ESET File Security for Linux

(1)

ESET File Security for Linux

Nutzerhandbuch

Klicken Sie hier, um die Onlinehilfe-Version dieses Dokuments anzuzeigen

(2)

ESET File Security for Linux wurde von ESET, spol. s r.o. entwickelt.

Nähere Informationen ﬁnden Sie unter www.eset.com.

Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne schriftliche Einwilligung des Verfassers reproduziert, in einem Abrufsystem gespeichert oder in irgendeiner Form oder auf irgendeine Weise weitergegeben werden, sei es elektronisch, mechanisch, durch Fotokopien, Aufnehmen, Scannen oder auf andere Art.

ESET, spol. s r.o. behält sich das Recht vor, ohne vorherige Ankündigung an jedem der hier beschriebenen Software-Produkte Änderungen vorzunehmen.

Support: www.eset.com/support Versionsstand 24.02.2022

(3)

1 Einführung ... 1

1.1 Wichtige Systemfunktionen ... 1

2 Systemanforderungen ... 1

3 Installation ... 3

3.1 Deinstallation ... 5

3.2 Massenhafte Bereitstellung ... 5

4 Update, Upgrade ... 11

4.1 Update-Mirror ... 14

4.2 Automatische Updates für Produktkomponenten ... 15

5 ESET File Security for Linux aktivieren ... 15

5.1 Wo ﬁnde ich meine Lizenz? ... 16

5.2 Aktivierungsstatus ... 17

6 Arbeiten mit ESET File Security for Linux ... 17

6.1 Dashboard ... 20

6.2 Scans ... 21

6.2.1 On-Demand-Scan im Terminal ... 22

6.2.2 Ausschlussﬁlter ... 24

6.3 Ereignisse ... 28

6.3.1 Quarantäne ... 28

6.4 Ereignisse ... 30

7 Konﬁguration ... 31

7.1 Malware Scan Engine ... 32

7.1.1 Ausschlussﬁlter ... 32

7.1.2 Echtzeit-Dateischutz ... 36

7.1.3 Cloudbasierter Schutz ... 37

7.1.4 Malware-Prüfungen ... 39

7.1.5 ICAP-Scan ... 39

7.1.6 Säuberungsstufen ... 40

7.1.7 Shared local cache ... 40

7.1.8 ThreatSense-Parameter ... 40

7.1.8.1 Zusätzliche ThreatSense-Parameter ... 43

7.2 Update ... 43

7.3 Tools ... 44

7.3.1 Proxyserver ... 44

7.3.2 Web-Oberﬂäche ... 44

7.3.3 Log-Dateien ... 46

7.3.4 Taskplaner ... 47

7.4 Adresse und Port für Verbindungen ... 48

8 Remoteverwaltung ... 48

9 Beispielanwendungsfälle ... 49

9.1 ICAP-Server mit EMC Isilon integrieren ... 49

9.2 Modulinformationen abrufen ... 51

9.3 Scan planen ... 52

10 Datei- und Ordnerstruktur ... 53

11 Fehlerbehebung ... 55

11.1 Logs sammeln ... 55

11.2 Passwort vergessen ... 56

11.3 Fehler bei Update ... 57

11.4 Verwenden des noexec-Flags ... 57

11.5 Echtzeit-Schutz kann nicht gestartet werden ... 58

(4)

11.6 Echtzeit-Schutz beim Systemstart deaktivieren ... 59

12 Bekannte Probleme ... 59

13 Glossar ... 60

14 Endbenutzer-Lizenzvereinbarung ... 60

15 Datenschutzerklärung ... 69

(5)

Einführung

Die leistungsstarke ESET-Erkennungsroutine bietet eine beispiellose Scangeschwindigkeit und herausragende Erkennungsraten in Kombination mit minimalem Ressourcenverbrauch.

Daher ist ESET File Security for Linux (EFSL) die ideale Wahl für alle Linux-Server.

Die Hauptfunktionen werden vom On-Demand-Scanner und vom Echtzeit-Scanner abgedeckt.

Der On-Demand-Scanner kann von privilegierten Benutzern (normalerweise ein

Systemadministrator) in der Befehlszeile, der Web-Oberﬂäche oder durch das Scheduling- Tool des Betriebssystems (z. B. cron) gestartet werden. Der Begriﬀ On-Demand bezieht sich auf Dateisystemobjekte, die aufgrund von Benutzer- oder Systemanforderungen gescannt werden.

Der Echtzeit-Scanner wird aufgerufen, wenn ein Benutzer und/oder das Betriebssystem versucht, auf Dateisystemobjekte zuzugreifen. Daher auch der Name Echtzeit: Der Scan wird in Echtzeit ausgelöst, wenn auf Dateisystemobjekte zugegriﬀen wird.

Wichtige Systemfunktionen

• Automatische Produktupdates

• Einfache Verwaltung und Übersicht über die Sicherheit Ihres Systems in der neu gestalteten Web- Oberﬂäche

• Echtzeit-Scan mit dem ressourcenschonenden ESET-Kernelmodul

• Umfassende Scan-Logs

• Neu gestaltete und benutzerfreundliche Einrichtungsseite mit Suchleiste

• SELinux-Unterstützung

• Quarantäne

• Verwaltbar mit ESET Security Management Console

Systemanforderungen

De Hardwaremindestanforderungen hängen von der Serverrolle ab. Die folgenden Hardwareanforderungen müssen erfüllt sein, um die Installationsprozedur für ESET File Security for Linux korrekt ausführen zu können:

• Prozessor: Intel/AMD x64

• 700 MB freier Speicherplatz auf der Festplatte

• 256 MB freier Arbeitsspeicher

(6)

• glibc 2.12 oder höher

• 2.6.32 oder eine höhere Version des Linux-Betriebssystemkernels

• Beliebiges Gebietsschema mit UTF-8-Encoding

ESET File Security for Linux wurde auf den neuesten Nebenversionen der aufgelisteten Betriebssysteme getestet. Aktualisieren Sie Ihr Betriebssystem, bevor Sie efs installieren.

• RedHat Enterprise Linux (RHEL) 6 64-bit

• CentOS 6 64-bit

• CentOS 7 64-bit

• Centos 8 64-bit

• Ubuntu Server 16.04 LTS 64-bit

• Debian 9 64-bit

• Debian 10 64-bit

• SUSE Linux Enterprise Server (SLES) 12 64-bit

• SUSE Linux Enterprise Server (SLES) 15 64-bit

ESET File Security for Linux (efs) wurde auf den neuesten Nebenversionen der aufgelisteten Betriebssysteme getestet und wird unterstützt. Aktualisieren Sie Ihr Betriebssystem, bevor Sie efs installieren.

AWS- und ELREPO-Kernel

Linux-Distributionen mit AWS- oder ELREPO-Kernel werden nicht unterstützt.

ESET File Security for Linux sollte auch unter den meisten aktuellen und gängigen Open- Source-Linux-Distributionen funktionieren, wenn

• die genannten Hardwareanforderungen erfüllt sind

(7)

• und in der verwendeten Linux-Distribution sämtliche Softwareabhängigkeiten vorhanden sind.

HINWEIS

Secure Boot wird nicht unterstützt.

Remoteverwaltung mit ESET Security Management Console.

Unterstützte Browser

Die ESET File Security for Linux-Web-Oberﬂäche unterstützt die folgenden Browser:

• Google Chrome

• Mozilla Firefox

• Microsoft Edge

• Safari

SELinux-Unterstützung

SELinux wird in den folgenden Distributionen unterstützt:

• Red Hat Enterprise Linux 6

• Centos 6

• Centos 7

• Centos 8

Um die Policy für das EFS SELinux-Modul installieren zu können, muss das Paket „selinux- policy-devel“ installiert sein. Um das BS ohne das SELinux-Modul ESET File Security for Linux zu starten, verwenden Sie den Kernelparameter eset_selinux=0 beim Start des

Betriebssystems.

