpoint Protection\\AV ‘
[Symantec Endpoint Protection\\AV\AdministratorOnly]
[Symantec Endpoint Protection\\AV\ClientScan]
[Symantec Endpoint Protection\\AV\Common]
[Symantec Endpoint Protection\\AV\ForwardScan]
[Symantec Endpoint Protection\\AV\LiveUpdate]
[Symantec Endpoint Protection\\AV\LocalScans]
[Symantec Endpoint Protection\\AV\PatternManager]
[Symantec Endpoint Protection\\AV\ProductControl]
[Symantec Endpoint Protection\\AV\Storages]
[Symantec Endpoint Protection\\AV\SystemScan]
Symantec Endpoint Protection\\AV\ClientType 2 REG_DWORD
Symantec Endpoint Protection\\AV\Connected 0 REG_DWORD
Symantec Endpoint Protection\\AV\GlobalScanStatus 4 REG_DWORD
Symantec Endpoint Protection\\AV\HeuristicLevel 2 REG_DWORD
Symantec Endpoint Protection\\AV\Home Directory /var/symantec REG_SZ
Symantec Endpoint Protection\\AV\RunUserScans 1 REG_DWORD
Symantec Endpoint Protection\\AV\SAV Directory /opt/Symantec/symantec_antivirus REG_SZ
Symantec Endpoint Protection\\AV\Temporary Directory /var/tmp REG_SZ
Symantec Endpoint Protection\\AV\Status 0 REG_DWORD
Symantec Endpoint Protection\\AV\Type 1 REG_DWORD
Symantec Endpoint Protection\\AV\Virus Definitions Directory /opt/Symantec/virusdefs REG_SZ
Symantec Endpoint Protection\\AV\MaxInput 100 REG_DWORD
Symantec Endpoint Protection\\AV\NoFileMod 0 REG_DWORD
Symantec Endpoint Protection\\AV\ScanEngineVendor NAV REG_SZ
Symantec Endpoint Protection\\AV\PatternFileDate 280B15 REG_BINARY
Symantec Endpoint Protection\\AV\PatternFileRevision 2 REG_DWORD
Symantec Endpoint Protection\\AV\PatternFileSequence 118567 REG_DWORD
Symantec Endpoint Protection\\AV\UsingPattern 3353090 REG_DWORD
Symantec Endpoint Protection\\AV\CurrentPatternName 20101221.002 REG_SZ
Symantec Endpoint Protection\\AV\ScanEngineVersion 1694630030 REG_DWORD
Symantec Endpoint Protection\\AV\InstalledProducts 1 REG_DWORD
Symantec Endpoint Protection\\AV\Orientation 1 REG_DWORD
Symantec Endpoint Protection\\AV\ProductVersion 1713946 REG_DWORD
Symantec Endpoint Protection\\AV\LogFileRollOverDays 35 REG_DWORD

以上でとりあえず設定は終了です。