17. únor, 2006 | Napsali o nás

www.root.cz, Ondřej Suchý (16. 2. 2006): NOD32 pro Linux ve verzi 2.5 - jaký je?

www.root.cz Ondřej Suchý - 16. 2. 2006 

NOD32 pro Linux ve verzi 2.5 - jaký je?

Antivirus NOD32 je prý mezi uživateli oblíben zejména pro nízké systémové nároky a kvalitní detekci virů. Před časem tiše vyšel nový NOD32 pro Linux ve verzi 2.5, tak se na tato tvrzení pojďme se podívat.<noscript><imgsrc='http://k.iinfo.cz/adview.php?what=zone:259&amp;n=aa2288de' border='0' alt='' /></noscript>

Funkce a vlastnosti NOD32 pro Linux

NOD32 je antivirus z dílny slovenské firmy ESET. Kromě obvyklé verze pro pracovní stanice Microsoft Windows nabízí výrobce i varianty pro Linux. Serverové antivirové aplikace a zejména ty pro Linux jsou totiž v posledních letech dobře prodávaným zbožím, tak se nedá čekat, že tento segment zůstane v ESETu nepovšimnut.

Co NOD32 pro Linux umí? Kdo tento program zná a čeká jen na novinky verze 2.5, může následující text s klidným srdcem přeskočit až k místu „Co je nového”. Ostatní čtěte dál: NOD32 umí právě to, co byste od antiviru čekali: testuje elektronickou poštu a testuje soubory uložené na disku. Původně tyto funkce zajišťovaly dva oddělené produkty - jeden pro e-maily, druhý pro soubory. V nové verzi obojí obstará jediný programový balík nazvaný NOD32 for Linux Server. Pro každou z těchto dvou možností však potřebujete zakoupit zvláštní licenci.

Kontrola elektronické pošty

Na poštovních serverech můžete pomocí NOD32 testovat příchozí i odchozí zprávy. Program si sám umí rozbalit přílohy komprimované běžnými typy archiverů, nepotřebuje k tomu dodatečně instalované programy a knihovny. Na rozdíl například od volně dostupného ClamAV, který vyžaduje řadu "3rd party" balíků. Zavirovanou poštu lze pochopitelně jak mazat, tak i „léčit” (ale upřímně řečeno, kdo ví jaké viry dnes chodí poštou, ví také, že léčení moc nevyužije).

Kontrola souborových systémů

Klasický souborový skener uplatníte nejvíc na souborových serverech, sdílících data pro stanice Windows, ať už protokolem Samba/CIFS, FTP nebo jiným. NOD32 s licencí pro souborový server umí samozřejmě testovat soubory na výslovné vyžádání (nazýváno "on demand", využijete toho například při podezření na infekci nebo prostřednictvím cronu při pravidelných preventivních testech sdílených disků). Nabízí však i ochranu v reálném čase – takzvaně „on access” testuje otevírané i uzavírané soubory. Díky tomu automaticky chrání například před zavirováním většího počtu stanic souborem sdíleným na síťovém disku.

Co je nového

Verze 2.5 má oproti dlouho používané verzi 2.0 pár podstatných a viditelných změn a kromě toho také spoustu ve vnitřnostech ukrytých menších vylepšení. Pojďme se na ně podívat.

Jeden programový balík

První a nejviditelnější změna je spíš administrativního rázu. Sloučily se dosud rozdělené balíčky pro  Mail Server a „File Server”. Nadále si musíte koupit oddělenou licenci pro každý z těchto produktů, ale stahujete pouze jeden programový balík, který umí obojí. Programu NOD32 navíc dříve stačilo jméno a heslo, které jste dostali po zaplacení, nyní potřebujete ještě licenční soubor, který vám přijde mailem od distributora. Chcete-li na jednom fyzickém serveru používat licenci pro poštu i pro soubory, můžete pochopitelně soubory přejmenovat. NOD32 načte všechny soubory z příslušného adresáře bez ohledu na jméno.

Různá nastavení podle uživatelů a domén

Antivirovému programu nově můžete určit více odlišných konfigurací, které se použijí podle toho, jakého „uživatele” se test týká. NOD32 pro poštu umí odlišovat nastavení podle adresátů a domén elektronické pošty. Souborový server se zase rozhodne podle uživatele, který k souboru přistupuje.

Nová metoda pro testy souborů v reálném čase

Pokud jste chtěli antivirem v reálném čase prověřovat soubory, které uživatelé na sdílených discích otevírají a zavírají, museli jste použít jaderný modul Dazuko (stejnou metodu používá například linuxové AVG). Nově přibyla možnost svázat test s voláním LIBC pomocí dodávané knihovny „předlinkované” metodou LD_PRELOAD. Je to velmi praktický způsob „on access” testování a blíž se o něm zmíním v části o instalaci.

