2015年05月27日

このエントリーをはてなブックマークに追加
先日の記事の通りに、LinuxサーバーにSophosをインストールしました。
EICARなども利用しテストをしていました。
ココの記事の通りですが、talpa.startup: Unable to load Talpa modules.となっており、オンアクセススキャンがうまくできない状態でした。

オンアクセススキャンにはTalpaモジュールが必要で、このモジュールは、一般的な大半のカーネルは、すでにコンパイルされモジュールとして用意されているようです。しかし一部のカスタマイズなどを施されたカーネルの場合、モジュールが用意されていないため、自分でコンパイルする必要があると言うことなのです。
対応カーネル

ということで以下の方法でコンパイルしました。
Sophos Anti-Virus for Linux: オンアクセススキャンのための Talpa バイナリパックをローカルでコンパイルする

まずは自身のカーネルを確認します。
# uname -r
2.6.32-504.16.2.el6.centos.plus.x86_64

そしてこれは、上記に挙げた対応カーネルには入っていませんでした。

コンポーネントのインストール
yum install gcc
yum install kernel-devel
これで、必要なコンポーネントがそろいました。

コンパイルの実行
/opt/sophos-av/engine/talpa_select select
-----------------------
[Talpa-select]
Copyright (c) 1989-2015 Sophos Limited. All rights reserved.
Thu May 28 00:22:44 2015 GMT
Linux distribution: [centos]
Product: [centosrelease6.6(final)]
Kernel: [2.6.32-504.16.2.el6.centos.plus.x86_64]
Multiprocessor support enabled.
Searching for source pack...
Verifying source pack contents...
Searching for suitable binary pack...
No suitable binary pack available.
Preparing for build...
Extracting sources...
Configuring build of version 1.18.6...
Building...
Installing binaries...
Creating local binary pack...
-----------------------

サービス再起動
# service sav-protect restart

これで、リアルタイムでのスキャンが可能になりました。
# cat eicar.com
cat: eicar.com: Operation not permitted
#
********************** Sophos Anti-Virus Alert ***********************
Threat "EICAR-AV-Test" detected in file
"/root/eicar.com".

Access to the file has been denied
Please contact your IT department.
**********************************************************************

・message ログ
May XX 10:30:20 XX kernel: talpa-deny: Access denied while opening /root/eicar.com on behalf of process cat[16371/16371] owned by 0(0)/0(0) <0>
May XX 10:30:20 XX savd: Threat detected: EICAR-AV-Test in /root/eicar.com

うまくいきました!よかった。

メモ。モジュールが足らないときは以下のようなエラーに。
---------
Extracting sources...
Configuring build of version 1.18.6...
Error: Failed to prepare the source code for build. No compiler found. Install gcc.
---------
※これは gcc をインストールするようにというエラーです。

---------
Extracting sources...
Configuring build of version 1.18.6...
Error: Failed to prepare the source code for build. Kernel headers not found. Install kernel headers.
---------
これは、kernel-headers をインストールするようにというエラーです。


stock_value at 10:37│Comments(0)TrackBack(0)技術:2015年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