KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più
× Non sei ancora nostro cliente Avast? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Avast - Configurazione scansione per Linux

Avast - Configurazione scansione per Linux

È possibile configurare le modalità di esecuzione delle scansioni in Avast Business Antivirus per Linux, attraverso un’utilità a riga di comando, ovvero l’Avast Manual Page. Infatti il pacchetto Avast per Linux contiene sia lo scanner antivirus standard, sia un’utility di scansione a riga di comando. Avast è il servizio di scansione antivirus per Linux in cui i client (Shield, ecc.) si connettono al socket UNIX del servizio per eseguire richieste di scansione e ricevere i risultati della scansione.
Il comando di apertura dello strumento Scan manual page ha questa sintassi:

avast [OPZIONI]

dove le Opzioni possibili sono le seguenti.

  • -h: stampa brevi informazioni sull'utilizzo ed esce dallo strumento;
  • -V: stampa la versione del programma ed esce dallo strumento;
  • -d DIR: verifica che DIR sia una directory di dati valida e contenga un database VPS valido; se il codice di output è diverso da zero, il VPS è mancante o non valido. Il controllo può generare alcuni file di dati nella directory VPS se mancano, ma può essere generato dai corrispondenti file "sorgente".
  • -c FILE: imposta il percorso del file di configurazione su FILE. Il file di configurazione predefinito è /etc/avast/avast.conf.
  • -q: modalità silenziosa; non accede a stderr.
  • -v: modalità dettagliata; aumenta il livello di registro (-v = INFO, -vv = DEBUG).

Avast Configuration file

Il formato del file di configurazione dello scanner Avast per Linux è un .ini composto da voci KEYWORD = VALUE, poste ciascuna in una riga separata. Righe che iniziano con ";" vengono trattate come commenti e quindi non eseguite. Le chiavi possono essere raggruppate in sezioni denominate arbitrariamente, in cui il nome della sezione appare su una riga da solo tra parentesi quadre.

Quello che segue è un esempio di Configuration file contenente opzioni predefinite esplicitamente definite:

Banner


; Avast configuration file

RUN_DIR = "/var/run/avast"

TEMP_DIR = "/tmp"

DATA_DIR = "/var/lib/avast"

SOCKET = "/var/run/avast/scan.sock"

LICENSE = "/etc/avast/license.avastlic"

WHITELIST = "/etc/avast/whitelist"

SUBMIT = "/var/lib/avast/Setup/submit"



[OPTIONS]

CREDENTIALS = 0

STATISTICS = 1

HEURISTICS = 1

STREAMING_UPDATES = 1

 

 

Il file di configurazione viene riletto su segnale HUP dal programma, ma vengono ricaricate solo le voci contenute nella sezione [OPTIONS]. Le modifiche ai parametri globali vengono ignorate.

Per quanto riguarda i parametri globali che vedete nell’esempio di Configuration file proposto  sopra, sono descritti qui di seguito.

  • RUN_DIR: Esegui directory. Il file PID è memorizzato in tale directory.
  • TEMP_DIR: directory temporanea. I file temporanei del programma sono archiviati in essa.
  • DATA_DIR: directory dei dati. Contiene il database delle definizioni dei virus e vari altri file di dati utilizzati da Avast.
  • SOCKET: percorso del socket UNIX utilizzato dai client per connettersi al servizio di scansione; tale socket viene creato da Avast all'avvio del servizio.
  • LICENSE: persorso del file di licenza.
  • WHITELIST: percorso di un file di whitelist; il file di whitelist contiene hash sha256 di file che non devono essere segnalati come infezioni anche se rilevati dal motore di scansione. Il formato del file è un hash sha256 in modalità testo per riga. Nel file è possibile utilizzare commenti con prefisso cancelletto (#).
  • SUBMIT: percorso per l'utilità di invio. Se questa opzione è abilitata, l'utilità di invio crea e invia rapporti su file infetti e sospetti al laboratorio antivirus Avast.

Quanto alla sezione [OPTIONS] del file di configurazione, le opzioni contenute sono le seguenti.

