Outils pour utilisateurs

Outils du site


fprot-linux

Antivirus à la demande pour Linux

Pourquoi un antivirus ?

Linux est très peu sensible aux virus, mais au delà de ça, il peut être utile de scanner des fichiers pour éviter d'être porteur sain de virus.

Si vous avez un doute et que vous voulez scanner un unique fichier, la meilleure solution reste VirusTotal.

Mais si vous avez besoin de scanner un ensemble de répertoires, un antivirus localement installé sur votre machine est une meilleure solution. C'est la solution présentée ci-dessous.

Attention VirusTotal (qui appartient à Google) conserve une copie des fichiers qui lui sont envoyés. Ce n'est peut-être pas une bonne idée de lui envoyer des fichiers privés.

Pourquoi F-Prot et pas ClamAV

De mon expérience, ClamAV (la solution majoritairement proposée sous Linux) renvoie beaucoup trop de faux positifs. De plus, si vous n'avez pas le service ClamAV installé, l'antivirus met beaucoup de temps à démarrer.

Je préfère me fier à F-Prot (que je connais depuis très longtemps et qui dans mon expérience a toujours fait du bon boulot).

F-Prot propose une version gratuite de son antivirus, mais limitée au scan à la demande. Elle bénéficie de la même technologie de détection et des mêmes signatures que la version payante.

Avantages de cette solution:

  • Gratuit.
  • Rapide à démarrer et relativement rapide à scanner.
  • Non intrusif dans le système (pas de service supplémentaire installé)
  • Détecte les malwares Windows, Linux, Mac, mobiles, Java, macros, etc.
  • Détecte les adwares et outils d'administration à distance.
  • Détection heuristique.
  • Scanne à l'intérieur des archives (zip/rar…) et fichiers intégrés (pdf…)
  • Affichage des fichiers qui n'ont pas été scannés (parce que chiffrés, endommagés, etc.)
  • Mises à jour fréquentes et automatiques des signatures.

Limites:

  • Scan à la demande seulement.
  • Quelques faux positifs (mais moins que ClamAV)

Installation

Une fois installé avec les options par défaut, vous aurez à disposition l'outil fpscan en ligne de commande, et sera installé dans votre crontab une mise à jour automatique des signatures toutes les heures.

Je vous recommande d'installer l'antivirus dans /opt/f-prot

Page de téléchargement: http://www.f-prot.com/download/home_user/download_fplinux.html

Notez que la page ne semble proposer que la version 32 bits, mais la version 64 bits est également téléchargeable (remplacez “32” par “64” dans l'URL).

Les versions que j'ai au 3 février 2020 sont (sha256sum):

aad50674ea3657894b5f9a11a7f3cdb476638c5e43c95a7a26f62ebe565083e1  fp-Linux.x86.32-ws.tar.gz
e0c15c4c6c401d4f165b8cf7b726433dae13fe9842961ddaffc95afac69fddbb  fp-Linux.x86.64-ws.tar.gz

Procédure d'installation

cd /opt
sudo wget http://files.f-prot.com/files/unix-trial/fp-Linux.x86.64-ws.tar.gz
sudo tar xvf fp-Linux.x86.64-ws.tar.gz
sudo rm fp-Linux.x86.64-ws.tar.gz
cd f-prot
sudo ./install-f-prot.pl
Vous pouvez également télécharger fp-Linux.x86.32-ws.tar.gz pour la version 32 bits si vous préférez.

La dernière ligne (install-f-prot.pl) va lancer l'installeur qui il va créer les liens symboliques nécessaires à l'intégration dans le système et installer les manpages. Vous pouvez presser simplement la touche ↵ Entrée jusqu'à la fin de l'installation, ou changer les options si celles par défaut ne vous conviennent pas.

Pendant l'installation, l'installeur va télécharger les mises à jour des signatures.

Après cette installation, il va vous proposer d'installer une ligne dans votre crontab pour mettre à jour automatiquement les signatures toutes les heures. Pressez simplement ↵ Entrée pour accepter la configuration par défaut (libre à vous de la modifier plus tard si vous le souhaitez).

Vous pouvez maintenant utiliser fpscan où bon vous semble.