Ostatní drobnosti

Už jen stručně: NOD32 ve verzi 2.5 podporuje víceprocesorové systémy. Umí načíst konfiguraci za běhu bez zastavení programu. Jádro programu ověřuje kontrolní součty modulů, stažených při aktualizaci z Internetu (A to dřív nedělalo?). Nová verze též umí „rotovat” log soubor, což je vlastnost, jejíž absenci jsem dříve kritizoval. Podporuje karanténu a zavádí limity na dobu trvání testů a maximální hloubku zanoření v archivech.

Praktické zkoušky

Instalace

Instalace a integrace se systémem je snadná. Po zakoupení licence dostanete e-mailem uživatelské jméno a heslo, které použijete pro stažení programu ze stránek výrobce. ESET nabízí balíky pro nejpoužívanější distribuce (Red Hat, Debian, SUSE, Mandriva) i univerzální tgz archiv. Downloadem jakékoliv varianty získáte nejdřív soubor s koncovkou .bin. Je-li spuštěn v příkazové řádce, zobrazí licenci a potom teprve vytvoří skutečný balík, který už můžete instalovat způsobem obvyklým pro vaši distribuci. Do adresáře s licencemi musíte sami nakopírovat licenční soubory z příloh potvrzujícího e-mailu od ESET. Aktualizace stahujete pod stejným jménem a heslem, které jste použili pro download instalačních balíků, uveďte je v souboru nod32.auth. Nezapomeňte do cronu přidat volání programu "nod32_update", který stahuje aktualizace – jednou za hodinu je rozumná volba.

Kdybyste se ptali, zda volit balíček "Red Hat" nebo "Red Hat Ready", dám vám odpověď: Instalátor pro "Red Hat" se rozbalí do obvyklých míst - programy do /usr/sbin, konfigurace do /etc/nod32, zatímco "Red Hat Ready" instaluje do /opt, aby dodržel Filesystem Hierarchy Standard. Trochu matoucí, ale NOD32 díky tomu může oficiálně používat status Red Hat Ready aplikace. Jiný rozdíl není.

Propojení s mailserverem

NOD32 lze s poštovním systémem propojit pomocí několika modulů. Existují pohodlné varianty pro nejpoužívanější z poštovních serverů, tedy Postfix, Sendmail, Qmail a Exim. Kromě může NOD32 spolupracovat s filtrem Amavis a je k dispozici i obecné rozhraní pro další mailové aplikace. Já preferuji Postfix, tam je integrace věcí dvou řádků v konfiguračních souborech. Vše je přehledně popsáno v dokumentaci.

Propojení se souborovým serverem

U souborových serverů si můžeme zvolit ze dvou způsobů propojení. Každý má něco do sebe. Už jsem zmínil, že lze využít jádrový modul Dazuko. Zachytí volání po otevření, uzavření nebo spuštění souboru a před provedením akce ho nechá otestovat. Výhodné je, že se testují všechny soubory bez ohledu na aplikaci, která s nimi manipuluje. Mínus vidím v tom, že se musíme mořit s moduly jádra.

Druhý způsob se mi zdá elegantnější. Před voláním aplikace, která manipuluje s potenciálně zavirovanými soubory, zajistíte pomocí parametru LD_PRELOAD načtení knihovny, dodané výrobcem NOD32. Knihovna upraví volání libc a před otevřením nebo uzavřením souboru provede antivirovou kontrolu. Oproti Dazuko se nekontrolují spouštěné soubory, což ale v případě Samby nevadí.

Spolupráce NOD32 se souborovým serverem pomocí LD_PRELOAD je snažší a hlavně nedochází k zásahům do jádra, které na kritických systémech nerad vidím. Nicméně jsem u balíku "Red Hat Ready" narazil na nejasnost: jedno nastavení najdete v <code>/etc/opt/eset/nod32</code>, druhé v <code>/opt/eset/nod32/etc</code>. Tento přístup vyžaduje Filesystem Hierarchy Standard. V /opt má být původní konfigurace, zatímco v /etc její kopie, ve které má uživatel provádět lokální změny. V podstatě je to správné a ve FHS zdokumentované, ale uživatel je zmaten. Být výrobcem, zdůraznil bych to v dokumentaci.

Informace ze zákulisí: Proweb Consulting a.s., který NOD32 k recenzi poskytl, Red Hat Ready balíčky vůbec nenabízí. Prý právě proto, aby nemátl uživatele. Z českých stránek je však lze stáhnout a domácí zákazníci se tedy do podobné situace jako já mohou dostat.

Dojmy

Mezi jednoznačné klady NOD32 řadím snadnou instalaci a propojení se všemi možnými aplikacemi na elektronickou poštu a souborové servery. Viděl jsem antiviry, jejichž linuxové verze byly evidentně portovány z Windows narychlo a spíš nefungovaly nebo se instalovaly zbytečně složitě. NOD32 pro Linux oproti tomu působí seriózním dojmem. Taky oceňuji metodu LD_PRELOAD pro "on access" testování souborů.

