Re: Grundsätzliche Frage zu ClamAV

[Matthias Haegele <mhaegele@linuxrocks.dyndns.org>]

Peter Schütt schrieb:
> Hallo,

Hallo!

> > > > Der clamav untersucht das, womit du ihn fütterst.
> > > Gibt es denn eine Möglichkeit, ihn ans apt-get oder besser ans dpkg -i
> > > irgendwie zu hängen, so daß bei jeder Neuinstallation die Programmdateien
> > > auf Viren geprüft werden?
> > > Das erscheint mir neben der Mail-Prüfung am logischsten.
> > Vertraust du deinen Paketquellen nicht?
>
> Den meisten schon. Aber in diesem Fall wäre Kontrolle besser.
>  
> > Ich denke, dass die meisten Viren eh für Windows sind. Die Frage ist
> > nun: Was soll ein Windows-Virus in einem Debian-Paket?
>
> Prüft denn ClamAV nur auf Windows-Viren?
> Was ist denn mit Linux-Schädlingen?

Es sind halt afair momentan nur eine "Handvoll" Linux-Viren bekannt ...
Unter Linux sind "rootkits" imho eher das Problem ...

> > Schädliche Inhalte in einem Paket z.B. "rm -rf /" wirst du damit
> > sicher nicht filtern können oder irre ich mich hier?
> >
> > Was du suchst ist doch sicher eine Art Snort für Datenpakete (statt
> > Netzwerktraffic).

Tripwire? bzw. sonstige "Filesystem-Checksum-Prüfprogramme", ... Dafür 
braucht man aber imho ein "tiefgreifendes Verständnis" bzw. ist 
"nichttrivial".
(zumindest für mich nicht ;-) ).

[...]

> Ciao
>   Peter Schütt

hth
MH