기술문서 Avast Security for Linux ( 주 ) 소프트메일

www.avastkorea.com 기술문서 Avast Security for Linux ( 주 ) 소프트메일

www.avastkorea.com Avast Security for Linux 리눅스기술문서 이사용설명서의내용과 avast! 프로그램은 저작권법과컴퓨터프로그램보호법에

Avast Security for Linux i 최종사용자라이선스약관 중요한내용이므로자세히읽어보시기바랍니다. 본소프트웨어사용권계약서 ( 사용권계약서 ) 는 소프트메일 ( 이하회사 ) 소프트웨어제품에대한귀하 ( 개인또는단체, 업체 ) 와회사간에체결되는명시적계약입니다. 본회사제품에는컴퓨터소프트웨어뿐만아니라, 관련매체, 인쇄물및 온라인 또는전자문서 ( 소프트웨어 ) 가포함됩니다. 귀하는 소프트웨어 를설치, 복사하거나사용함으로써본소프트웨어사용권계약서내용에동의하는것으로간주됩니다. 귀하는본소프트웨어사용권계약서내용에동의하지않을경우에는 소프트웨어 를사용할수없습니다. 이패키지는소프트웨어와관련된명시적문서등을담고있습니다. 소프트웨어는업그레이드, 통지된버전, 업데이트, 기타추가분, 소프트웨어의사본을포함하고있으며사용자에게라이선스합니다. 회사는사용자에게소프트웨어와문서의사용을비배타적인라이선스를허용합니다 : 1. 소프트웨어의사용 사용자는하나의하드디스크상의한위치에서만소프트웨어를설치하여야하며, 또는 라이선스계약에서지정된컴퓨터의숫자만큼의각저장디바이스에설치하여야합니다. 제공된소프트웨어는네트워크사용목적으로서다음목적중에하나 ( 둘이아님 ) 만을 위한것으로하나의로컬영역네트워크상의하나의파일서버에대한사용으로만설 정할수있습니다 : 1.1. 하나의하드디스크나컴퓨터의허용된수에따른기타다른저장장소에영구적으로 설치하거나, 1.2. 소프트웨어가허용된컴퓨터수를초과하지않는범위내에서다른컴퓨터에소프트 웨어를허용된수만큼설치할수있습니다. 사용자는집이나이동가능한컴퓨터에각각의라이선스가있는소프트웨어를설치할

Avast Security for Linux ii 수있습니다. 이는동일한라이선스를여러대의컴퓨터에설치할수없음을말합니다. 소프트웨어는동시에다른사람의컴퓨터나자신의두번째컴퓨터에사용할수없습니 다. 소프트웨어의백업복사본은가능하지만다른컴퓨터에서의사용이나설치는불가능합 니다. 2. 저작권 소프트웨어는대한민국, 미국, 체코공화국, 기타모든국가에서저작권법에의해보호받고있으며 ALWIL 소프트웨어의지적재산입니다. 소프트메일은 ALWIL Software 社의한국내권한을대리하고있으며한글제품에대한지적재산권을갖고있습니다. 소프트웨어의구조, 설계, 코드등은 ALWIL 소프트웨어의매우가치있는지적재산으로그정보가보호되어야하며또한보호되고있습니다. 그러므로사용자는책과같이저작권있는모든문서또한소프트웨어와동일하게취급하여야합니다. 다시말해, 사용자는본약관의섹션 1에서언급한예외를제외하고소프트웨어또는문서에대하여어떤권한도갖고있지않습니다. 사용자는수정, 채택, 번역, 엔지니어링, 디컴파일, 디어셈블, 소프트웨어의소스를해독하기위한어떠한시도도할수없습니다. 등록된상표는고유상표의소유자이름을포함하여상표법에서규정하는규칙을따릅니다. 상표법에서지정한소유권이나어떤상표의사용도사용자에게주어지지않습니다. 위에서언급한바와같이, 이약관은이소프트웨어에대하여어떠한지적재산권을사용자에게허용하지않습니다. 3. 이전 사용자는소프트웨어및문서에대하여임대, 대여, 서브 - 라이선스를할수없습니다. 그러나사용자는업데이트버전, 구버전, 문서등을포함하여다른사람이나기관에게 소프트웨어의사용권을양도할수있습니다. 4. 제한된보증