Mínusy? Spíš kosmetické vady: V dokumentaci bych si přál upozornění na matoucí cesty u Red Hat Ready balíku.

Srovnání s alternativami

Součástí správného hodnocení by mělo být porovnání recenzovaného produktu s alternativami. Tak do toho. Asi nejdůležitější vlastností antiviru je schopnost detekce nových virů. Uživatele však také zajímá cena.

Úspěšnost detekce virů

Viry v mrazničce neschovávám, proto se při zkouškách úspěšnosti spolehnu na několik nezávislých autorit. Neberte následující řádky jako plnohodnotný "benchmark", chápu, že proti žebříčkům antivirových programů někdo může mít výhrady, ale pro základní informace to stačí. Navíc v roli průměrného uživatele, rozhodujícího se, který produkt koupí, mi nic jiného než orientace podle veřejně dostupných údajů nezbývá. Těžko po takovém člověku někdo může chtít organizovat plnohodnotné testy.

Podíval jsem se na žebříček VB 100, ve kterém Virus Bulletin hodnotí schopnost detekce virů z kolekce "In the wild", tedy těch, které aktuálně kolují mezi počítači. Hodnotil jsem počet selhání v posledních 15 testech (to by mělo ukázat na dlouhodobé renomé a stabilitu výsledků). Přidal jsem počet selhání z nejnovějších 5 testů, tím dáme šanci napravit reputaci těm produktům, které se v poslední době začaly zlepšovat. Dál jsem započítal testy AV-Comparatives, které zkoušejí svůj vlastní "In the wild" seznam a také schopnost odhalit neznámé viry. Testované antiviry "zmrazí" bez aktualizací a o tři měsíce později jim předloží ty viry, které se za tu dobu nově objevily.

Abych srovnáváním netrávil zbytečně mnoho času, zaznamenal jsem si u každého antiviru pořadí, v jakém v daných testech skončil v porovnání s ostatními. Nejlepší program dostal 5 bodů, nejhorší v pořadí 1. Všechny testy měly stejnou váhu, s výjimkou "mrazicího" testu nových virů. Ten se mi líbil tolik, že jsem mu dal váhu dvojnásobnou, body se násobily dvěma. Maximum je tedy 25 bodů, minimum 5.

Výsledné pořadí:

<ol-DECIMAL>
  • NOD32: 25 bodů ***** (vítěz v každé kategorii, který byl navíc v testu AV-Comparatives schopen detekovat 69% pro něj neznámého malware vzniklého v posledních třech měsících)
  • McAfee: 19 bodů (slušný výsledek a 35% neznámých virů)
  • BitDefender: 18 bodů (dobrá detekce 49% nových virů, v poslední době perfektní výsledky ve VB100, ale bohužel se špatnou historií)
  • Avast!: 14 body (fandíme domácímu zástupci ve střední kategorii)
  • AVG: 6 bodů (bohužel poslední v každé kategorii a se schopností detekovat pouhá 4% neznámých virů)
    1. NOD32 vede a dokonce ho považuji za světovou špičku. Špatné výsledky AVG mne nemile překvapily, zvlášť když si uvědomíme, jak vysoký tržní podíl na domácí půdě má. Příležitost ke zlepšení.

      Cena antiviru

      K ceně jen krátce, protože se nechci zabývat složitějšími počty, už takhle je recenze dlouhá. Pokud se rozhodujete, jaký antivirus nasadíte, doporučuji započítat i cenu aktualizací na několik let dopředu, já obvykle počítám se 4 roky. Hodně též záleží na vašich představách, jak a kam antivirus nasadíte, protože každý výrobce má jiný způsob licencování. U jednoho zadání vyjde levněji produkt A, u jiného by cena hovořila ve prospěch B.

      Mezi výše zmíněnými produkty se NOD32 cenově umístí někde uprostřed. Je dražší než ostatní domácí produkty (počítám ČR i SR). Ovšem při pohledu na ceníky zahraničních produktů zjistíme, že NOD32 obvykle vychází na méně peněz.

      AVG vychází jednoznačně nejlevněji, ale v současné době bych si ho s ohledem na jeho častá selhání nekoupil. Uvidíme, co s ním udělá nedávno oznámená akvizice – pokud by AVG dotáhlo kvalitu detekce a k tomu zachovalo nízkou cenu, bylo by pro mne zajímavou alternativou.

      Verdikt

      Se špičkovou detekcí a střední příčkou na žebříčku ceny se dá říct, že NOD32 nabízí nejlepší poměr mezi cenou a výkonem a je to nejlepší, co můžete v současné době koupit.

      Protože tento článek nemusí být v době, kdy ho čtete, již aktuální, doporučuji vám při rozhodování o koupi udělat vlastní nové testy. Můžete se třeba inspirovat výše uvedenou metodikou.