dnl FEATURE('relay_based_on_MX')

Если вас по каким-либо причинам не устраивает стандартный файл kav_loc.mc, например, вы используете специфические настройки, внесите строки, выделенные жирным шрифтом, в свой mc-файл и выполните команду:

m4 mysystem.mc > /etc/sendmail.cf

При использовании глобального режима, в свой mc-файл нужно внести следующие строки:

dnl define('KAVKEEPER_MAILER', '/usr/local/bin/kavkeeper')

dnl define('KAVKEEPER_CONFIG','/etc/kavkeeper.ini')

define('KAV_LOCAL_HACK' )

dnl define('confDEF_USER_ID','kavuser:kavuser')

dnl define('confRUN_AS_USER', 'kavuser')

dnl define('KAVKEEPER_MAILER_FLAGS', 'APhnu9')

MAILER(kavkeeper)

Все! Настройку sendmail можно считать завершенной. Осталось только проверить, как все работает. Запустите sendmail (/etc/init.d/sendmail start) и выполните команду:

uuencode /root/kern386.exe kern386.exe | mail –s Just_Run_It evg

Этой командой файл, инфицированный вирусом Win95.CIH, будет отправлен локальному пользователю evg. Сейчас начинается самое интересное. Проверьте свою почту (см. файл /var/mail/root). Должно быть что-то типа того, что представлено в листинге 22.3.

Листинг 22.3. Сообщения о найденных вирусах

Return-Path: о

From: root@domain.ru

То: root@localhost.localdomain

Subject: SENDER ! Virus found in message from you !

MIME-Version: 1.0

Content-Type: text/plain; charset="US-ASCII"

You sent to user evg message with VIRUS

=====================================

KAV Report:

=====================================

kern386.exe infected: Win95.CIH.1035

=====================================

Bye !

Return-Path:<>

From:rootSdomain.ru

To:rootSdomain.ru

Subject:ADMIN ! ALARM ! Virus found !

MIME-Version:1.0

Content-Type :multipart/mixed;

 boundary="=NEXT=AVPCHECK=2002=l84=1025707050=1225=0="

This is a MIME-encapsulated message

-=NEXT=AVPCHECK=2002=184=1025707050=1225=0= Content-Type:text/plain Content-Transfer-Encoding:US-ASCII

User root@localhost.localdomain send to user evg. mail with virus.

---------------------

KAV report:

---------------------

kern386.exe infected: Win95.CIH.1035

---------------------

Первое сообщение говорит о том, что письмо, содержащее вирус, было успешно отправлено, но оно не было доставлено адресату. Второе сообщение информирует администратора системы, что локальному пользователю evg пришло письмо, содержащее вирус.

В файле протокола /var/log/kavkeeper–[date].log вы также найдете сообщения о вирусе.

Программу AVPKeeper можно настроить по-разному: для автоматического удаления вирусов и удаления вирусов вручную. В первом случае пользователь, отправивший сообщение с вирусом, получает уведомление об этом, сообщение о найденном вирусе направляется администратору, а само сообщение (вместе с ним и вирус) удаляется. Во втором случае происходит все так же, как и в первом, но сообщение не удаляется, а переадресовывается администратору. Второй режим рекомендую использовать, если у вас уйма свободного времени и вашим хобби является исследование вирусов. Эти режимы можно задать в файле kavkeeper.ini. Более подробную информацию вы можете получить, прочитав документацию на программу AVPKeeper.

23

Прочие возможности

23.1. SATAN

Нет, в этой главе мы будем говорить не о религии. Программа SATAN, как могло вам показаться с первого взгляда, ничего общего с религией не имеет. SATAN (Security Administrator Tool for Analyzing Networks) — это утилита для анализирования сети и выявления дыр в различных узлах. SATAN представляет собой мощный сетевой сканер, который сканирует порты всех компьютеров вашей (и не только вашей) сети и информирует вас о возможной дыре в системе безопасности того или иного узла.