  • CREDENTIALS: se abilitata, Avast esegue un controllo delle credenziali del socket UNIX ogni volta che si connette un nuovo client. Se l'UID effettivo del client non corrisponde all'UID effettivo del processo Avast o il GID effettivo del client non corrisponde al GID effettivo avast o a qualsiasi GID di gruppo supplementare avast, la connessione viene rifiutata.
    • STATISTICS: se abilitata, Avast crea invii di statistiche sui file dannosi rilevati.
        • HEURISTICS: se abilitato, Avast crea invii euristici sui file sospetti rilevati durante la scansione.
        • STREAMING_UPDATES: se abilitata, il servizio di scansione stabilisce una connessione di rete permanente al cloud Avast e recupera istantaneamente gli aggiornamenti delle definizioni dei virus non appena vengono rilasciati. Gli aggiornamenti in streaming sono un'aggiunta ai normali aggiornamenti del database dei virus; non li sostituiscono. Riceverete sempre tutti gli aggiornamenti in streaming nel successivo aggiornamento regolare del database delle definizioni dei virus (VPS).

Configurare la scansione da riga di comando in Linux

Per configurare le scansioni tramite lo strumento a riga di comando di Avast Business Antivirus per Linux bisogna operare dalla Scan manual page.
Scan è lo scanner a riga di comando di base fornito con Avast per Linux; esso cerca nei PATH (percorsi) dati i file infetti e segnala tali file allo standard output. Se non viene fornito alcun PATH, i percorsi di scansione vengono letti dallo standard input, riga per riga.
Lo strumento di scansione è un client che si connette al servizio di scansione Avast; non può funzionare separatamente senza un servizio di scansione in esecuzione.

La sintassi del comando per eseguire la Scan manual page è il seguente:


scan [-s SOCKET] [-e PATH] [-abfipux] [PATH]...

scan [-s SOCKET] [-a] -U [URL]...

scan [-s SOCKET] -V

scan -h | -v

 

La sintassi prevede le opzioni elencate e descritte qui di seguito.

  • -h: stampa brevi informazioni sull'utilizzo ed esce dallo strumento;
  • -v: stampa la versione del programma ed esce dallo strumento;
  • -V: stampa la versione delle definizioni dei virus (VPS) ed esce dallo strumento; la versione VPS viene recuperata dal servizio di scansione.
  • -U: controlla gli URL per verificare se sono dannosi (l'URL viene confrontato con una lista nera, quindi non viene eseguita alcuna richiesta di rete all'URL specificato).
  • -s SOCKET: indica di utilizzare SOCKET per connettersi al servizio di scansione; a riguardo, considerate che il percorso del socket di scansione predefinito è /Library/Application Support/Avast/run/scan.sock.
  • -e PATH: Esclude PATH dalla scansione. Utilizzate questa opzione più volte quando è richiesto più di un percorso di esclusione.
  • -a: stampa tutti i file/URL scansionati, non solo quelli infetti.
  • -b: segnala le decompression bombs come infezioni. Una volta impostati, i file sospettati di essere decompression bombs vengono segnalati come infetti, ma non come errori.
  • -f: scansiona file completi; una volta impostata tale opzione, viene scansionato l'intero contenuto del file, non solo le parti del file rilevanti.
  • -i: stampa informazioni dettagliate sull'infezione; quando impostato, vengono stampate informazioni dettagliate su tutte le infezioni rilevate nel file scansionato.
  • -l LEVEL: imposta il livello euristico su LEVEL (0-100) dove tra parentesi occorre indicare numericamente il livello desiderato di applicazione del metodo euristico.
  • -p: stampa il contenuto dell'archivio; se questa opzione viene impostata, i file in un archivio sono elencati separatamente, con lo stato di scansione per ciascuno mostrato.
  • -u: segnala i programmi potenzialmente indesiderati (PUP); quando questa opzione è impostata, i file PUP vengono segnalati come infetti.
  • -x: non estrae gli archivi; se impostata tale opzione, i file compressi non vengono estratti durante la scansione.

Notate che per “stampare” si intende inviare in output i dati corrispondenti.

Formati di output dei dati dello Scanner Avast

Ogni file dannoso rilevato viene segnalato su una riga separata nel formato: PATH INFECTION.
Se tutti i file vengono stampati utilizzando l'opzione -a, i file puliti hanno una stringa "[OK]" come nome dell'infezione e i file che non è stato possibile scansionare (autorizzazioni insufficienti, archivi danneggiati, ...) hanno un "[ ERROR]" come nome dell'infezione.
I file che sono stati esclusi dalla scansione utilizzando l'opzione -e hanno una stringa "[EXCLUDED]" come nome dell'infezione.
Se l'opzione -p è impostata, PATH contiene il percorso dell'archivio delimitato da "|>".