Utilisation

Vous avez accès à la documentation:

man fpscan

Utilisation simple:

fpscan fichier-ou-dossier

Par défaut, F-Prot ne vous affichera que les fichiers infectés, douteux ou qu'il n'a pas réussi à scanner.

Options intéressantes:

  • --mount: Lors du scan, rester sur le même filesystem (utile par exemple quand vous avez des répertoires distants montés localement et que vous ne voulez pas qu'il les scanne).
  • --adware: Liste des adwares détectés en plus des virus.
  • --applications : Liste aussi les applications pouvant poser un risque de sécurité (comme les application d'administration à distance).

Si vous avez un doute sur un fichier unique, il peut être intéressant de le soumette à VirusTotal.

Tester le bon fonctionnement

Téléchargez le fichier-test EICAR. C'est un fichier non dangereux, mais que tous les éditeurs d'antivirus se sont accordés pour détecter dans les analyses. Il permet de vérifier qu'un antivirus fonctionne bien.

> cd /tmp
> wget https://secure.eicar.org/eicar.com
> fpscan eicar.com

F-PROT Antivirus CLS version 6.7.10.6267, 64bit (built: 2012-03-27T11-39-07)


FRISK Software International (C) Copyright 1989-2011
Engine version:   4.6.5.141
Arguments:        eicar.com 
Virus signatures: 202002050637
                  (/opt/f-prot/antivir.def)

[Found virus] <EICAR_Test_File (exact)> 	eicar.com

Disinfect? (Y)es, (N)o, (A)ll yes, (I)gnore all, (Q)uit scan:

Mise à jour

La procédure d'installation automatique vous a ajouté une entrée dans votre crontab qui met à jour les signatures toutes les heures.

Voici la ligne qui a été ajoutée à votre /etc/crontab:

25 * * * * root /opt/f-prot/fpupdate > /dev/null

(La minute en premier paramètre est aléatoire, afin de répartir la charge sur les serveurs de mise à jour.)

Vous pouvez également forcer la mise à jour:

sudo /opt/f-prot/fpupdate
Si vous faites trop de mises à jour manuelles, il est fort possible que le serveur de mises à jour vous bloque pendant quelques temps. De préférence, laissez faire les mises à jour automatiques.

Pour voir quelle version des signatures vous avez, faite fpscan --version:

F-PROT Antivirus CLS version 6.7.10.6267, 64bit (built: 2012-03-27T11-39-07)


FRISK Software International (C) Copyright 1989-2011
Engine version:   4.6.5.141
Arguments:        --version 
Virus signatures: 202002050637
                  (/opt/f-prot/antivir.def)

On voit là que la version des signatures est 202002050637, ou 2020-02-05 06h37.

Pour avoir plus de détails sur le fichier des signatures vous pouvez faire fpscan --virno.

Intégration dans le navigateur de fichier

Nous prendrons ici en exemple le navigateur de fichiers par défaut de Linux Mint, Caja (mais ce genre d'adaptation est possible dans la majorité des navigateurs de fichiers).

Voici comment ajouter une option dans le clic-droit sur les fichiers et dossier pour scanner.

Sauvegardez le script suivant dans le répertoire ~/.config/caja/scripts et rendez-le exécutable:

Scanner avec F-Prot
#!/bin/bash
IFS=$'\n'
 
for FILENAME in $CAJA_SCRIPT_SELECTED_FILE_PATHS; do
if [ -d "$FILENAME" ]; then
 cmd="fpscan --adware \"$FILENAME\" ; read"
 xterm -geometry 260x60 -e /bin/bash -l -c "$cmd"
fi
if [ -f "$FILENAME" ]; then
 cmd="fpscan --adware \"$FILENAME\" ; read"
 xterm -geometry 260x60 -e /bin/bash -l -c "$cmd"
fi
done

Vous pouvez désormais scanner n'importe quel fichier ou dossier: Clic droit > Scripts > Scanner avec F-Prot.

(Pensez à installer xterm si vous ne l'avez pas: sudo apt install xterm)

fprot-linux.txt · Dernière modification: 2020/02/05 08:30 par sebsauvage