Installation

ESET File Security for Linux wird als Binärdatei verteilt (.bin).

(8)

HINWEIS

Installieren Sie die aktuellsten Updates für Ihr Betriebssystem, bevor Sie ESET File Security for Linux installieren.

Entfernen Sie zunächst Version 4.x

Falls Sie ESET File Security for Linux Version 4.x installiert haben, müssen Sie diese zunächst entfernen. Version 7.x ist nicht mit Version 4.x kompatibel.

Falls Sie ESET Remote Adminstrator verwendet haben, um ESET File Security for Linux Version 4 zu verwalten, führen Sie ein Upgrade auf ESET Security

Management Console aus, um Version 7 remote zu verwalten.

Terminal-Installation

Um Ihr Produkt zu installieren oder zu aktualisieren, führen Sie das ESET-Distributionsskript mit root- Berechtigungen für Ihre jeweilige BS-Distribution aus:

• ./efs-<VERSION>.x86_64.bin

• sh ./efs-<VERSION>.x86_64.bin

Beachten Sie die verfügbaren Befehlszeilenargumente.

Führen Sie den folgenden Befehl in einem Terminalfenster aus, um die verfügbaren Parameters (Argumente) für die ESET File Security for Linux-Binärdatei anzuzeigen:

bash ./efs-<VERSION>.x86_64.bin -h

Verfügbare Parameter

Kurzform Langform Beschreibung

-h --help Befehlszeilenargumente anzeigen

-n --no-install Nach dem Entpacken keine Installation durchführen

-y --accept-license Lizenz nicht anzeigen, Lizenz wurde akzeptiert

-f --force-install Installation per Paket-Manager ohne Nachfrage erzwingen

-g --no-gui GUI nach Installation nicht einrichten/starten

.deb- oder .rpm-Installationspaket abrufen

Um das passende .deb- oder .rpm-Installationspaket für Ihr BS abzurufen, führen Sie das ESET-Distributionsskript mit dem Befehlszeilenargument „-n“ aus:

sudo ./efs-<VERSION>.x86_64.bin -n

oder

sudo sh ./efs-<VERSION>.x86_64.bin -n

Um die Abhängigkeiten des Installationspakets anzuzeigen, führen Sie einen der folgenden Befehle aus:

• dpkg -I <deb package>

• rpm -qRp <rpm package>

(9)

Folgen sie den Anweisungen auf dem Bildschirm. Nachdem Sie die Lizenzvereinbarung für das Produkt akzeptiert haben, wird die Installation abgeschlossen, und die Anmeldedetails für die Web- Oberﬂäche werden angezeigt.

Eventuelle Abhängigkeitsprobleme werden im Installationsprogramm angezeigt.

Installation mit ESET Security Management Console (ESMC)

Weitere Informationen zur Remotebereitstellung von ESET File Security for Linux auf Ihren Computern ﬁnden Sie in der Onlinehilfe zur ESMC-Software-Installation.

Aktivieren Sie ESET File Security for Linux, um reguläre Updates der Erkennungsmodule zu aktivieren.

Bei Bedarf können Sie die Web-Oberﬂäche remote aktivieren.

Apps von Drittanbietern

Sie ﬁnden eine Liste der von ESET File Security for Linux verwendeten Apps von Drittanbietern in der Datei NOTICE_mode unter /opt/eset/efs/doc/modules_notice/.

Deinstallation

Um Ihr ESET-Produkt zu deinstallieren, führen Sie den Befehl zum Entfernen der Pakete für Ihre Linux-Distribution als Superuser in einem Terminalfenster aus.

Ubuntu/Debian-basierte Distributionen:

• apt-get remove efs

• dpkg --purge efs

Red Hat-basierte Distributionen:

• yum remove efs

• rpm -e efs

Massenhafte Bereitstellung

Dieser Abschnitt enthält eine Übersicht über die massenhafte Bereitstellung von ESET File Security for Linux mit Puppet, Chef und Ansible. Die folgenden Codeblocks enthalten lediglich einfache Beispiele für die Installation der Pakete und müssen je nach Linux-Distribution

angepasst werden.

(10)

Paketauswahl

Bevor Sie mit der massenhaften Bereitstellung von ESET File Security for Linux beginnen, müssen Sie entscheiden, welches Paket Sie verwenden möchten. ESET File Security for Linux wird als .bin-Paket verteilt. Sie können jedoch das deb/rpm-Paket abrufen indem Sie das ESET-Distributionsskript mit dem Befehlszeilenargument „-n“ ausführen.

Puppet

Voraussetzungen

• bin- oder deb/rpm-Paket auf puppet-master verfügbar

• puppet-agent ist mit puppet-master verbunden

Bin-Paket

Bereitstellungsschritte:

• Kopieren Sie das Installationspaket auf die gewünschten Computer.

• Führen Sie das bin-Installationspaket aus.

Beispiel für Puppet-Manifest

node default {

file {"/tmp/efs-7.0.1081.0.x86_64.bin":

mode => "0700", owner => "root", group => "root",

source => "puppet:///modules/efs/efs-7.0.1081.0.x86_64.bin"

}

exec {"Execute bin package installation":

command => '/tmp/efs-7.0.1081.0.x86_64.bin -y -f' }

}

Deb/rpm package

• Kopieren Sie das deb/rpm-Installationspaket für die passende Distributionsfamilie auf die gewünschten Computer.

• Führen Sie das deb/rpm-Installationspaket aus.

(11)

Abhängigkeiten

Abhängigkeiten müssen vor der Installation aufgelöst werden.

Beispiel für Puppet-Manifest

node default {

if $osfamily == 'Debian' {

file {"/tmp/efs-7.0.1081.0.x86_64.deb":

source => "puppet:///modules/efs/efs-7.0.1081.0.x86_64.deb"

}

package {"efs":

ensure => "installed", provider => 'dpkg',

source => "/tmp/efs-7.0.1081.0.x86_64.deb"

} }

if $osfamily == 'RedHat' {

file {"/tmp/efs-7.0.1081.0.x86_64.rpm":

source => "puppet:///modules/efs/efs-7.0.1081.0.x86_64.rpm"

}

package {"efs":

ensure => "installed", provider => 'rpm',

source => "/tmp/efs-7.0.1081.0.x86_64.rpm"

} }

}

Chef

Voraussetzungen

• bin- oder deb/rpm-Paket auf Chef-Server verfügbar

• Chef-Client ist mit Chef-Server verbunden

Bin-Paket

(12)

Beispiel für Chef-Recipe

cookbook_file '/tmp/efs-7.0.1084.0.x86_64.bin' do source 'efs-7.0.1084.0.x86_64.bin'

owner 'root' group 'root' mode '0700' action :create end

execute 'package_install' do

command '/tmp/efs-7.0.1084.0.x86_64.bin -y -f' end

Deb/rpm package

Abhängigkeiten

Abhängigkeiten müssen vor der Installation aufgelöst werden.

(13)

Beispiel für Chef-Recipe

cookbook_file '/tmp/efs-7.0.1084.0.x86_64.deb' do source 'efs-7.0.1084.0.x86_64.deb'

owner 'root' group 'root' mode '0700' action :create

only_if { node['platform_family'] == 'debian'}

end

cookbook_file '/tmp/efs-7.0.1084.0.x86_64.rpm' do source 'efs-7.0.1084.0.x86_64.rpm' owner 'root'

group 'root' mode '0700' action :create

only_if { node['platform_family'] == 'rhel'}

dpkg_package 'efsu' do

source '/tmp/efs-7.0.1084.0.x86_64.deb' action :install

only_if { node['platform_family'] == 'debian'}

end

rpm_package 'efsu' do

source '/tmp/efs-7.0.1084.0.x86_64.rpm' action :install

only_if { node['platform_family'] == 'rhel'}

end

Ansible

Voraussetzungen

• bin- oder deb/rpm-Paket auf Ansible-Server verfügbar

• ssh-Zugriﬀ auf Zielcomputer

Bin-Paket

(14)

Beispiel für Playbook-Task

....