Diritti di accesso

Siccome in Avast Scanner è il servizio di scansione che accede ai file da scansionare, non l'utilità di scansione stessa, il servizio di scansione stesso deve disporre dei diritti di accesso ai file che occorre scansionare. Le connessioni al servizio di scansione possono essere limitate ai client con lo stesso UID/GID se abilitato nella configurazione del servizio di scansione.


Stati di output risultanti dalle scansioni

  • 0: se non vengono trovati file infetti
    • 1: se vengono trovati file infetti
        • 2: se si è verificato un errore

Lo stato infetto ha la precedenza sullo stato di errore, quindi una scansione in cui non è stato possibile eseguire la scansione di alcuni file ed è stata rilevata un'infezione restituisce 1.

 

Configurare la scansione File Server in Linux

In Avast Business Antivirus per Linux è possibile configurare l’azione dello scanner Avast per eseguire una specifica scansione del File Server. Di seguito sono descritti gli strumenti utilizzati e la rispettiva configurazione.

Banner

Avast-fss manual page

Avast-fss fornisce la scansione in tempo reale dei file scritti su uno qualsiasi dei punti di montaggio monitorati. Avast-fss si basa sul sistema di notifica degli accessi fanotify disponibile sui kernel Linux 2.6.37+.
Lo strumento di scansione è un client che si connette al servizio di scansione Avast; non può funzionare separatamente senza un servizio di scansione in esecuzione.
La sintassi del comando per eseguire l’fss Scan manual page è il seguente:

avast-fss [OPTIONS]

La sintassi prevede le opzioni elencate e descritte qui di seguito.

  • -h: stampa brevi informazioni sull'utilizzo ed esce;
  • -v: stampa la versione del programma ed esce;
  • -c FILE: imposta il percorso del file di configurazione su FILE; il file di configurazione predefinito è /etc/avast/fss.conf;
  • -n: non demonizza.

Notate che per “stampare” si intende inviare in output i dati corrispondenti.                                                                                                                      

File di configurazione

Il formato del file di configurazione è un .ini composto da voci KEYWORD = VALUE, ciascuna su una riga separata. Le righe che iniziano con ";" vengono trattate come commenti e ignorate durante l’esecuzione. Le chiavi possono essere raggruppate in sezioni denominate arbitrariamente, in cui il nome della sezione appare su una riga da solo tra parentesi quadre.
La configurazione è composta da due parti: le opzioni di configurazione globale e la configurazione di monitoraggio. La configurazione di esempio seguente mostra tutte le opzioni di configurazione globale disponibili e i relativi valori predefiniti seguiti da alcuni esempi di voci di monitoraggio (ed esclusione monitoraggio).


Un esempio di file di configurazione è quello proposto qui di seguito: si tratta di un configuration file dove sono state definite esplicitamente le opzioni predefinite:

; Avast configuration file

RUN_DIR = "/var/run/avast"
SOCKET = "/var/run/avast/scan.sock"
LOG_FILE = "/var/log/avast/fss.log"
CHEST = "/vvar/lib/avast/chest"
SCANNERS = 4
UNLIMITED_QUEUE = 0

[MONITORS]
SCAN = "/some/mountpoint/to/monitor"
SCAN = "/another/mountpoint/to/monitor"
EXCL = "/path/to/exclude/from/scan"

 

Per quanto riguarda i parametri globali che vedete nell’esempio proposto  sopra, sono descritti qui di seguito.

  • RUN_DIR: Esegui directory. Il file PID è memorizzato in tale directory.
  • SOCKET: percorso del socket UNIX utilizzato dai client per connettersi al servizio di scansione; tale socket viene creato da Avast all'avvio del servizio.
  • LOG_FILE: indica il percorso in cui si trova il virus log file.
  • CHEST: è il percorso della directory dove si trova il cestino dei virus. Tale directory è quella dove i file malevoli rilevati vengono spostati. Se la chest directory è posizionata in un monitored mountpoint, it is automatically added to the excluded paths on startup
  • SCANNERS: numero di scansioni possibile in esecuzione parallela; il valore di questa opzione va impostato in base al numero di core della CPU per ottenere le migliori prestazioni.
  • UNLIMITED_QUEUE: se impostata ad 1, avast-fss disabilita il limite alla dimensione della coda eventi di fanotify.

Per quanto riguarda la sezione MONITORS del file d’esempio sopra riportato, vale quanto segue:

  • SCAN indica un punto di montaggio (percorso) che deve essere monitorato da avast-fss. Se il percorso specificato non è un punto di montaggio del sistema, viene automaticamente convertito nel punto di montaggio corrispondente.
  • EXCL è un percorso da escludere dal monitoraggio.