为Linux服务器部署高效防毒软件

    3. 查看f－prot手册页

    f－prot是命令行下工作软件，软件提供请详细的手册页面。使用前请详细阅读。使用过Unix的用户比较熟悉man手册页。在Linux系统中存储着一部联机使用的手册，以供用户在终端上查找。man 是manual（手册）的缩写，使用man这个命令可以调阅其中的帮助信息，非常方便和实用。在您有输入命令有困难时, 您可以立刻得到这个文档. 例如, 如果您使用ps命令时遇到困难, 您可以输入man   f－prot得到帮助信息. 这会显示出f－prot的手册页。由于手册页man page是用less程序来看的(可以方便地使屏幕上翻和下翻), 所以在man page里可以使用less的所有选项。

    在less中比较重要的功能键有: [q]退出 ；[Enter]一行行地下翻 ；[Space]一页页地下翻 ；[b]上翻一页 ；[/]后跟一个字符串和[Enter]来查找字符串 ；[n]发现上一次查找的下一个匹配。手册页man page在很少的空间里提供了很多的信息。f－prot的手册页面如图1 。
 

图1 f－prot的手册页面

一、 修改相关参数

    f－prot主要用于文件服务器（NFS和Samba）和邮件服务器（sendmail、postfix、Qmail）。 对于文件服务器（NFS和Samba）可以直接使用，而邮件服务器（sendmail、postfix、Qmail）需要作相应修改，这里笔者以Postfix邮件服务器为例。Postfix 邮件服务器使用MailScanner 调用f-prot 与SpamAssassin， MailScanner配置比较直观简单。

    1. 安装、配置MailScanner

    # tar xzf MailScanner-4.48.4-2.rpm.tar.gz
    # cd MailScanner-4.48.4-2
    # ./install.sh

    2. 修改 /etc/MailScanner/MailScanner.conf

    Run As User = postfix
    Run As Group = postfix
    Incoming Queue Dir = /var/spool/postfix/hold
    Outgoing Queue Dir = /var/spool/postfix/incoming
    MTA = postfix
    Virus Scanners = f-prot
    Always Include SpamAssassin Report = yes
    Use SpamAssassin = yes
    Required SpamAssassin Score = 4
    SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin
    SpamAssassin Install Prefix = /usr/bin
    SpamAssassin Local Rules Dir = /etc/MailScanner

    3. 让Postfix 调用MailScanner，在/etc/postfix/main.cf 加入以下一行

    header_checks = regexp:/etc/postfix/header_checks

    4. 编辑/etc/postfix/header_checks 为以下内容

    /^Received:/ HOLD

    5. 修正权限

    # chown postfix.postfix /var/spool/MailScanner/incoming
    # chown postfix.postfix /var/spool/MailScanner/quarantine

二、 f－prot命令行参数

    f－prot是基于命令行下的工具，配合一些参数可以更有效查杀Linux、Windows病毒。
    格式：f－prot [drive, file or directory] [options]
    [options]主要参数见图－1：
 

图1

    应用说明：目前的防病毒产品普遍应用了一种被称为启发式扫描的技术，这是一种基于人工智能领域启发式（ heuristic ）搜索技术和行为分析手段的病毒检测技术。启发式扫描能够发现一些应用了已有机制或行为方式的病毒，根据“图灵试验”所获得的理论基础来分析，完全防御未知病毒是不可能的，只有当计算机拥有了超越人类的智能才可能检测出所有的未知病毒。智能主动防御可以有效防御针对未知的威胁及网络攻击；启发式扫描技术主要针对未知的病毒。这两种技术是可以并存的。

    [drive, file or directory] 方便代表驱动器名称、文件名称或者目录名称。

三、 测试f－prot

    您可以从网址（http://www.eicar.org/anti_virus_test_file.htm ）下载一个测试感染文件 http://www.eicar.org/download/eicar_com.zip 将其放在一个临时目录中。使用f－prot扫描该目录。然后查看结果，如果出现图2 界面表示安装fprot安装工作成功。

图2

    从图2 我们可以看到f－port程序版本、扫描引擎版本。病毒库版本：“VIRUS SIGNATURE FILES”包括：SIGN.DEF、SIGN2.DEF、MARCO.DEF 以及生成日期。