- name: "INSTALL: Copy configuration json files"

copy:

src: efs-7.0.1084.0.x86_64.bin dest: /home/ansible/

- name : "Install product bin package"

shell: bash ./efs-7.0.1084.0.x86_64.bin -y -f -g ...

Deb/rpm package

(15)

Beispiel für Playbook-Task

....

- name: "Copy deb package to VM"

copy:

src: ./efs-7.0.1085.0.x86_64.deb

dest: /home/ansible/efs-7.0.1085.0.x86_64.deb owner: ansible

mode: a+r when:

- ansible_os_family == "Debian"

- name: "Copy rpm package to VM"

copy:

src: ./efs-7.0.1085.0.x86_64.rpm

dest: /home/ansible/efs-7.0.1085.0.x86_64.rpm owner: ansible

mode: a+r when:

- ansible_os_family == "RedHat"

- name: "Install deb package"

apt:

deb: /home/ansible/efs-7.0.1085.0.x86_64.deb state: present

when:

- ansible_os_family == "Debian"

- name: "Install rpm package"

yum:

name: /home/ansible/efs-7.0.1085.0.x86_64.rpm state: present

when:

- ansible_os_family == "RedHat"

....

Update und Upgrade

Modulupdate

Produktmodule, inklusive der Erkennungsmodule, werden automatisch aktualisiert.

Um das Update der Erkennungsmodule manuell zu starten, klicken Sie auf Modulupdates >

Suchen und aktualisieren und warten Sie, bis das Update abgeschlossen wurde.

Falls ein ESET File Security for Linux-Update nicht stabil ist, können Sie das Modul-Update auf einen vorherigen Zustand zurücksetzen. Klicken Sie auf Dashboard > Modul-Updates >

Modul-Rollback, wählen Sie die gewünschte Dauer aus und klicken Sie auf Rollback ausführen.

Um alle Produktmodule in einem Terminalfenster zu aktualisieren, führen Sie den folgenden Befehl aus:

(16)

/opt/eset/efs/bin/upd -u

Update und Rollback im Terminal

Optionen -

Kurzform Optionen - Langform Beschreibung

-u --update Module aktualisieren

-c --cancel Download von Modulen abbrechen

-e --resume Updatesperre aufheben

-r --rollback=VALUE

Rollback auf den ältesten Snapshot des Scanner-Moduls und sämtliche Updates für VALUE Stunden blockieren

-l --list-modules Liste der Produktmodule anzeigen *

--server=ADDRESS Adresse des Updateservers

--username=USERNAME Benutzername für die Authentiﬁzierung des Update-Anrechts

--password=PASSWORD Passwort für die Authentiﬁzierung des Update-Anrechts

--proxy-addr=ADDRESS Adresse des Proxyservers

--proxy-port=PORT Port des Proxyservers

--proxy-username=USERNAME

Benutzername für den Proxyserver, falls dieser mit Benutzername/Passwort geschützt ist

--proxy-password=PASSWORD Passwort für den Proxyserver, falls dieser mit Benutzername/Passwort geschützt ist

--update-server-type=UPDATE_TYPEArt des Updateservers

--list-update-server-type Liste der verfügbaren Arten von Updateservern

--check-app-update Im Repository nach neuen Produktversionen suchen**

--download-app-update Neue Produktversion herunterladen, falls verfügbar**

--perform-app-update Neue Produktversion herunterladen und installieren, falls verfügbar**

--accept-license Lizenzänderungen akzeptieren**

* - verfügbar ab ESET File Security for Linux Version 7.1

** - verfügbar ab ESET File Security for Linux Version 7.2

Wichtig

Das upd-Hilfsprogramm kann nicht verwendet werden, um die Produktkonﬁguration zu ändern.

(17)

BEISPIEL

Um Updates für 48 Stunden auszusetzen und ein Rollback auf den ältesten Snapshot des Scanner-Moduls durchzuführen, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

sudo /opt/eset/efs/bin/upd --rollback=48

Um die automatischen Updates des Scanner-Moduls fortzusetzen, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

sudo /opt/eset/efs/bin/upd --resume

Um ein Update von einem Mirror-Server unter der IP-Adresse „192.168.1.2“ und dem Port 2221 durchzuführen, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

sudo /opt/eset/efs/bin/upd --update --server=192.168.1.2:2221

Upgrade ESET File Security for Linux auf eine neuere Version

Neuere Versionen von ESET File Security for Linux werden veröﬀentlicht, um Verbesserungen oder Patches durchzuführen, die ein automatisches Update der Programmmodule nicht leisten kann.

Hinweis

ESET File Security for Linux Version 4 kann nicht auf Version 7 aktualisiert werden. Stattdessen ist eine neue Installation erforderlich. Die Einstellungen aus Version 4 können nicht nach Version 7 importiert werden.

Welche Produktversion ist aktuell installiert?

Sie können die Produktversion von ESET File Security for Linux auf zwei Arten ermitteln:

1. Navigieren Sie in der Web-Oberﬂäche zu „Hilfe > Info“.

2. Führen Sie /opt/eset/efs/sbin/setgui -v in einem Terminalfenster aus.

Durchführen des Upgrades? ESET File Security for Linux?

Lokale Optionen

• Führen Sie ein passendes Installationspaket für Ihr BS aus, wie im Abschnitt Installation beschrieben.

(18)

• Navigieren Sie in der Web-Oberﬂäche zu Dashboard > Produktupdate und klicken Sie auf Nach Updates suchen

• Führen Sie das Hilfsprogramm upd mit dem Parameter --perform-app-update.

• Automatische Updates/Upgrades konﬁgurieren

Remoteverwaltung mit ESET Security Management Console (ESMC)

Wenn Sie ESET File Security for Linux mit ESMC verwalten, können Sie Upgrades auf die folgenden Arten starten:

• Task „Software-Installation“

• Navigieren Sie in der Web-Oberﬂäche zu Dashboard > ESET-Anwendungen > Rechtsklick auf ESET File Security for Linux > Installierte ESET-Produkte aktualisieren.

• Automatische Updates/Upgrades konﬁgurieren

Update-Mirror

Mit verschiedenen ESET-Sicherheitsprodukten (ESET Security Management Console, ESET Endpoint Antivirus usw.) haben Sie die Möglichkeit, Kopien der Update-Dateien zu erstellen.

Diese können Sie dann zur Aktualisierung anderer Workstations im Netzwerk verwenden. Das Verwenden eines Update-Mirrors - das Vorhalten von Kopien der Update-Dateien im lokalen Netzwerk - kann vorteilhaft sein, da die Dateien dann nicht von allen Arbeitsplatzcomputern einzeln über das Internet heruntergeladen werden müssen. Updates werden auf den lokalen Mirror-Server heruntergeladen und von dort an die Arbeitsstationen verteilt. Die

Internetverbindung wird erheblich entlastet. Das Aktualisieren der Clientcomputer von einem Update-Mirror optimiert die Lastenverteilung im Netzwerk und entlastet

Internetverbindungen.

Konﬁgurieren von ESET File Security for Linux für die Verwendung eines Update-Mirrors

1. Navigieren Sie in der Web-Oberﬂäche zu Einstellungen > Update > Primärer Server.

2. Deaktivieren Sie den Schalter neben Automatisch auswählen im Abschnitt Einfach.

3. Geben Sie im Feld Updateserver die URL-Adresse des Mirror-Servers in einem der folgenden Formate ein:

a.http://<IP>:<port>

b.http://<hostname>:<port>

4. Geben Sie den entsprechenden Benutzernamen und das Passwort ein.

5. Klicken Sie auf Speichern.

Falls in Ihrem Netzwerk mehrere Mirror-Server verfügbar sind, wiederholen Sie die genannten

(19)

Schritte, um die sekundären Updateserver zu konﬁgurieren.

