nach USB automount Virenscanner starten

[thorstensd]

Hallo,

ich möchte direkt nach dem automatischen mounten meines USB Sticks /media/.... einen Virenscanner (oder mehrere nacheinander) starten.
Mir fehlt leider der Ansatz, wie ich das angehen könnte.

Kann mir jemand bitte einen Tip geben?

Grüße

[TomL]

ich möchte direkt nach dem automatischen mounten meines USB Sticks /media/.... einen Virenscanner (oder mehrere nacheinander) starten.
Mir fehlt leider der Ansatz, wie ich das angehen könnte. Kann mir jemand bitte einen Tip geben?

Ich glaube, dass ist hier in diesem Forum eine nicht ganz leicht zu beantwortende Frage.... gerade weils auch hier primär um Debian geht. Meiner Einschätzung nach tummeln sich hier überwiegend fachlich außerordentlich gut informierte Leute und ich habe eigentlich noch nie gehört, dass sich hier jemand ernsthaft mit Virenscannern befasst - sofern er das nicht gerade für ein anderes Betriebssystem braucht. Zumal ja bei den Debian-Anwendern eigentlich auch die Devise gilt, keine Fremd-PPAs einzubinden, keine proprietäre Anwendungssoftware zu nutzen und sich primär für "alles" aus dem Debian-Repo zu versorgen, womit eigentlich ein Virenbefall so gut wie unmöglich ist.

Wenn Du also tatsächlich Debian nutzt und Deine Software ausschließlich aus dem Debian-Repo beziehst, worauf möchtest Du dann den Virenscanner prüfen lassen? Ich könnte mir jetzt noch eine Prüfung eigehender Mails vorstellen, aber die wird vermutlich ja überwiegend nur Windows-Malware finden, die ja unter Debian gar nicht laufen kann. Und ein USB-Stick sollte eigentlich auch keine Gefahr darstellen, weil die Inhalte ja nur mit Deinen User-Rechten geöffnet werden, also nicht mit Admin-Rechten... aber selbst da kann man doch eigentlich nur mit Windows-Malware rechnen. Möglicherweise ist noch der Browser kritisch, aber wenn dem auch das Ausführen von Scripten verboten ist, wie soll sich da ein Virus einschleichen?

Ich habe im Moment starke Zweifel an der Sinnhaftigkeit eines Virenscanners für solche Debian-Anwender, die gewissenhaft der Debian-Maxime folgen. Jetzt bin ich mal gespannt, ob andere hier eine andere Meinung haben und vielleicht lerne ich ja was neues dazu. Einen Virenscanner ist zumindest nach meiner bisherigen Einschätzung so ziemlich das letzte, was ich für unsere Debian-Maschinen einsetzen würde.

*Uuups*... jetzt habe ich fast den "Tip" vergessen... das geht natürlich über eine UDEV-Regel, mit der man erkennen kann, das ein Stick eingesteckt wurde.... aber wie gesagt... die Zweifel sind noch da...

j.m.2.c.

[MSfree]

Wenn Du also tatsächlich Debian nutzt und Deine Software ausschließlich aus dem Debian-Repo beziehst, worauf möchtest Du dann den Virenscanner prüfen lassen?

Spätestens, wenn man Wine installiert, ist man auch unter Debian für Windowsviren potentiell angreifbar. Externe Datenträger wie USB-Platten oder USB-Sticks werden ja gerne auch zum Datentausch (mit Windowsrechnern) genutzt, theoretische Infektionswege gibt es also. Wenn der Linuxserver noch als Fileserver für Windowsrechner dienen soll, ergibt sich ebenfalls ein Übertragungsweg, nämlich der, die Windowskisten durch virenverseuchte Dateien zu infizieren, auch, wenn Linux selbst dagegen weitgehen immun ist.

Zum eigentlich Thema:
UDEV bietet Möglichkeiten, auf externe Geräte beim Einstecken zu reagieren und auch Skripte auszuführen. Der Mechanismus wird gerne genutzt, um z.B. ein Backupskript zu starten, wenn eine externe Platte angehängt wird. Statt Backupskript ließe sich selbstverständlich auch ein Skript starten, das einen Virenscanner in Gang setzt.

[thorstensd]

Danke erst mal für die Infos, der Debian Rechner soll ein reiner USB Stick Scanner sein.
Hintergrund ist, dass aufgrund unserer Tätigkeit recht oft USB Devices von ausserhalb des Unternehmens intern genutzt werden müssen.
Wir möchten hierzu eine Scan Station einsetzen - eben dieser Linux Rechner - der zusätzlich zu den Virenscannern auf den Windows Rechner die Sticks scannt, bevor diese ins Unternehmens Netz gelangen um die Sicherheit nochmals zu erhöhen.

Die einfachste Variante, wäre Desinfect, aber hier gibt es User, die mit der Bedienung nicht klar kommen - bitte fragt nicht, man muss es eben einfach als gegeben hinnehmen

Grüße Thorsten

[Datenteiler]

Hi,

Einen Virenscanner ist zumindest nach meiner bisherigen Einschätzung so ziemlich das letzte, was ich für unsere Debian-Maschinen einsetzen würde.

sehe ich im Prinzip auch so. Ich kann mir aber schon vorstellen, dass es eventuell wenige Szenarien gibt, in denen man so etwas gebrauchen könnte: USB-Sticks halbautomatisch nach Windows-Viren zu durchsuchen.

Als Scanner würde ich vermutlich Sophos für Linux nehmen, da er wohl ganz gut Windows-Viren erkennt. Er ist auch bei Desinfec't dabei.