Avast Security for Linux iii 회사는 30일동안소프트웨어를수취한사용자가소프트웨어를사용할수있도록보증합니다. 보증에대한클레임의경우, 사용자는제품을구매하거나획득한곳으로 30일이내에영수증을첨부하여반품할수있습니다. 소프트웨어가문서와일치하지않는성능을갖고있다면회사와대리점은소프트웨어의반품이나교환, 환불을제한적으로제공할수있습니다. 회사는사용자가소프트웨어와문서를사용하여얻은결과에대해서는어떤보증도하지않습니다. 소프트웨어의사용에대한결과는전적으로사용자의책임하에있으며, 사용자의소프트웨어사용목적에대한적합성, 품질등에대한책임은사용자의목이며, 저장된내용의손실, 이익의손실, 어떤손상, 제3자의제품에대한어떤문제등에대하여회사는어떠한책임을지지아니합니다. 5. 법률및일반조건 이약관은대한민국, 유럽, 미주에서법률로서보호받고있습니다. 이약관에관하여어떠한질문이있거나회사에정보를요청하고자하는경우, 회사 ( 서울시구로구디지털로 272, 구로동한신 IT 타워 1305 호 ) 로연락하시면됩니다. ALWIL과 ALWIL의로고는 ALWIL 트레이드의등록된상표입니다. AVAST와 AVAST의로고는 ALWIL 소프트웨어의등록된상표입니다. 소프트메일과소프트메일의로고, 어베스트, 어베스트코리아는 소프트메일의등록된상표입니다. 기타다른모든제품의이름은각각의회사고유상표입니다. 어베스트코리아 소프트메일홈페이지 : http://www.avastkorea.com E-메일 : sales@avastkorea.com 전화 : 1661-9331 팩스 : 02-3486-9331 주소 : 서울시구로구디지털로 272, 구로동한신IT타워 1305호

목차 제 1 장 Avast 시작하기... 6 1. 1 Avast 제품을이용하여주셔서감사합니다.... 6 1. 2 사용문의및기술지원... 6 1. 3 제한사항... 7 1. 4 프로그램등록... 8 제 2 장개요... 10 2. 1 패키지구성... 10 2. 2 제품구성... 11 제 3 장설치... 13 3. 1 개요... 13 3. 2 GPG 다운로드... 13 3. 3 Debian V7 / Ubuntu LTS 12.4+ 배포판... 13 3. 4 RHEL/CentOS V7+ 배포판... 14 3. 5 SLES 배포판... 15 3. 6 CentOS/RHEL V6 배포판... 15 3. 7 CentOS/RHEL V6 배포판 폐쇄망... 17 제 4 장서비스운영... 20 4. 1 개요... 20 4. 2 서비스실행... 20 4. 3 서비스중지... 20 4. 4 서비스레벨확인... 20 4. 5 서비스동작확인... 21 4. 6 검역소 (Chest)... 22 4. 7 로그... 22 제 5 장바이러스정의데이터베이스업데이트... 23 5. 1 개요... 23 5. 2 로컬 VPS 미러운영 리눅스웹서버... 23

제 6 장 IceWarp Server 와연동... 25 6. 1 안티바이러스확장필터... 25 제 7 장부록... 29 7. 1 scan ( 수동검사 )... 29 7. 2 Avast ( 안티바이러스스캐너 )... 31 7. 3 avast-fss ( 파일서버보호 )... 34

6 제 1 장 Avast 시작하기 1. 1 Avast 제품을이용하여주셔서감사합니다. 안티바이러스소프트웨어분야에서전세계적으로그성능을인정받고있는 Avast ( 어베스트 ) 제품을이용하여주셔서감사합니다. 고객여러분께서본프로그램을이 용하시면서, 일상의컴퓨터작업이즐겁고만족스러워지시길진심으로희망합니다. Avast는고객여러분의컴퓨터를다양한바이러스의공격으로부터보호한다는목표아래심혈을기울여개발한보안솔루션입니다. Avast를통해이용하여바이러스감염여부를주기적으로검사하고, 백업유틸리티와같은기타프로그램과함께이소프트웨어를사용하신다면다양한루트를통해공격해오는각종바이러스로부터감염의위험을줄일수있으며, 고객여러분의소중한데이터의손실을방지할수있습니다. 이문서는모든프로그램의속성과기능에관하여고객여러분의이해를돕고, 소프트웨어를친근하게사용하실수있도록하기위해제작하였습니다. 그러나, 고객여러분께서유닉스 ( 리눅스 ) 운영체제의환경과관련된기본용어와일반기술에대해이해하신다는전제아래제작된것이므로, 유닉스환경에대한기본적인지식이없는분들은일부도움말이어려울수있습니다. 데몬, 리파지터리, chmod, service, Dynamic Library 등과같은용어에익숙하지않은경우에는, 사용자매뉴얼이나운영체제에대한도움말을숙지하시고주변의도움을받으시기바랍니다. 기타제품구입이나문의사항은아래의 사용문의및기술지원 을참고하십시오. 1. 2 사용문의및기술지원 Avast 프로그램의설치및등록시, 또는사용중궁금한사항이있으시면먼저이 기술문서를참고하시기바랍니다. 그밖의의문사항은다음의연락처로기술지원 을요청하실수있습니다.