Automatische Updates für Produktkomponenten

In ESET File Security for Linux Version 7.2 können Sie automatische Updates für Produktkomponenten aktivieren, inklusive Updates auf neuere Produktversionen:

1. Navigieren Sie in der Web-Oberﬂäche zu Einstellungen > Update.

2. Wählen Sie im Bereich Updates für Programmkomponenten die Option Automatisch aktualisieren im Listenfeld Update-Modus aus.

3. Falls Sie einen benutzerdeﬁnierten Updateserver für Updates der Produktkomponenten verwenden möchten:

a.Deﬁnieren Sie die Serveradresse im Feld Benutzerdeﬁnierter Server.

b.Geben Sie Benutzername und Passwort in die entsprechenden Felder ein.

4. Klicken Sie auf Speichern.

Falls Sie ESET File Security for Linux über die ESET Security Management Console verwalten, konﬁgurieren Sie die automatischen Updates mit Policies.

So ändern Sie die Konﬁguration von ESET File Security for Linux:

1. Klicken Sie in ESET Security Management Console auf Policies > Neue Policy und geben Sie einen Namen für die Policy ein.

2. Klicken Sie auf Einstellungen, und wählen Sie <%PRODUCTNAME_IN_ESMC%> im Dropdownmenü aus.

3. Passen Sie die gewünschten Einstellungen an und klicken Sie auf Speichern in den Dialogfeldern, in denen Sie Änderungen vorgenommen haben.

4. Klicken Sie auf Fertig.

Update-Modus

Automatisch aktualisieren - Neue Pakete werden automatisch heruntergeladen und beim nächsten Neustart des BS installiert. Falls die Endbenutzer-Lizenzvereinbarung geändert wurde, müssen die Benutzer die aktualisierte Endbenutzer-Lizenzvereinbarung bestätigen, bevor das neue Paket heruntergeladen wird.

Nie aktualisieren - Neue Pakete werden nicht heruntergeladen, aber das Produkt zeigt die Verfügbarkeit neuer Pakete im Dashboard an.

ESET File Security for Linux aktivieren

Aktivieren Sie Ihr Exemplar von ESET File Security for Linux mit einer Lizenz, die Sie von Ihrem ESET-Distributor erhalten haben.

(20)

Aktivieren mit der Web-Oberﬂäche

1. Melden Sie sich bei der Web-Oberﬂäche an.

2. Klicken Sie auf die Kachel Dashboard > Lizenz und wählen Sie die gewünschte Aktivierungsmethode aus:

a.Mit Lizenzschlüssel aktivieren b.Oﬄine-Lizenz

c.ESET Security Management Console

Wenn die Lizenz abläuft, können Sie eine andere Lizenz am gleichen Speicherort verwenden.

Mit Terminal aktivieren

Führen Sie das Hilfsprogramm /opt/eset/efs/sbin/lic als privilegierter Benutzer aus, um ESET File Security for Linux in einem Terminalfenster zu aktivieren.

Syntax: /opt/eset/efs/sbin/lic [OPTIONS]

BEISPIEL

Die folgenden Befehle müssen von einem privilegierten Benutzer ausgeführt werden:

/opt/eset/efs/sbin/lic -k XXXX-XXXX-XXXX-XXXX-XXXX

oder

/opt/eset/efs/sbin/lic --key XXXX-XXXX-XXXX-XXXX-XXXX

wobei XXXX-XXXX-XXXX-XXXX-XXXX für Ihren ESET File Security for Linux-Lizenzschlüssel steht.

Aktivieren mit ESET Security Management Console (ESMC)

Melden Sie sich bei der ESMC-Web-Oberﬂäche an, navigieren Sie zu Client-Tasks >

Produktaktivierung und folgen Sie den Anweisungen zur Produktaktivierung.

Nach Abschluss der Aktivierung können Sie die Web-Oberfläche öffnen, um einen ersten Scan Ihres Systems zu starten oder ESET File Security for Linux zu konfigurieren.

Wo ﬁnde ich meine Lizenz?

Beim Kauf Ihrer Lizenz sollten Sie zwei E-Mails von ESET erhalten haben. Die erste E-Mail enthält Informationen zum ESET Business Account-Portal. Die zweite E-Mail enthält Details zu Ihrem Lizenzschlüssel (XXXXX-XXXXX-XXXXX-XXXXX-XXXXX) oder Ihrem Benutzernamen

(21)

(EAV-xxxxxxxxxx) und Ihrem Passwort, soweit verfügbar, Ihre öﬀentliche Lizenz-ID (xxx-xxx- xxx), den Produktnamen (oder eine Liste der Produkte) und die entsprechenden Mengen.

Ich habe einen Benutzernamen und ein Passwort

Falls Sie einen Benutzernamen und ein Passwort haben, können Sie sie auf der

entsprechenden Konvertierungsseite im ESET Business Account zu einem Lizenzschlüssel konvertieren:

https://eba.eset.com/LicenseConverter

Aktivierungsstatus überprüfen

Die unten beschriebene Funktion ist verfügbar in ESET File Security for Linux Version 7.2 und höher.

Mit dem Hilfsprogramm ^lic können Sie den Aktivierungsstatus und die Gültigkeit der Lizenz anzeigen. Führen Sie die folgenden Befehle als privilegierter Benutzer aus:

Syntax: /opt/eset/efs/sbin/lic [OPTIONS]

BEISPIEL

Die folgenden Befehle müssen von einem privilegierten Benutzer ausgeführt werden:

/opt/eset/efs/sbin/lic -s

oder

/opt/eset/efs/sbin/lic --status

Ausgabe, wenn das Produkt aktiviert ist:

Status: Activated Public Id: ABC-123-DEF

License Validity: 2020-03-29

Ausgabe, wenn das Produkt nicht aktiviert ist:

Status: Not activated

Arbeiten mit ESET File Security for Linux

Melden Sie sich nach Abschluss der Installation bei der Web-Oberﬂäche an. Verwenden Sie dazu die URL-Adresse und die Anmeldeinformationen, die im Installationsprogramm

angezeigt wurden.

Die Web-Oberﬂäche ist in den folgenden Sprachen verfügbar:

(22)

• German

• Französisch

• Spanisch

• Spanish Latin

• Deutsch

• Japanisch

• Polnisch

(23)

Wenn Sie die Installation von ESET File Security for Linux remote in der ESET Security Management Console abschließen, wird die Web-Oberﬂäche nicht aktiviert.

Wenn Sie auf dem entsprechenden Computer auf die Web-Oberﬂäche zugreifen möchten, führen Sie den folgenden Befehl in einem Terminalfenster aus:

sudo /opt/eset/efs/sbin/setgui -gre

In der Ausgabe werden die URL-Adresse der Web-Oberﬂäche und die Anmeldeinformationen angezeigt.

Um die Web-Oberﬂäche unter einer bestimmten IP-Adresse und einem bestimmten Port bereitzustellen, zum Beispiel 10.1.184.230:9999, führen Sie den folgenden Befehl in einem Terminalfenster aus:

sudo /opt/eset/efs/sbin/setgui -i 10.1.184.230:9999

Um die Web-Oberﬂäche über ESET Security Management Console zu aktivieren, führen Sie einen Task „Befehl ausführen“ mit dem folgenden Befehl aus:

/opt/eset/efs/sbin/setgui -re --password=<password>

Ersetzen Sie dabei <password> durch das Passwort, das Sie festgelegt haben.