Ins Blaue geschossen und völlig ungetestet würde ich eine udev-Regel nehmen:

Code: Alles auswählen

ACTION=="add", SUBSYSTEM=="block", KERNEL=="sd[a-z]1" SYMLINK+="usbflash", RUN+="/usr/bin/systemctl start my-usb-scan.service"

Und einen simplen oneshot-Service mit "my-usb-scan.service" starten:

Code: Alles auswählen

[Unit]
Description=run myscript4virusscanner[Service]
Type=oneshot
ExecStart=/path/to/myscript4virusscanner.sh

So ähnlich hat jemand einen Copy-Job für seinen Raspi gebastelt, der gestartet wurde, wenn er einen USB-Stick eingesteckt hat. Anstelle zu kopieren würde ich halt scannen.

P.S. Ok, ich habe die letzten Antworten noch nicht gesehen. Aber das wäre ja so ein Grund.

Viele Grüße
Christian

[TomL]

Spätestens, wenn man Wine installiert, ist man auch unter Debian für Windowsviren potentiell angreifbar.

Jo, sorry... daran habe ich nicht gedacht. Ist es dann ein Windows-Virenscanner, der unter Wine läuft? Oder ein Linux-Virenscanner, der auf Windows-Malware scannt? So richtig ist mir das nicht klar, weil exe's und com's ja unter Linux nicht laufen, Outlook-Skripts gehen unter Linux imho auch nicht, und Batch, Shellscripts oder VB-Programme ebenfalls nicht. Läuft der Scan-Vorgang dann rein auf Windows-Seite (als irgendeine VM (z.B. Wine) unter Debian) oder muss Debian da auch noch was tun? Wenn der Scanner unter Linux läuft, scannt der dann gleichzeitig Windows-Malware und Linux-Malware? So richtig erschließt sich mir das noch nicht... habe mich ja noch nie damit befasst.... und bin froh, dass mir das auf absehbare Zeit auch noch erspart bleibt.

[Taomon]

Ich habe sowas am laufen. Allerding wird alles was unter /media/Username eingehangen wird geprüft. Kann bei USB-Platten nervig sein. Viren-Scanner is bei mir clamd.

Code: Alles auswählen

cat /etc/udev/rules.d/bb-clamtk.rules 
KERNEL=="sd[c-z]*", SUBSYSTEMS=="usb", ENV{SYSTEMD_WANTS}="clamtk.service"

da ich 2 interne Platten habe ich ab Bezeichnung sdc angefangen.

Code: Alles auswählen

cat /etc/systemd/system/clamtk.service
[Unit]
Description=clamtk 
Requires=dev-media0.device
 

[Service]
Type=notify 
User=username
ExecStart=/bin/bash -c "/usr/local/bin/clam"
ExecReload=/bin/kill -HUP $MAINPID
Restart=on-failure
RestartSec=15s

Damit mein Backup-Platte nicht überprüft wird.
sowie

Code: Alles auswählen

root@Taomon:/home/alex# cat /usr/local/bin/clam 
#!/bin/bash

set -e
/bin/sleep 30
if /bin/findmnt | /bin/grep debianhome > /dev/null;then
echo "Backup-Platte gefunden";
exit 0;
else
/bin/sleep  20  && /usr/bin/clamscan -r -z /media/user && /usr/bin/aplay -q /home/alex/.wine/drive_c/Programme/Enterbrain/RPG2003/RTP/Sound/wave1.wav;
fi

Zum Schluß gibt es bei mir einen netten Sound-Effekt.

Gruß Taomon

[thorstensd]

@Taomon, klasse, eigentlich genau das was ich suche.

Habs mal schnell in Form gebracht, mit den Dateinamen/Pfaden usw. für die Nachwelt - passt so oder?
Gibts da noch was zu beachten? Scannt Calm auch Windows Viren? Wäre dann genau richtig für mich - mir geht es darum, auf jedenfall einen Virenscanner zu nutzen, der nicht bereits auch auf den Clients läuft.

/etc/udev/rules.d/bb-clamtk.rule

Code: Alles auswählen

KERNEL=="sd[c-z]*", SUBSYSTEMS=="usb", ENV{SYSTEMD_WANTS}="clamtk.service

/etc/systemd/system/clamtk.service

Code: Alles auswählen

[Unit]
Description=clamtk 
Requires=dev-media0.device

[Service]
Type=notify 
User=username
ExecStart=/bin/bash -c "/usr/local/bin/clam"
ExecReload=/bin/kill -HUP $MAINPID
Restart=on-failure
RestartSec=15s

usr/local/bin/clam

Code: Alles auswählen

#!/bin/bash
set -e
/bin/sleep 30
if /bin/findmnt | /bin/grep debianhome > /dev/null;then
echo "Backup-Platte gefunden";
exit 0;
else
/bin/sleep  20  && /usr/bin/clamscan -r -z /media/user && /usr/bin/aplay -q /home/alex/.wine/drive_c/Programme/Enterbrain/RPG2003/RTP/Sound/wave1.wav;
fi

Besten Dank - auch den anderen für die zahlreichen Infos.

Grüße

[Taomon]

Für user mußt du Deinen Usernamen einsetzen.

Ich habe clamav mal vor Jahren drauf, da ich einen USB-Stick an einem Windows-System mit nutzen mußte.

Das Skript /usr/local/bin/clam kannst du anpassen.

Code: Alles auswählen

#!/bin/bash
/bin/sleep  20  && /usr/bin/clamscan -r -z /media/user 

Gruß Taomon