7 홈페이지 : http://www.avastkorea.com E- 메일 : support@avastkorea.com E- 메일을통한문의시에는아래의정보를꼭포함하여주시기바랍니다 : Avast 프로그램의에디션과버전 ( 빌드 ). 운영체제의종류및버전 ( 예, Fedora 5). 기본적인하드웨어사양 (CPU, RAM). 인터넷접속방법. 접속방법 ( 전화접속, 케이블, ADSL, LAN 등 ), 네트워크장비 ( 프록시서버, 방화벽, 공유기등등 ). E-메일클라이언트의이름과버전 (E-메일사용과관련된경우에만 ). 오류메시지의텍스트나화면. 오류를발생시키게된자세한설명. 전화 : 1661-9331 팩스 : 02)3486-9331 주소 : 서울시구로구디지털로 272, 구로동한신 IT 타워 1305 호 1. 3 제한사항 Avast 리눅스서버제품군은윈도기반의백신과는달리몇가지제한된기능을제공합니다. 이러한제한은프로그램의기능지원여부에따른것이아니라, 유닉스 ( 리눅스 ) 라는운영체 제의특징에서기인하는경우가많습니다. 제한사항은다음과같습니다. 설치전용프로그램이제공되지않습니다. GZ, DEB, RPM 패키지로제공되며, 관리자가각각의환경에맞게직접설치해야합니다. 무료제품을제공되지않습니다. 윈도우제품에서는무료또는일정한기간동안사용해볼수있는체험판을제공하는데반해, Avast 리눅스서버제품에서는제공하지않습니다. 따

8 라서, 모든기능을이용하기위해서는라이선스를꼭등록해야합니다. 평가판라이선스가필요한경우에는당사로연락주십시오 VRDB( 바이러스복구데이터베이스 ) 기능이제공되지않습니다. VRDB는시스템에바이러스가없는상태일때, 파일에대한정보를수집합니다. 추후에바이러스에감염된경우에이데이터베이스를참조하여파일을복구합니다. 중앙관리도구 (Central Administration Tool) 을제공하지않습니다. 리눅스의특성상다수의이용자가사용하는파일시스템이나네트워크공유폴더에대한모니터링을제공하기때문에, 관리자프로그램을제공하지않습니다. 이외에도윈도우제품에서제공하는윈도우에관련된부가기능중일부가제공되지않습니 다. 1. 4 프로그램등록 Avast 리눅스서버제품은제품을최신버전으로업데이트하거나, 시그니처를업데이트하기위해서는라이선스를등록해야합니다. 등록되지않은경우, Avast 운영에도영향을미치게됩니다. 등록은라이선스키를복사하는것을의미하고, 라이선스키는파일 (license.avastlic) 로구성되어있습니다. 알림! 아래의링크를통해 Avast 리눅스서버제품을구매하실수있습니다. http://www.avastkorea.com/business/linux.asp 라이선스키를등록하는방법 : 1 서버로그온 Avast 리눅스서버프로그램을설치한서버시스템에 root 권한으로로그온합니다. 2 라이선스파일복사

9 /etc/avast 디렉터리에라이선스파일 (license.avastlic) 파일을복사합니 다. # cp /path /license.avastlic /etc/avast 라이선스발급및등록과정에문제가있는경우에는당사기술지원팀으로문의주 십시오. 홈페이지 : http://www.avastkorea.com E- 메일 : support@avastkorea.com 주의! Avast 리눅스서버설치이후에는반드시라이선스를등록해야합니다. 그렇지않은경우, 정상적으로운영되지않습니다. 앞에서언급한바와같이, 테스트목적으로설치하실경우라면당사로연락하셔서평가판라이선스 (30일간이용가능 ) 를받아등록하십시오.

10 제 2 장개요 윈도우나맥과는달리, 리눅스 ( 유닉스 ) 는다양한배포판으로설치운영되고있습니다. 어베스트에서는국내외적으로널리사용되는 Debian, Ubuntu, RedHat/SUSE 배포판에서운영될수있도록개발되었습니다. 또한, 리눅스에서소프트웨어를배포하는표준화된방식 (DEB, RPM) 등을지원하며, Avast도동일한방식으로설치됩니다. 2. 1 패키지구성 Avast 리눅스서버제품은다음과같이 3 가지패키지로구성되어있습니다. 1 avast avast 패키지는핵심모듈로코어스캐너서비스와수동검사를지원하는커맨드라인스캐너유틸리티기능을제공합니다. 또한, avastfss( 파일시스템방어 ) 및 avast-proxy( 네트워크방어 ) 패키지를이용하기위한필수패키지입니다. 2 Avast-proxy avat-proxy 패키지는게이트웨이및라우터에특화되었으며, 네트워크트래픽에대한투명한필터링기능을제공하는프록시입니다. 단일시스템에서다수의컴퓨터네트워크로전송되는네트워크를검사할수있습니다. avast-proxy는 HTTP, IMAP, POP3 프로토콜을지원할뿐만아니라, HTTPS, IMAPS, POP3S와같이보안프로토콜도인증서재서명등을통해지원합니다. 프록시를구성하기위해서는네트워크트래픽을리디렉션해야합니다. 리눅스에서는기본으로제공되는방화벽인 netfilter, 즉 iptables 기능을이용하여구성할수있습니다. iptables 규칙에대한보다자세한사항은 7.4 avast-proxy 단원을참고하십시오.