Verfügbare Optionen für den setgui-Befehl.

Optionen -

-g --gen-password Neues Passwort für die Web-Oberﬂäche generieren

-p --password=PASSWORD Neues Passwort für die Web-Oberﬂäche deﬁnieren

-f --passfile=FILE Neues Passwort für die Web-Oberﬂäche aus einer Datei auslesen

-r --gen-cert Neuen privaten Schlüssel und neues Zertiﬁkat generieren

-a --cert-password=PASSWORD Zertiﬁkatspasswort festlegen

-l --cert-passfile=FILE Zertiﬁkatspasswort aus Datei auslesen und festlegen

-i --ip-address=IP:PORT Serveradresse (IP und Portnummer)

-c --cert=FILE Zertiﬁkat importieren

-k --key=FILE Privaten Schlüssel importieren

-d --disable Web-Oberﬂäche deaktivieren

-e --enable Web-Oberﬂäche aktivieren

(24)

ESET File Security for Linux Zertiﬁkat für die Web-Oberﬂäche

Die ESET File Security for Linux-Web-Konsole verwendet ein selbstsigniertes Zertifikat. Beim ersten Zugriff auf die Web-Oberfläche wird ein Zertifikatproblem angezeigt, es sei denn, Sie fügen eine Zertifikatausnahme hinzu.

• Zertiﬁkatausnahme in Mozilla Firefox hinzufügen:

1. Klicken Sie auf Erweitert > Ausnahme hinzufügen....

2. Vergewissern Sie sich im Fenster Sicherheitsausnahme hinzufügen, dass die Option Diese Ausnahme permanent speichern ausgewählt ist.

3. Klicken Sie auf Sicherheitsausnahme bestätigen.

• Zertiﬁkatausnahme in Google Chrome hinzufügen:

1. Klicken Sie auf Erweitert.

2. Klicken Sie auf Weiter zu <Webadresse der ESA-Web-Oberﬂäche> (unsicher).

3. Daraufhin speichert Google Chrome die Ausnahme.

Um Ihr eigenes SSL-Zertifikat für die Web-Oberfläche zu verwenden, generieren Sie ein Zertifikat und importieren Sie es in ESET File Security for Linux.

1. Generieren Sie ein SSL-Zertiﬁkat:

openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout privatekey.pem -out certificate.pem

2. Importieren Sie das SSL-Zertiﬁkat in ESET File Security for Linux:

sudo /opt/eset/efs/sbin/setgui -c certificate.pem -k privatekey.pem -e

Falls Sie Ihre Instanz von ESET File Security for Linux aktiviert haben, aktualisieren Sie die Erkennungsroutinen (klicken Sie auf Dashboard > Modul-Update > Suchen und aktualisieren) und führen Sie einen ersten Scan Ihres Dateisystems aus.

Dashboard

Im Dashboard ﬁnden Sie eine Übersicht über den Schutzstatus, Modul-Updates,

Lizenzinformationen und Optionen zur Produktaktivierung sowie eine Zusammenfassung der Benachrichtigungen.

Schutzstatus

Wenn keinerlei Probleme vorliegen, wird der Schutzstatus in grün angezeigt. Wenn Sie den Schutzstatus Ihres Systems verbessern können oder ein unzureichender Schutzstatus erkannt wird, sehen Sie einen entsprechenden Hinweis auf der Kachel Schutzstatus. Klicken Sie auf die Kachel, um Details anzuzeigen.

(25)

Warnungen zum Schutzstatus stummschalten oder Stummschaltung aufheben

Sie können alle nicht-grünen Warnungen zum Schutzstatus stummschalten, indem Sie auf Diese Warnung stummschalten klicken. Der Schutzstatus für das Modul wird in grau angezeigt, und das Schutzmodul wird zum Ende der Liste verschoben. Klicken Sie auf Stummschaltung für diese Warnung aufheben, um die Statusbenachrichtigung wieder zu aktivieren.

Wenn Sie den Schutzstatus mit der ESET Security Management Console deaktiviert haben, sind die Optionen Stummschaltung für diese Warnung aufheben und Aktivieren im Dashboard nicht verfügbar.

Modul-Update

Wenn alle Module auf dem neuesten Stand sind, wird die Kachel Modul-Update in grün angezeigt. Wenn Modul-Updates vorübergehend ausgesetzt wurden, wird die Kachel in orange dargestellt. Wenn bei einem Update ein Fehler auftritt, wechselt die Kachel zu rot.

Klicken Sie auf die Kachel, um Details anzuzeigen.

Um das Update der Erkennungsmodule manuell zu starten, klicken Sie auf Modul-Update >

Suchen und aktualisieren und warten Sie, bis das Update abgeschlossen wurde.

Lizenz

Wenn eine Lizenz demnächst abläuft, wird die Kachel Lizenz in orange angezeigt. Wenn die Lizenz abgelaufen ist, wechselt die Kachel zu rot. Klicken Sie auf die Kachel, um verfügbare Optionen für den Austausch der Lizenz anzuzeigen.

Scans

Unter Scans > Neuer Scan > Alle lokalen Laufwerke scannen können Sie einen neuen Scan für alle lokalen Laufwerke manuell starten.

Unter Benutzerdefinierter Scan können Sie ein Scanprofil auswählen und den zu scannenden Ort definieren. Wenn Sie Scannen und Aktion auswählen, wird die

Säuberungsstufe des ausgewählten Scanproﬁls für die erkannten Bedrohungen angewendet.

Wählen Sie Ausschlüsse scannen aus, um alles zu scannen, inklusive der konﬁgurierten Ausschlüsse.

Benutzerdeﬁnierte Scanziele

• Lokale Laufwerke

• Netzlaufwerke

• Wechselmedien

• Bootsektoren - Die Bootsektoren aller eingehängten Laufwerke und Medien werden gescannt.

(26)

• Benutzerdeﬁniertes Ziel - Geben Sie den Pfad ein, den Sie scannen möchten, und drücken Sie die Tabulator-Taste auf Ihrer Tastatur.

Alle ausgeführten Scans werden im Bildschirm Scans erfasst, zusammen mit Informationen zur Anzahl der gefundenen und gesäuberten Bedrohungen. Falls die Spalte Gesäubert in rot hervorgehoben wird, bedeute dies, dass nicht alle inﬁzierten Dateien gesäubert oder gelöscht wurden. Um weitere Details zu einem Eintrag anzuzeigen, klicken Sie auf den Eintrag und dann auf Details anzeigen.

Der Bildschirm Scan-Details enthält drei Registerkarten:

• Übersicht - Enthält dieselben Informationen wie der Bildschirm Scans, sowie die Anzahl der gescannten Datenträger.

• Ereignisse - Zeigt Details zur erkannten Schadsoftware und zu den ergriﬀenen Aktionen an.

• Nicht gescannte Dateien - Diese Registerkarte ist ab ESET File Security for Linux Version 7.1 verfügbar und zeigt die Details und eine Begründung für Dateien an, die nicht gescannt werden konnten.

On-Demand-Scan in einem Terminalfenster ausführen

Führen Sie den Befehl „/opt/eset/efs/bin/odscan“ aus, um einen On-Demand-Scan in einem Terminalfenster zu starten.

Scan-Proﬁle

Ihre bevorzugten Scan-Parameter (ThreatSense-Parameter) können für zukünftige Prüfungen gespeichert werden. Wir empfehlen Ihnen, für jede regelmäßig durchgeführte Prüfung ein eigenes Proﬁl zu erstellen (mit verschiedenen zu prüfenden Objekten, Prüfmethoden und anderen Parametern).

Um ein neues Proﬁl zu erstellen, klicken Sie auf Einstellungen > Erkennungsroutine >

Malware-Scans > On-Demand-Scan > Proﬁlliste.

