Table des matières
Antivirus à la demande pour Linux
Pourquoi un antivirus ?
Linux est très peu sensible aux virus, mais au delà de ça, il peut être utile de scanner des fichiers pour éviter d'être porteur sain de virus.
Si vous avez un doute et que vous voulez scanner un unique fichier, la meilleure solution reste VirusTotal.
Mais si vous avez besoin de scanner un ensemble de répertoires, un antivirus localement installé sur votre machine est une meilleure solution. C'est la solution présentée ci-dessous.
Pourquoi F-Prot et pas ClamAV
De mon expérience, ClamAV (la solution majoritairement proposée sous Linux) renvoie beaucoup trop de faux positifs. De plus, si vous n'avez pas le service ClamAV installé, l'antivirus met beaucoup de temps à démarrer.
Je préfère me fier à F-Prot (que je connais depuis très longtemps et qui dans mon expérience a toujours fait du bon boulot).
F-Prot propose une version gratuite de son antivirus, mais limitée au scan à la demande. Elle bénéficie de la même technologie de détection et des mêmes signatures que la version payante.
Avantages de cette solution:
- Gratuit.
- Rapide à démarrer et relativement rapide à scanner.
- Non intrusif dans le système (pas de service supplémentaire installé)
- Détecte les malwares Windows, Linux, Mac, mobiles, Java, macros, etc.
- Détecte les adwares et outils d'administration à distance.
- Détection heuristique.
- Scanne à l'intérieur des archives (zip/rar…) et fichiers intégrés (pdf…)
- Affichage des fichiers qui n'ont pas été scannés (parce que chiffrés, endommagés, etc.)
- Mises à jour fréquentes et automatiques des signatures.
Limites:
- Scan à la demande seulement.
- Quelques faux positifs (mais moins que ClamAV)
Installation
Une fois installé avec les options par défaut, vous aurez à disposition l'outil fpscan
en ligne de commande, et sera installé dans votre crontab une mise à jour automatique des signatures toutes les heures.
Je vous recommande d'installer l'antivirus dans /opt/f-prot
Page de téléchargement: http://www.f-prot.com/download/home_user/download_fplinux.html
Les versions que j'ai au 3 février 2020 sont (sha256sum):
aad50674ea3657894b5f9a11a7f3cdb476638c5e43c95a7a26f62ebe565083e1 fp-Linux.x86.32-ws.tar.gz e0c15c4c6c401d4f165b8cf7b726433dae13fe9842961ddaffc95afac69fddbb fp-Linux.x86.64-ws.tar.gz
Procédure d'installation
cd /opt sudo wget http://files.f-prot.com/files/unix-trial/fp-Linux.x86.64-ws.tar.gz sudo tar xvf fp-Linux.x86.64-ws.tar.gz sudo rm fp-Linux.x86.64-ws.tar.gz cd f-prot sudo ./install-f-prot.pl
La dernière ligne (install-f-prot.pl) va lancer l'installeur qui il va créer les liens symboliques nécessaires à l'intégration dans le système et installer les manpages. Vous pouvez presser simplement la touche ↵ Entrée jusqu'à la fin de l'installation, ou changer les options si celles par défaut ne vous conviennent pas.
Pendant l'installation, l'installeur va télécharger les mises à jour des signatures.
Après cette installation, il va vous proposer d'installer une ligne dans votre crontab pour mettre à jour automatiquement les signatures toutes les heures. Pressez simplement ↵ Entrée pour accepter la configuration par défaut (libre à vous de la modifier plus tard si vous le souhaitez).
Vous pouvez maintenant utiliser fpscan
où bon vous semble.
Utilisation
Vous avez accès à la documentation:
man fpscan
Utilisation simple:
fpscan fichier-ou-dossier
Par défaut, F-Prot ne vous affichera que les fichiers infectés, douteux ou qu'il n'a pas réussi à scanner.
Options intéressantes:
--mount
: Lors du scan, rester sur le même filesystem (utile par exemple quand vous avez des répertoires distants montés localement et que vous ne voulez pas qu'il les scanne).--adware
: Liste des adwares détectés en plus des virus.--applications
: Liste aussi les applications pouvant poser un risque de sécurité (comme les application d'administration à distance).
Si vous avez un doute sur un fichier unique, il peut être intéressant de le soumette à VirusTotal.
Tester le bon fonctionnement
Téléchargez le fichier-test EICAR. C'est un fichier non dangereux, mais que tous les éditeurs d'antivirus se sont accordés pour détecter dans les analyses. Il permet de vérifier qu'un antivirus fonctionne bien.
> cd /tmp > wget https://secure.eicar.org/eicar.com > fpscan eicar.com F-PROT Antivirus CLS version 6.7.10.6267, 64bit (built: 2012-03-27T11-39-07) FRISK Software International (C) Copyright 1989-2011 Engine version: 4.6.5.141 Arguments: eicar.com Virus signatures: 202002050637 (/opt/f-prot/antivir.def) [Found virus] <EICAR_Test_File (exact)> eicar.com Disinfect? (Y)es, (N)o, (A)ll yes, (I)gnore all, (Q)uit scan:
Mise à jour
La procédure d'installation automatique vous a ajouté une entrée dans votre crontab qui met à jour les signatures toutes les heures.
Voici la ligne qui a été ajoutée à votre /etc/crontab
:
25 * * * * root /opt/f-prot/fpupdate > /dev/null
(La minute en premier paramètre est aléatoire, afin de répartir la charge sur les serveurs de mise à jour.)
Vous pouvez également forcer la mise à jour:
sudo /opt/f-prot/fpupdate
Pour voir quelle version des signatures vous avez, faite fpscan --version
:
F-PROT Antivirus CLS version 6.7.10.6267, 64bit (built: 2012-03-27T11-39-07) FRISK Software International (C) Copyright 1989-2011 Engine version: 4.6.5.141 Arguments: --version Virus signatures: 202002050637 (/opt/f-prot/antivir.def)
On voit là que la version des signatures est 202002050637, ou 2020-02-05 06h37.
Pour avoir plus de détails sur le fichier des signatures vous pouvez faire fpscan --virno
.
Intégration dans le navigateur de fichier
Nous prendrons ici en exemple le navigateur de fichiers par défaut de Linux Mint, Caja (mais ce genre d'adaptation est possible dans la majorité des navigateurs de fichiers).
Voici comment ajouter une option dans le clic-droit sur les fichiers et dossier pour scanner.
Sauvegardez le script suivant dans le répertoire ~/.config/caja/scripts
et rendez-le exécutable:
- Scanner avec F-Prot
#!/bin/bash IFS=$'\n' for FILENAME in $CAJA_SCRIPT_SELECTED_FILE_PATHS; do if [ -d "$FILENAME" ]; then cmd="fpscan --adware \"$FILENAME\" ; read" xterm -geometry 260x60 -e /bin/bash -l -c "$cmd" fi if [ -f "$FILENAME" ]; then cmd="fpscan --adware \"$FILENAME\" ; read" xterm -geometry 260x60 -e /bin/bash -l -c "$cmd" fi done
Vous pouvez désormais scanner n'importe quel fichier ou dossier: Clic droit > Scripts > Scanner avec F-Prot.
(Pensez à installer xterm si vous ne l'avez pas: sudo apt install xterm
)