11 3 avast-fss avast-fss 패키지는 fanotify 메커니즘을활용하여파일시스템에대한실시간보호기능을제공합니다. 서버의로컬파일시스템뿐만아니라 SMB/NFS 파일서버도지원합니다. 알림! fanotify 메커니즘 : 리눅스커널에서제공되는기능으로디렉터리및파일에대한이벤트를모니터링합니다. 디렉터리및파일에대한읽기, 쓰기, 삭제등등에대한이벤트를관리할수있으며, 이를통해실시간으로디렉터리및파일에대한추가적인보안기능을제공할수있는메커니즘입니다. 참고로, 리눅스 2.6.37( 약 2011 년초 ) 커널에서공식지원하였으며, 현재최신배포판에서는대부분지원합니다. 보다자세한사항은아래링크를참고하십시오. http://www.lanedo.com/filesystem-monitoring-linux-kernel/ 2. 2 제품구성 Avast 리눅스서버제품은다음과같이 4 가지형태의제품으로구성되어있으며, 해당기능을위해서는적절한라이선스키를구매해야원활히이용할수있습니다.

12 기능 리눅스 파일서버 네트워크 시큐리티 코어 보호 보호 스위트 코어서비스 수동검사 예약검사 실시간파일감시 (SMB/NFS 포함 ) 네트워크감시 (SSL 포함 ) 지원하는운영체제 CentOS 6, RHEL 6 CentOS 7, RedHat 7, Debian 7, Ubuntu 12 탐지및기록 탐지시처리방안 화면표시 로그기록 로그기록 로그기록 처리안함 격리보관 트래픽차단 격리보관 트래픽차단

13 제 3 장설치 3. 1 개요 리눅스운영체제는다양한배포판으로이용되고있습니다. Avast에서는널리이용되는 Debian, Ubuntu, RedHat Enterprise Linux, SUSE 등을지원합니다. 각운영체제마다표준화된설치패키지가다를수있으므로, 보다자세한사항은관련홈페이지를참고하십시오. 패키지를리눅스서버에설치하는방법은다음과같이 2 단계로이뤄집니다. 1 avast 리파지터리를시스템리파지터리에추가 2 리파지터리에서원하는패키지를선택하여설치 3. 2 GPG 다운로드 리눅스리파지터리에등록하기위하여 avast Global Public Key(avast.gpg) 파일을다 운로드합니다. # wget http://files.avast.com/files/resellers/linux/avast.gpg" 3. 3 Debian V7 / Ubuntu LTS 12.4+ 배포판 1 avast 리파지터리를시스템리파지터리에추가 # echo deb http://deb.avast.com/lin/repo debian release \ >> /etc/apt/sources.list # apt-key add /path /to/avast.gpg

14 # apt-get update 2 avast 패키지설치및 avast-fss, avast-proxy를추가로설치하는방법 # apt-get install avast // 설치과정중에 VPS( 최신패턴 ) 업데이트과정이이뤄지므로, 약간의시간 //(3-5분) 이소요됨 # cp./license.avastlic /etc/avast // 라이선스등록 # service avast stop // avast 서비스중지 # service avast start // avast 서비스시작 # service avast status // 상태확인 # apt-get install avast-fss 3. 4 RHEL/CentOS V7+ 배포판 1 avast 리파지터리를시스템리파지터리에추가 # echo [avast] name=avast baseurl=http://rpm.avast.com/lin/repo/dists/rhel/release enabled=1 gpgcheck=1 > /etc/yum.repos.d/avast.repo # rpm - import /path /to/avast.gpg // GPG 키등록 2 avast 패키지설치및 avast-fss, avast-proxy를추가로설치하는방법 # yum install avast // 설치과정중에 VPS( 최신패턴 ) 업데이트과정이이뤄지므로, 약간의시간 //(3-5분) 이소요됨 # cp./license.avastlic /etc/avast // 라이선스등록 # service avast stop // avast 서비스중지 # service avast start // avast 서비스시작

15 # service avast status // 상태확인 # yum install avast-fss ; RHEL/CentOS 7 이상시스템만지원 3. 5 SLES 배포판 1 avast 리파지터리를시스템리파지터리에추가 # zypper addrepo http://rpm.avast.com/lin/repo/dists/suse/release Avast # rpm --import /path /to/avast.gpg 2 avast 패키지및 avast-fss, avast-proxy를추가로설치하는방법 # zypper install avast // 설치과정중에 VPS( 최신패턴 ) 업데이트과정이이뤄지므로, 약간의시간 //(3-5분) 이소요됨 # cp./license.avastlic /etc/avast // 라이선스등록 # service avast stop // avast 서비스중지 # service avast start // avast 서비스시작 # service avast status // 상태확인 # zypper install avast-fss 최신바이러스정의데이터베이스 (VPS) 는설치과정중에자동으로다운로드되므로, 설치시간이약간더소요될수도있습니다. 3. 6 CentOS/RHEL V6 배포판 앞에서언급한배포판들은최근에출판한것으로, 라이브러리나호환성측면에서최대한의장점을누릴수있습니다. 하지만, 운영자입장에서는기존의안정된버전을잘유지하는정책또한중요할수있습니다. 어베스트리눅스버전은 CentOS V6 및 RHEL V6 버전에호환되는수동검사기능