On-Demand-Scan im Terminal

Syntax: /opt/eset/efs/bin/odscan [OPTIONS..]

Optionen -

-l --list Aktuell laufende Scans anzeigen

--list-profiles Alle verfügbaren Scanproﬁle anzeigen

(27)

--all

Von anderen Benutzern ausgeführte Scans ebenfalls anzeigen (root-Berechtigungen erforderlich)

-r --resume=session_id Zuvor pausierten Scan fortsetzen (identiﬁziert durch session_id)

-p --pause=session_id Scan pausieren (identiﬁziert durch session_id)

-t --stop=session_id Scan beenden (identiﬁziert durch session_id)

-s --scan Prüfung starten

--profile=PROFILE Mit ausgewähltem PROFIL scannen

--profile-priority=PRIORITY

Task wird mit der angegebenen Priorität ausgeführt.

Mögliche Prioritäten: normal, niedrig, minimal,

Leerlauf

--readonly Prüfungsfortschritt anzeigen

--local Lokale Laufwerke scannen

--network Netzlaufwerke scannen

--removable Wechselmedien scannen

--boot-local Bootsektoren des lokalen Laufwerks scannen

--boot-removable Bootsektoren der Wechselmedien scannen

--boot-main Hauptsystembereich scannen

--exclude=FILE Ausgewählte Datei oder ausgewähltes Verzeichnis überspringen

--ignore-exclusions Ausgeschlossene Pfade und Erweiterungen ebenfalls scannen

Exitcodes verfügbar ab Version 7.1.561

Exitcodes Bedeutung

0 Keine Bedrohungen gefunden

1 Bedrohungen gefunden und entfernt

10 Einige Dateien konnten nicht geprüft werden (evtl. Bedrohungen) 50 Bedrohung gefunden

100 Fehler

BEISPIEL

On-Demand-Scan für das Verzeichnis /root/ rekursiv mit dem Scanproﬁl „@Smart scan“ als Hintergrundprozess ausführen:

/opt/eset/efs/bin/odscan --scan --profile="@Smart scan" /root/ &

On-Demand-Scan mit dem Scan-Proﬁl "@Smart Scan" für mehrere Ziele rekursiv ausführen:

/opt/eset/efs/bin/odscan --scan --profile="@Smart scan" /root/ /tmp/ /home/

Alle laufenden Scans auﬂisten

(28)

/opt/eset/efs/bin/odscan -l

Scan mit der Session-ID „15“ pausieren. Jeder Scan hat eine eigene Session-ID, die beim Start generiert wird.

/opt/eset/efs/bin/odscan -p 15

Scan mit der Session-ID „15“ beenden. Jeder Scan hat eine eigene Session-ID, die beim Start generiert wird.

/opt/eset/efs/bin/odscan -t 15

On-Demand-Scan mit dem ausgeschlossenen Verzeichnis /root/exc_dir und der ausgeschlossenen Datei /root/eicar.com ausführen:

/opt/eset/efs/bin/odscan --scan --profile="@In-depth scan" --exclude=/root/exc_dir --exclude=/root/eicar.com /

Bootsektor der Wechselmedien scannen. Führen Sie den folgenden Befehl als privilegierter Benutzer aus.

sudo /opt/eset/efs/bin/odscan --scan --profile="@In-depth scan" --boot-removable

Ausschlussﬁlter

Die Funktionsweise bestimmter Ausschlüsse und Ausschlusspfade hat sich in ESET File Security for Linux Version 7.0 und 7.1+ verändert.

Ausschlüsse von Dateiendungen

Diese Art von Ausschluss kann für den Echtzeit-Dateischutz, für On-Demand-Scans eingerichtet werden.

1. Klicken Sie in der Web-Oberﬂäche auf Einstellungen > Erkennungsroutine.

2. Klicken Sie auf:

• Echtzeit-Dateischutz > ThreatSense-Parameter, um Ausschlüsse für den Echtzeit- Dateischutz zu bearbeiten.

• Malware-Scans > On-Demand-Scan > Threatsense-Parameter, um Ausschlüsse für den On-Demand-Scan zu bearbeiten.

3. Klicken Sie neben Vom Scannen ausgeschlossene Dateierweiterungen auf Bearbeiten.

4. Klicken Sie auf Hinzufügen und geben Sie die auszuschließende Erweiterung ein. Um mehrere Erweiterungen gleichzeitig anzugeben, geben Sie mehrere Werte ein und trennen Sie die einzelnen Erweiterungen durch Zeilenumbrüche oder ein anderes von Ihnen festgelegtes Trennzeichen.

5. Klicken Sie auf OK und dann auf Speichern, um das Dialogfeld zu schließen.

6. Klicken Sie auf Speichern, um die Änderungen zu speichern.

(29)

Ausschlüsse in ESET File Security for Linux Version 7.1+

Leistungsausschlüsse

Sie können Pfade (Ordner) vom Scannen ausschließen, um die Dauer der Dateisystem-Scans auf Malware erheblich zu verringern.

1. Klicken Sie in der Web-Oberﬂäche auf Einstellungen > Erkennungsroutine > Einfach.

2. Klicken Sie neben Leistungsausschlüsse auf Bearbeiten.

3. Klicken Sie auf Hinzufügen, und deﬁnieren Sie den Pfad, den der Scanner überspringen soll.

Optional können Sie einen Kommentar zu Informationszwecken hinzufügen.

Ereignisausschlüsse

Mit Ereignisausschlüssen können Sie Objekte von der Säuberung (löschen oder in die Quarantäne verschieben) ausschließen, indem Sie sie nach Ereignisname, Objektpfad oder Hash ﬁltern.

So funktionieren Ereignisausschlüsse

Ereignisausschlüsse schließen im Gegensatz zu Leistungsausschlüssen keine Dateien und Ordner vom Scannen aus. Ereignisausschlüsse schließen Objekte nur davon aus, gelöscht oder in die Quarantäne verschoben zu werden, wenn diese von der Erkennungsroutine erkannt wurden und eine entsprechende Regel in der Ausschlussliste existiert.

Sehen Sie sich die Beispielregeln im folgenden Bild an. Die Regel in der ersten Zeile schließt ein Objekt aus, das als Eicar test file erkannt wird und sich unter /home/demo/Download/some.file befindet. Die Regel in der zweiten Zeile schließt alle erkannten Objekte mit dem entsprechenden SHA-1-Hash aus, unabhängig vom Ereignisnamen.

(30)

Objektkriterien für Ereignisausschlüsse

• Pfad – Ausschluss des Ereignisses für einen angegebenen Pfad (oder für alle Pfade, falls leer).

• Erkennungsname – Ein erkanntes Objekt wird nur ausgeschlossen, wenn es mit dem deﬁnierten Erkennungsnamen übereinstimmt. Wenn die Datei später mit einer anderen Malware inﬁziert wird, stimmt ihr Erkennungsname nicht mehr mit dem in einer Ausschlussregel überein, sondern wird als Schadsoftware erkannt, und es wird eine entsprechende Aktion ausgeführt. Diese Art von

Ausschluss kann nur für bestimmte Arten von Ereignissen verwendet werden. Um solche Ereignisse zur Ausschlussliste hinzuzufügen, navigieren Sie zu Quarantäne, klicken Sie mit der rechten Maustaste auf eine Datei in der Quarantäne und wählen Sie Wiederherstellen und ausschließen aus. Diese Option wird nur für Elemente angezeigt, die von der Erkennungsroutine als ausschließbar bewertet wurden.

• Hash – Schließt eine Datei auf Basis eines angegebenen Hashs (SHA1) aus, unabhängig von Dateityp, Speicherort, Name oder Erweiterung.

Ausschlusspfad

(31)

Für ESET File Security for Linux v7.2

/root/* - Das Verzeichnis „root“ und sämtliche Unterverzeichnisse und deren Inhalte.

