Bonjour,
 
Je veux faire un scan antivirus complet de mon Linux et je  voudrais savoir quels  répertoires il faut exclure.  Pour le  moment  j'ai mis la  racine / mais je pense  qu'il faut pas  scanner certains répertoires....
 
Merci
 
kab

question subsidiaire ... mais quand même ...
quel est l'intéret d'un scan antivirus complet de ton linux ?

troll or not ?

1 chance sur combien que ton linux soit infecté?

Bah c'est pas pour moi mais une société. Ils souhaitent en plus d'une protection permanente sur quelques répertoires de données faire un scan complet une fois par semaine....
 
merci

Réponds a sa question plutôt !
Si il a envie de scanner, c'est lui que ça regarde.
 
Pour répondre à la question.
Je ne vois pas quels répertoires exclure: si l'on se croit infecté, il faut TOUT tester.

Mon problème n'est pas de savoir si linux peut être infecté.......

Mon problème n'est pas de savoir si linux peut être infecté.......

ils veulent un scan antivirus ou un audit securité?
c'est pas tout a fait la même chose

Dans ce cas, un scan complet ... ben c'est un scan complet, pas un scan dont on retire des répertoires

Oui mais je  sais pas /dev /proc,  le  SWAP, est ce bien utile ?
 
Kab

t'as pris un chiantos ?  

si vous préférez un scan semi complet

euh ... le swap ... comment dire ... tu le vois dans quel répertoire ?

Ouai non je le vois pas,  mais y a  bien des choses à exclure, qui pourrait optimiser mon scan etc...

On va prendre depuis le départ:
- combien de machines ?
- organisation générale de ces machines (proxy, firewall, connexion internet etc ...) ?
- antivirus concerné ?
- tu veux optimiser quoi ?

comme son nom l'indique tu peux exclure /var (qu'en pense les autres?)
/dev sans doute aussi
 
tu feras attention également que ton scan scrute également les dossiers commençant par "./"
 
mais il est clair que je ne vois toujours pas l'interêt actuellement de scanner virus sur une distrib linux,
si elle n'est pas responsable du serveur de messagerie pour le workgroup windows par exemple.

>> Pour vous détendre vous avez blabla, je le répèterais pas, ok ?!!

kabouns a une question, si vous voulez pas répondre => n'y répondez pas. Un scan antivirus sous linux peut avoir son intéret lorsqu'il est dans un environnement windows (paratage de fichier, mails...).

Typiquement on fait des scans dans les répertoires qui contiennent des fichiers destinés à windows (les répertoires partagés, les mails... bref ce qui un jour ira potentiellement sous windows).

Après si tu veux un scan "complet" de l'OS, non je pense pas que ce soit nécessaire de scanner /dev /system ou /proc.

Pour aller plus loin, si tu veux vérifier l'intégrité du système linux en lui même il y a des applications qui vérifient un à un chaque binaire pour voir s'il n'a pas été corrompu par un rootkit (j'ai oublié le nom des plus connus ). Cependant si tu as des suspicions sur l'intégrité d'un système unix, le plus securisant est de réinstaller le système complètement. Il vaut mieux bien monitorer tout l'environnement (IDS, IPS, log) et avoir une bonne politique sécurité

C'est quoi un chiantos ????
Alors pour le moment c'est un test sur 3-4 serveurs redhat entreprise 5. Il s'agit de l'antivirus Avast Server pour Linux (ce n'est pas moi qui choisit). Je veux pas forcément faire un scan complet qui ne sert à rien mais un scan utile et rapide.
 
kab

euh, oui mais non en fait
 
si y'a des traces d'infiltration ou autre, elles seront normalement dans /var/log ... pas très malin de l'exclure
et pour /dev, je dirais pareil, si un virus/pirate arrive à créer un périphérique qui ouvre une connexion vers l'extérieur, c'est normalement dans /dev qu'il se situeras

Essaies de scanner uniquement les fichiers dont les noms sont inférieurs à 7 charactères. Ca représente la quasi totalité des virus et ça te fera gagner un temps fou

c'est donc un audit de securité (et pour cela il y a également d'autres dispositions à prendre avant : IDS...),
le scan anti-virus est en effet utile si tes machines vont entrer en "contact" (messagerie, partage de fichiers...)
avec des stations windows.

on va oublier la question sur le chiantos avant qu'o'gure ne pète un cable hein ()
 
je crois que pour la question du scan, il faut que tu demandes à l'entreprise ce que eux veulent exactement, un scan utile et rapide, à mon avis ça n'existe pas, c'est soit l'un, soit l'autre

Pas tellement d'accord avec ça...
 
Au contraire, /var est le premier répertoire que je scannerais, puisqu'il contient les mails des utilisateurs, le site web servi, ... Plein de données qui sont potentiellement corrompues car provenant de sources non sûres.

checkrootkit, tripwire

Parce que l'antivirus va lire les logs ?

ça commence à être très interressant merci!!!!!

un antivirus bien conçu devrait analyser les logs oui
comme le dit Franceso (qui confirme ce que je disais un peu plus haut), c'est là dedans que se trouvent toutes les infos primordiales !!

Ouai bon pour le  /var de  toute facon il sera compris puisqu'il s'agit  de données provenant d'un portail....Pour  ce qui est des logs je  ne vois pas  trop l'interet en effet

et comment fait il pour analyser les logs ?
 

Franceso parle de /var
 
et pour les logs, y a logwatch ou autre système d'analyse des logs, rien à voir avec les virus

bizarre, postfix, pop3, imap stockent les e-mails dans les repertoire /home/$users respectifs
généralement pas dans /var

y'a pas que /var/log dans /var. Genre /var/spool on peut y mettre plein de choses..

  de base c'est /var hein

/var/lock aussi ... enfin on va pas tout lister, mais /var et ses sous-rep, amha faut pas exclure

Ca depends de ton MDA ca
Et de la facon dont il est configuré.
 
Ex: Cyrus => /var/spool/cyrus/mail
et /var/spool/mail est assez répandu.

dans ce cas faut québlo (éviter les modules ) aussi le kernel

ça me parait bien petit un /var pour stocker des e-mails clients
 
bon ben il va devoir tout scanner alors (tant qu'a faire)

ben c'était un peu l'idée que tout le monde avait émis dès le départ quoi
soit tu scannes tout, soit tu scannes rien