16 을제공합니다. 다만, 실시간감지와같은기능은배포판버전의기능의미제공으로 인해제공하지않습니다. 1 패키지를최신으로업데이트 일부하위버전에서는호환성 (dependency) 에문제가있을수있으므로최신패키지로업그레이드합니다. # yum update # yum upgrade 2 avast 리파지터리를시스템리파지터리에추가 # echo [avast] name=avast baseurl=http://rpm.avast.com/lin/repo/dists/rhel/release enabled=1 gpgcheck=1 > /etc/yum.repos.d/avast.repo # rpm - import / 경로 avast.gpg // GPG 키등록 3 avast 패키지설치 # yum install avast -v // -v 는자세한로그출력 // 설치과정중에 VPS( 최신패턴 ) 업데이트과정이이뤄지므로, 약간의시간 //(3-5분) 이소요됨 # cp./license.avastlic /etc/avast // 라이선스등록 4 avast.conf 환경설정 # cd /etc/avast # vi./avast.conf // 기본설정은아래그림참고 # touch./whitelist.txt // whitelist 파일생성 # cp./license.avastlic /etc/avast // 라이선스등록

17 3. 7 CentOS/RHEL V6 배포판 폐쇄망 지금까지의설치환경은기본적으로인터넷에연결된상태에서어베스트리눅스버전을설치하였습니다. 하지만, 보안정책이강력한일부네트워크구간에서는인터넷연결이제한되는 폐쇄망 으로운영됩니다. 백신설치를위해폐쇄망의특정 IP/PORT를여는것은상당히어려울수밖에없습니다. 이단원에서는어베스트에관련된패키지를확인하고, 별도로다운로드받아서폐쇄 망에 USB 또는기타방법으로옮겨서수동으로설치하는방법을소개합니다. 1 어베스트를설치하고자하는운영시스템 ( 및커널 / 배포판 / 라이브러리및설치 패키지등등 ) 과동일한형태의시스템을준비합니다. VMWare 와같은가상환경 을이용해도무방합니다. 2 RPM 패키지를다운로드하기위해 yumdownloader 패키지를설치합니다. # yum install yum-utils 3 avast 리파지터리를시스템리파지터리에추가 # echo [avast] name=avast baseurl=http://rpm.avast.com/lin/repo/dists/rhel/release enabled=1 gpgcheck=1 > /etc/yum.repos.d/avast.repo # rpm - import / 경로 avast.gpg // GPG 키등록 4 yumdownloader 명령어를이용하여 avast 패키지를다운로드합니다. # yumdownloader resolve avaste

18 avast 패키지에는두개의 rpm 파일이있으며, 각각 64 비트와 32 비트용 RPM 입니다. 이제, 어베스트리눅스버전설치에필요한파일을추가로준비합니다. avast.gpg license.avaslic // Global Public Key // avast 라이선스키 폐쇄망에있는설치하고자하는서버에 avast 패키지와추가로준비한파일을임 시디렉터리로복사합니다. 1 어베스트패키지설치 # rpm import./avast/gpg // GPG 파일등록 # rpm -ivh./avast-rhel-2.2.0-1.x86_64.rpm // avast 패키지설치 # cp./license.avastlic /etc/avast // 라이선스파일복사 2 환경설정 # cd /etc/avast # vi avast.conf // 자세한설정은부록참고 # vi vps.conf // VPS Repository 변경 # touch./whitelist.txt // whitelist.txt 파일생성 # cd /var/lib/avast/setup #./avast.vpsupdate // VPS 업데이트실행 # service avast restart // avast 서비스재시작 폐쇄망에서는 VPS 업데이트를직접적으로수행할수없으므로, 로컬또는연계업

19 데이트서버망쪽으로로컬미러서버를구성하여, 이미러를 VPS 업데이트가바라 보도록설정해야합니다. 이에대한자세한내용은 5.2 로컬미러서버운영 리 눅스웹서버 단원을참고하십시오.

20 제 4 장서비스운영 4. 1 개요 모든 Avast 패키지 (avast, avast-fss, avast-proxy) 에는서비스를시작하거나중지시킬 수있는 init 스크립트를제공합니다. 4. 2 서비스실행 Avast 코어서비스를시작하는스크립트는다음과같습니다. # /etc/init.d/avast start 4. 3 서비스중지 Avast 코어서비스를중지하는스크립트는다음과같습니다. # /etc/init.d/avast stop 4. 4 서비스레벨확인 리눅스운영체제에서는모두 6 가지의서비스레벨을제공한다. 어베스트설치후에 는서비스레벨이정확히설정되었는지확인해야한다.

21 # chkconfig -list grep on 4. 5 서비스동작확인 Avast! 패키지의설정파일 (/etc/avast/*.conf) 을수정한이후에는구성에문제는없 는지그리고변경사항을반영하기위해해당서비스를재시작해야합니다. # service avast stop // avast 코어서비스중지 # service avast start // avast 코어서비스시작 # service avast status // 상태확인 아래그림과같이, 서비스를재시작했을때오류메시지나 VPS 등이최신으로업데 이트되어있어야합니다.