/root - Nur die Datei „root“.

/root/ﬁle.txt - Nur die Datei ﬁle.txt im Verzeichnis „root“.

/root - Nur das Verzeichnis „root“.

/root , /root/ - Das Verzeichnis „root“ und sämtliche Unterverzeichnisse und deren Inhalte.

Platzhalter in Pfaden

Verwenden Sie Platzhalter in Pfaden (z. B. /home/user/*/data/ﬁle.dat) nur, wenn dies für Ihre Systeminfrastruktur erforderlich ist. Weitere Informationen ﬁnden Sie im folgenden Knowledgebase-Artikel.

Beim Verwenden von Ereignisausschlüssen gelten keine Einschränkungen Für Platzhalter in Pfaden.

Ausschlüsse in ESET File Security for Linux Version 7.0 Datei- und Ordnerausschlüsse

Mit dieser Art von Ausschlüssen können Sie verhindern, dass die gewünschten Dateien auf das Vorhandensein von Malware gescannt werden.

2. Klicken Sie neben Ausschlüsse auf Bearbeiten.

3. Klicken Sie auf Hinzufügen und wählen Sie den Ausschlusstyp aus:

• Pfad ausschließen - Geben Sie den Pfad ein, der vom Scannen ausgeschlossen werden soll.

• Hash ausschließen - Deﬁnieren Sie den Hash der Datei, die Sie vom Scannen ausschließen möchten.

• Ereignis ausschließen - Deﬁnieren Sie den exakten Namen der Bedrohung (Ereignis), die beim

(32)

Scannen ignoriert werden soll, und deﬁnieren Sie optional eine Pfadmaske.

• Wenn Sie dieses Feld leer lassen, werden alle Bedrohungen mit dem ausgewählten Namen ausgeschlossen.

• Wenn Sie einen Pfad zu einem Verzeichnis angeben, werden alle Bedrohungen mit dem ausgewählten Namen im angegebenen Verzeichnis und dessen Unterverzeichnissen ausgeschlossen.

• Wenn Sie einen Pfad zu einer Datei angeben, wird nur die jeweilige Datei mit dem ausgewählten Namen der Bedrohung ausgeschlossen.

4. Deﬁnieren Sie eine einzelne Entität (z. B. Pfad, Hash oder Bedrohung).

Ereignisse

Alle erkannten Ereignisse und ergriﬀenen Maßnahmen werden im Bildschirm Ereignisse angezeigt.

Wenn ein Ereignis zwar erkannt, aber nicht gesäubert wurde, wird die gesamte Reihe in rot hervorgehoben. Um eine erkannte bösartige Datei zu säubern, klicken Sie auf die jeweilige Zeile und wählen Sie Erneut scannen und säubern aus.

Um die Datei zu ﬁnden, die als bösartig erkannt aber noch nicht gesäubert wurde, klicken Sie auf die entsprechende Zeile, wählen Sie Pfad kopieren aus und verwenden Sie einen

Dateibrowser, um zur Datei zu gelangen.

Quarantäne

Die Hauptfunktion der Quarantäne ist die sichere Verwahrung inﬁzierter Dateien. Dateien sollten in die Quarantäne verschoben werden, wenn sie nicht gesäubert werden können, wenn es nicht sicher oder ratsam ist, sie zu löschen, oder wenn sie von ESET File Security for Linux fälschlicherweise erkannt worden sind. Sie können beliebige Dateien gezielt in die Quarantäne verschieben. Dies macht Sinn für Dateien, die sich verdächtig verhalten, bei der Virenprüfung jedoch nicht erkannt werden. Dateien aus der Quarantäne können zur Analyse an ESET eingereicht werden.

Elemente in der Quarantäne mit der Web-Oberﬂäche verwalten

Auf dem Bildschirm Quarantäne wird eine Liste der Dateien im Quarantäne-Ordner mit den folgenden Daten angezeigt: Eingangszeitpunkt in der Quarantäne, ursprünglicher Speicherort der Datei, Grund für das Verschieben in die Quarantäne, Anzahl der Bedrohungen (z. B. für Archivdateien mit mehreren Bedrohungen) und die Größe der Datei.

Klicken Sie auf ein Element in der Quarantäne, um die verfügbaren Aktionen anzuzeigen:

Wiederherstellen, Wiederherstellen und ausschließen, Pfad kopieren, Herunterladen, Aus Quarantäne löschen.

(33)

Die Option Wiederherstellen und ausschließen wird nur für Elemente angezeigt, die von der Erkennungsroutine als ausschließbar bewertet wurden.

Pfad zum Quarantäne-Ordner: /var/opt/eset/efs/cache/quarantine/root/

Elemente in der Quarantäne im Terminal verwalten

Syntax: /opt/eset/efs/bin/quar [OPTIONS]

Optionen -

-i --import Datei in Quarantäne importieren

-l --list Liste der Dateien in der Quarantäne anzeigen

-r --restore=id

Element aus Quarantäne wiederherstellen (mit angegebener ID) und in den unter --restore-path

angegebenen Pfad

-e --restore-exclude=id

Element aus Quarantäne wiederherstellen (mit

angegebener ID und markiert durch „x“ in der Spalte ausschließbar.

-d --delete=id Element aus Quarantäne löschen (mit angegebener ID)

-f --follow Auf neue Elemente warten und an die Ausgabe anfügen

--restore-path=path Element aus Quarantäne an angegebenem Pfad wiederherstellen

-h --help Hilfe anzeigen und beenden.

-v --version Versionsinformationen anzeigen und beenden

BEISPIEL

Element mit ID „0123456789“ aus Quarantäne löschen:

/opt/eset/efs/bin/quar -d 0123456789

oder

/opt/eset/efs/bin/quar --delete=0123456789

Element mit ID „9876543210 aus Quarantäne im Ordner Download des angemeldeten Benutzers wiederherstellen und umbenennen zu restoredFile.test:

/opt/eset/efs/bin/quar -r 9876543210 --restore-path=/home/$USER/Download/restoredFile.test

oder

/opt/eset/efs/bin/quar --restore=9876543210 --restore-path=/home/$USER/Download/restoredFile.test

(34)

Element mit ID „123456789“ und mit Markierung „x“ in der Spalte ausschließbar aus Quarantäne in den Ordner Download wiederherstellen:

/opt/eset/efs/bin/quar -e 9876543210 --restore-path=/home/$USER/Download/

oder

/opt/eset/efs/bin/quar --restore-exclude=9876543210 --restore-path=/home/$USER/Download/

Dateien aus der Quarantäne im Terminal wiederherstellen

1. Listen Sie die Elemente in der Quarantäne auf.

/opt/eset/efs/bin/quar -l

2. Notieren Sie sich die ID und den Namen des Elements, das Sie wiederherstellen möchten, und führen Sie den folgenden Befehl aus:

/opt/eset/efs/bin/quar --restore=ID_OF_OBJECT_TO_RESTORE --restore- path=/final/path/of/restored/file

Ereignisse

Wichtige ausgeführte Aktionen in der ESET File Security for Linux-Web-Oberﬂäche, fehlgeschlagene Anmeldeversuche bei der Web-Oberﬂäche, im Terminal ausgeführte relevante ESET File Security for Linux-Befehle und weitere Informationen werden im Bildschirm Ereignisse geloggt.

Jede erfasste Aktion enthält die folgenden Informationen: Zeitpunkt des Ereignisses, Komponente (falls verfügbar), Ereignis, Benutzer

Ereignisse im Terminal anzeigen

Um den Inhalt des Bildschirms Ereignisse in einem Terminalfenster anzuzeigen, können Sie das Befehlszeilentool ^lslog verwenden.