22 4. 6 검역소 (Chest) avast-fss( 파일시스템방어 ) 서비스에서진단된악성코드는자동으로 CHEST 디렉터리로옮겨지게되며, 파일이름의뒷자리에임의의문자열이추가됩니다. 하지만, 파일의내용이암호화되거나무력화되지않기때문에주의해서파일을접근해야합니다. 만약네트워크공유폴더에검역소디렉터리를넣어서보관하는경우에는일반사 용자가접근하여이용할수없도록접근제어를고려해야합니다. 4. 7 로그 Avast 에관련된모든서비스는문제해결등을위해시스템로그 (syslog) 에기록됩 니다. 다만, syslog 의저장위치는배포판유형및구성에따라달라질수있으며, 보 통 /var/log/messages 및 /var/log/syslog 경로에저장됩니다.

23 제 5 장바이러스정의데이터베이스업데이트 5. 1 개요 Avast 제품을최신으로유지하여보다안전하게이용하기위해서는 VPS(Virus Definitions database, 바이러스정의데이터베이스 ) 를정기적으로업데이트하는것을추천합니다. Avast 리눅스서버제품에서는인터넷에서최신 VPS를제공하는지확인하고, 있는경우다운로드하여설치할수있도록도와주는쉘스크립트를제공합니다. 업데이트스크립트는설치시함께설치되며, 매시간마다자동실행되도록 cron에등록됩니다. crontab 에는일반적으로다음의형태로등록됩니다. 27 * * * * /var/lib/avast/setup/avast.vpsupdate 2>&1 logger -t avast.vpsupdate -i -p daemon.warn 매 27 분마다업데이트가시도되며, 2>%1 은표준에러를 /dev/null 로리디렉션한다 는뜻으로, 화면에는전혀결과가출력되지않습니다. 만약에러를기록하고자할 경우에는특정경로를지정합니다. 참고로, Avast 에서는증분업데이트 (incremental update) 를이용하기때문에, 업데이 트할때평균적으로다운로드되는데이터의크기는 0.5MB 이하입니다. 5. 2 로컬 VPS 미러운영 리눅스웹서버 VPS 는로컬, 미러또는 VPS 리파지터리를이용하여업데이트를지원할수있습니 다. 로컬네트워크에다수의어베스트리눅스제품이설치된경우라면로컬미러를 이용하여손쉽게업데이트할수있습니다.

24 1 로컬미러서버를운영하기위해서는리파지터리의사본을저장하고, 어베스트 리눅스제품의업데이트모듈 (avast.vpsupdate) 이접속할수있도록웹서버를 설치및구성해야합니다. 2 아래명령어를이용하여웹서버의루트디렉터리 ( 또는특정디렉터리 ) 에리파지터리사본을저장합니다. 사본의복제는주기적으로실행해야만최신상태를유지할수있게되므로, crontab 등에해당항목을추가하는것을고려해야합니다. # wget -r -N -e robots=off -nh -cut-dirs=2 \ http://download.ff.avast.com/lin/x86_64/vps9 yum update 주 ) 32비트시스템에서는 x86_64 대신에 i386 을입력합니다. 3 어베스트리눅스제품에서는 /etc/avast/vps.conf 에서 VPS 리파지터리의 URL 을변경하고, avast 서비스를재시작합니다.

25 제 6 장 IceWarp Server 와연동 6. 1 안티바이러스확장필터 어베스트코어서비스에서는 scan 이라는명령행스캐너유틸리티를제공하며, 수동검사에 활용됩니다. 좀더기능을확장해보면, IceWarp Server 에내장된 Anti-virus 의확장모듈로사용이가능합 니다. 다시말하면, IceWarp Server 로수신하는이메일메시지의첨부파일에대한바이러스 감염여부를진단하는데활용할수있다는의미입니다. 다만, 이확장기능을이용하는경우에는서버나트래픽의부하등에대해서충분히검토한 이후적용해야하며, IceWarp Server 리눅스제품에대한자세한사항은해당기술문서를 참고하십시오. 1. 원격관리도구를이용하여 IceWarp Server 에접속합니다. 2. Anti-Virus 노드를클릭하고, 오른쪽에서 Action 탭을클릭합니다. Enabled 를클릭하 고 Apply external filters 를체크하고, Apply 버튼을클릭하여변경사항을적용합니다.

26 3. External Filter 탭을클릭하고, 아래에있는 Add 버튼을클릭합니다. 아래그림과같 이, 항목별값을입력하고, OK 버튼을클릭합니다. 추가한내용을반영하기위하여 Apply 버튼을클릭합니다.

27 4. 마지막으로, 탐지여부를테스트하는과정이남아있습니다. 하단에있는 Send EICAR Virus Test Message 버튼을클릭하여, 다음과같은메시지가나타나는지확인 합니다. 주의! 앞에서도언급한바와같이, avast 코어서비스에서제공하는 scan 명령어를이용하는주요 한목적은하위호환성등측면을위한것입니다. 트래픽이많거나서버의부하가심한경우

28 에는 IceWarp Server 자체에서지원하는 Anti-virus 기능을이용하는것을추천합니다.

29 제 7 장부록 7. 1 scan ( 수동검사 ) 명령어 scan ( 명령행스캐너유틸리티 ) 형식 scan [-s SOCKET] [-apf] [-e PATH] PATH scan [-s SOCKET] -V scan -h -v 설명 scan 명령어는어베스트리눅스서버제품에포함되어제공되는명령행스 캐너프로그램입니다. 입력한경로 (PATH) 에저장된파일의감염여부를검 사하고, 파일과같이표준출력으로결과를제공합니다. 옵션 -h 요약된사용방법을출력하고, 프로그램을종료합니다. -v 프로그램버전을출력하고, 프로그램을종료합니다. -V VPS 버전을출력하고, 프로그램을종료합니다. VPS 버전은 avast 서비스에서해당정보를가져옵니다. -s SOCKET avast 스캔서비스에연결하기위해소켓을이용합니다. 기본적인소켓경로는 /var/run/avast/scan.sock 입니다. -a 감염된파일뿐만아니라, 검사한모든파일을출력합니다. -p 압축된파일의내용을출력합니다. 압축파일을경우별도로표시하고, 각각의파일마다검사결과를표시합니다. -b decompression bomb이감염되었을경우보고합니다. 만약설정될경우, decompression bomb으로의심되는파일은오류가아닌감염상태로보고됩니다. -e PATH 해당경로는검사하지않습니다. 여러개의경로를입력해도무방합니다. -f 모든파일을검사합니다. 만약설정될경우, 파일에서감염될가능성이있는부분뿐만아니라전체파일모두검사합니다.

30 출력형식 감염된파일에대한정보는각각의줄로나눠다음의형식으로보고됩니다. PATH INFECTION PATH 와 INFECTION 사이에는탭 (TAB) 으로구분됩니다. -a 옵션을이용하여모든파일을검사할경우, 정상파일은 [OK], 감염된파일은진단이름, 파일을특정한이유 ( 권한부족, 손상된압축파일등 ) 로인해진단할수없는경우해당이유와함께 [ERROR] 뒤에표시됩니다. 만약 -p 옵션이설정될경우, 압축파일일경우 > 로구분하여표시합니다. 종료코드 감염된파일이없는경우에는 0 을반환하고, 그외의경우 1 을반환합니 다. 만약오류가발생했을경우에는 2 를반환합니다. 용례 추가정보 avast(1)

31 7. 2 Avast ( 안티바이러스스캐너 ) 명령어 avast (Avast 안티바이러스스캐너 ) 형식 avast [OPTIONS] 설명 avast 명령어는어베스트! 리눅스서버제품에서제공되는안티바이러스스 캐너프로그램입니다. 클라이언트 ( 방어, 명령행스캔유틸리티등등 ) 를서 비스의 UNIX 소켓에연결하고, 스캔을요청하고결과를수신합니다. 옵션 -h 요약된사용방법을출력하고, 프로그램을종료합니다. -v 프로그램버전을출력하고, 프로그램을종료합니다. -c FILE 구성파일경로를 FILE로설정합니다. 기본구성파일의경로는 /etc/avast/avast.conf 입니다. -n 데몬 ( 백그라운드작업 ) 으로실행하지않습니다. 구성파일형식구성 파일의 형식은 INI 파일 형식이며, 보통 각각의 줄마다 KEYWORD=VALUE 형태로저장됩니다. ; 로시작하는줄은주석으로처리 되어, 이후입력되는문자열은무시됩니다. key 는여러줄로묶여진섹션 으로구성할수있습니다. 섹션이름은보통 [] 으로표시되며, 키와구분됩 니다. 다음은기본적으로제공되는 avast 구성파일및옵션입니다. ; avast! configuration file RUN_DIR = /var/run/avast TEMP_DIR = /tmp DATA_DIR = /var/lib/avast SOCKET = /var/run/avast/scan.sock LICENSE = /etc/avast/license.avastlic WHITELIST = /etc/avast/whitelist.txt SUBMIT = var/lib/avast/setup/submit [OPTIONS]