Syntax: /opt/eset/efs/bin/lslog [OPTIONS]

Optionen - Kurzform Optionen - Langform Beschreibung

-f --follow Auf neue Logs warten und an die Ausgabe anfügen

-o --optimize Logs optimieren

-c --csv Logs im CSV-Format anzeigen.

-e --events Ereignis-Logs auﬂisten

-s --scans On-Demand-Scan-Logs auﬂisten

-d --detections Erkennungs-Log-Datensätze auﬂisten

(35)

BEISPIELE

Alle Ereignis-Logs anzeigen:

/opt/eset/efs/bin/lslog -e

Alle Ereignis-Logs im CSV-Format in einer Datei im Ordner Documents des aktuellen Benutzers speichern:

/opt/eset/efs/bin/lslog -ec > /home/$USER/Documents/eventlogs.csv

Konﬁguration

Sie können die Standardkonﬁguration von ESET File Security for Linux im Bildschirm Setup ändern. Dort können Sie das Erkennungsverhalten anpassen, Einstellungen für

Produktupdates und Verbindungen anpassen oder das Passwort und das Zertiﬁkat für die Web-Oberﬂäche ändern. Um die Änderungen zu übernehmen, klicken Sie auf Speichern im Bildschirm Setup.

Wenn Sie ESET File Security for Linux nach Ihren Anforderungen konﬁguriert haben und die Konﬁguration zum späteren Gebrauch speichern (oder für eine andere Instanz von ESET File Security for Linux verwenden) möchten, können Sie sie in eine .xml-Datei exportieren.

Führen Sie die folgenden Befehle mit root-Berechtigungen in einem Terminalfenster aus.

Konﬁguration exportieren

/opt/eset/efs/sbin/cfg --export-xml=/tmp/export.xml

Konﬁguration importieren

/opt/eset/efs/sbin/cfg --import-xml=/tmp/export.xml

Verfügbare Optionen

Kurzform Langform Beschreibung --import-xml import settings --export-xml export settings

-h --help show help

-v --version show version information

(36)

Malware Scan Engine

Die Standardkonﬁguration des Erkennungsverhaltens bietet grundlegende Sicherheitsfunktionen, inklusive:

• Echtzeit-Dateischutz

• Smart-Optimierung (eﬃziente Kombination aus Systemschutz und Scan-Geschwindigkeit)

• ESET LiveGrid-Reputationssystem

Falls Sie zusätzliche Schutzfunktionen aktivieren möchten, klicken Sie auf Einstellungen >

Erkennungsroutine:

• Ereignis auf Potenziell unerwünschte Anwendungen

• Erkennung potenziell unsicherer Anwendungen (zum Beispiel Keylogger, Passwort-Cracking- Tools)

• Übermittlung verdächtiger oder inﬁzierter Samples aktivieren

• Konﬁgurieren von Ausschlüssen (Dateien oder Verzeichnisse, die nicht gescannt werden), um die Scans zu beschleunigen

• Anpassen der Säuberungsstufe

• Aktivieren des freigegebenen lokalen Cache

Alle erkannten Ereignisse und ergriﬀenen Maßnahmen werden im Bildschirm Ereignisse geloggt.

Ausschlussﬁlter

Die Funktionsweise bestimmter Ausschlüsse und Ausschlusspfade hat sich in ESET File Security for Linux Version 7.0 und 7.1+ verändert.

Ausschlüsse von Dateiendungen

Diese Art von Ausschluss kann für den Echtzeit-Dateischutz, für On-Demand-Scans eingerichtet werden.

1. Klicken Sie in der Web-Oberﬂäche auf Einstellungen > Erkennungsroutine.

2. Klicken Sie auf:

• Echtzeit-Dateischutz > ThreatSense-Parameter, um Ausschlüsse für den Echtzeit- Dateischutz zu bearbeiten.

(37)

• Malware-Scans > On-Demand-Scan > Threatsense-Parameter, um Ausschlüsse für den On-Demand-Scan zu bearbeiten.

3. Klicken Sie neben Vom Scannen ausgeschlossene Dateierweiterungen auf Bearbeiten.

4. Klicken Sie auf Hinzufügen und geben Sie die auszuschließende Erweiterung ein. Um mehrere Erweiterungen gleichzeitig anzugeben, geben Sie mehrere Werte ein und trennen Sie die einzelnen Erweiterungen durch Zeilenumbrüche oder ein anderes von Ihnen festgelegtes Trennzeichen.

Ausschlüsse in ESET File Security for Linux Version 7.1+

Leistungsausschlüsse

Sie können Pfade (Ordner) vom Scannen ausschließen, um die Dauer der Dateisystem-Scans auf Malware erheblich zu verringern.

2. Klicken Sie neben Leistungsausschlüsse auf Bearbeiten.

3. Klicken Sie auf Hinzufügen, und deﬁnieren Sie den Pfad, den der Scanner überspringen soll.

Optional können Sie einen Kommentar zu Informationszwecken hinzufügen.

Ereignisausschlüsse

Mit Ereignisausschlüssen können Sie Objekte von der Säuberung (löschen oder in die Quarantäne verschieben) ausschließen, indem Sie sie nach Ereignisname, Objektpfad oder Hash ﬁltern.

(38)

So funktionieren Ereignisausschlüsse

Ereignisausschlüsse schließen im Gegensatz zu Leistungsausschlüssen keine Dateien und Ordner vom Scannen aus. Ereignisausschlüsse schließen Objekte nur davon aus, gelöscht oder in die Quarantäne verschoben zu werden, wenn diese von der Erkennungsroutine erkannt wurden und eine entsprechende Regel in der Ausschlussliste existiert.

Sehen Sie sich die Beispielregeln im folgenden Bild an. Die Regel in der ersten Zeile schließt ein Objekt aus, das als Eicar test file erkannt wird und sich unter /home/demo/Download/some.file befindet. Die Regel in der zweiten Zeile schließt alle erkannten Objekte mit dem entsprechenden SHA-1-Hash aus, unabhängig vom Ereignisnamen.

Objektkriterien für Ereignisausschlüsse

• Pfad – Ausschluss des Ereignisses für einen angegebenen Pfad (oder für alle Pfade, falls leer).

• Erkennungsname – Ein erkanntes Objekt wird nur ausgeschlossen, wenn es mit dem deﬁnierten Erkennungsnamen übereinstimmt. Wenn die Datei später mit einer anderen Malware inﬁziert wird, stimmt ihr Erkennungsname nicht mehr mit dem in einer Ausschlussregel überein, sondern wird als Schadsoftware erkannt, und es wird eine entsprechende Aktion ausgeführt. Diese Art von

Ausschluss kann nur für bestimmte Arten von Ereignissen verwendet werden. Um solche Ereignisse

(39)

zur Ausschlussliste hinzuzufügen, navigieren Sie zu Quarantäne, klicken Sie mit der rechten Maustaste auf eine Datei in der Quarantäne und wählen Sie Wiederherstellen und ausschließen aus. Diese Option wird nur für Elemente angezeigt, die von der Erkennungsroutine als ausschließbar bewertet wurden.

• Hash – Schließt eine Datei auf Basis eines angegebenen Hashs (SHA1) aus, unabhängig von Dateityp, Speicherort, Name oder Erweiterung.

Ausschlusspfad

/root - Nur die Datei „root“.

/root - Nur das Verzeichnis „root“.

/root , /root/ - Das Verzeichnis „root“ und sämtliche Unterverzeichnisse und deren Inhalte.

Platzhalter in Pfaden

Verwenden Sie Platzhalter in Pfaden (z. B. /home/user/*/data/ﬁle.dat) nur, wenn dies für Ihre Systeminfrastruktur erforderlich ist. Weitere Informationen ﬁnden Sie im folgenden Knowledgebase-Artikel.

Beim Verwenden von Ereignisausschlüssen gelten keine Einschränkungen Für Platzhalter in Pfaden.