32 CREDENTIALS = 0 STASTISTICS = 1 HEURISTICS = 1 STREAMING_UPDATES = 0 프로그램이종료될때에는구성파일을다시읽어반영하며, [OPTIONS] 에 포함된내용도포함됩니다. 하지만, 전역매개변수의변경사항은반영되지 않습니다. 전역매개변수 RUN_DIR 실행경로. PID 파일이저장되는위치 TEMP_DIR 임시경로. 프로그램의임시파일이저장되는위치 DATA_DIR 데이터경로. VPS 및 avast가사용하는기타데이터파일들이저장되는경로 SOCKET 스캔서비스에연결하는클라이언트가이용하는 UNIX 소켓경로. 소켓은 avast 서비스시작할때에생성됩니다. LICENSE 라이선스파일의경로 WHITELIST 화이트리스트파일의경로. 스캔엔진이바이러스로진단하더라도무시하여진단및보고하지않도록검사예외설정으로, SHA256 해시로되파일로저장합니다. 파일에는한줄에하나의해시값이입력되도록해야하며, # 는주석문자로간주합니다. SUBMIT submit 유틸리티의경로. [OPTIONS] 섹션에서허용할경우 submit 유틸리티는감염및의심되는파일에대한보고서는 avast 바이러스연구소로전송합니다. 옵션 CREDENTIALS avast는새로운클라이언트가연결을시도할때마다, UNIX 소켓자격증명을체크합니다. 클라이언트의유효한 UID가 avast 프로세스의 UID와일치하지않거나클라이언트의유효한 GID가 avast의 GID 또는 avast에관련된그룹의 GID와일치하지않을경우연결이거부됩니다. STATISTICS avast는감염된파일에대한통계보고서를생성합니다. HEURISTICS avast는검사중에발견된의심스러운파일에대해휴리스틱

33 보고서를생성합니다. STREAMING_UPDATES 스트리밍업데이트사용여부. 스트리밍업데이트는어베스트! 클라우드로업로드된최신정의파일을수시로다운로드하여적용하는기술로, 주기적으로업데이트되는정의파일과는다른추가적인패턴입니다. 추가정보 scan (1), avast-protocol(5) 용례 (/etc/avast/avast.conf) 주의! WHITELIST 항목이없거나, 저장되는파일이없는경우에는서비스에서오류메시지를 나타낼경우가있다. 이경우더미데이터파일을생성하면된다.

34 7. 3 avast-fss ( 파일서버보호 ) 명령어 avast-fss (avast! 파일서버보호 ) 형식 avast-fss [OPTIONS] 설명 avast-fss 명령어는 avast 리눅스서버스위트제품의일부분으로제공되며, 마운트된드라이브에쓰여지는파일에대한실시간검사기능을제공합니다. avast-fss는리눅스커널 2.6.37+ 에서제공하는 fanotify 메커니즘을기반으로동작합니다. 옵션 -h 요약된사용방법을출력하고, 프로그램을종료합니다. -v 프로그램버전을출력하고, 프로그램을종료합니다. -c FILE 구성파일경로를 FILE로설정합니다. 기본구성파일의경로는 /etc/avast/fss.conf 입니다. -n 데몬 ( 백그라운드작업 ) 으로실행하지않습니다. 구성파일형식 구성파일의형식은 INI 파일형식이며, 보통각각의줄마다 KEYWORD=VALUE 형태로저장됩니다. 구성파일은전역구성옵션과 MONITORS 섹션 2 가지로나눠저장됩니다. 아래는모든전역구성옵션과기본적으로제공되는모니터링섹션의일부 를예시로제공합니다. ; avast! fileserver shield configuration file RUN_DIR = /var/run/avast SOCKET = /var/run/avast/scan.sock LOG_FILE = /var/log/avast/fss.log CHEST = /var/lib/avast/chest SCANNER = 4

35 UNLIMITIED_QUEUE = 0 [MONITORS] SCAN = /some/mountpoint/to/monitor ; SCAN = /another/mountpoint/to/monitor ; EXCL = /path /to/exclude/from/scan 전역매개변수 RUN_DIR 실행경로. PID 파일이저장되는위치 SOCKET 스캔서비스에연결하는클라이언트가이용하는 UNIX 소켓경로. 소켓은 avast 서비스시작할때에생성됩니다. LOG_FILE 로그파일의저장경로 CHEST 검역소저장경로. 검역소는감염된파일을안전하게저장하는특수한디렉터리입니다. 만약, 검역소디렉터리가실시간감시하는마운트포인트에위치할경우에는자동으로제외경로로추가됩니다. SCANNERS 동시에실행할스캐너의개수. CPU 코어수에따라적절하게가감함으로써최상의성능을발휘할수있습니다. UNLIMITED_QUEUE 만약 1로설정될경우, avast-fss는 fanotify 이벤트큐사이즈의제한사항을무시합니다. 보다자세한사항은 fanotify_init(2) 의 FAN_UNLIMITED_QUEUE 부분을참고하십시오. MONITORS SCAN avast-fss가모니터링할마운트포인트경로. 입력한경로가로컬시스템이아닐경우에는자동으로적절한마운트포인트로변환됩니다. EXCL 모니터링에서제외할경로 추가정보 avast(1), fanotify(7) 용례 (/etc/avast/fss.conf)

36 주의! /etc/avast/fss.conf 파일에는 WHITELIST 항목이포함되지않습니다. 알림! 네트워크공유폴더 ( 삼바, NFS) 를지원합니다.

Avast For Linux 귀사의 보안전략 을위해 어베스트는최고의파트너이자경쟁력입니다. 어베스트코리아 소프트메일 서울시구로구디지털로 272 ( 구로동, 한신 IT 타워 ) 1305 호 홈페이지 : http://www.avastkorea.com Tel. 1661-9331 / Fax. 02-3486-9331