Schlagwort-Archive: SaneSecurity

Fangfrisch auf Ubuntu 24.04 LTS: Aktuelle Konfiguration und Praxis-Tipps

Schreibe eine Antwort

Mit dem Release von Ubuntu 24.04 LTS hat es Fangfrisch endlich in die offiziellen Paketquellen geschafft. In diesem Beitrag zeige ich euch, wie ihr Fangfrisch installiert, konfiguriert und mit freien ClamAV-Datenbanken ergänzt – inklusive Beispieldatei zum sofortigen Einsatz.

Was ist Fangfrisch?

Fangfrisch ist ein Sicherheitswerkzeug, das als Ergänzung zu ClamAV dient. Im Gegensatz zum offiziellen ClamAV-Tool freshclam, erlaubt Fangfrisch das Herunterladen und Aktualisieren von zusätzlichen, inoffiziellen Virendefinitionsdatenbanken. Dazu zählen Quellen wie SaneSecurity, URLHaus oder TwinWave. Der Fokus liegt auf besserem Schutz vor 0-Day-Malware, Phishing-Links, bösartigen Makros und vielem mehr.

Ein großer Pluspunkt: Fangfrisch wurde von Anfang an sicherheitsbewusst entwickelt und ist darauf ausgelegt, von einem unprivilegierten Benutzer ausgeführt zu werden.

Warum Fangfrisch?

Mit Ubuntu 24.04 LTS ist Fangfrisch per APT direkt installierbar:

sudo apt install fangfrisch

Das ist erfreulich – weniger erfreulich ist allerdings die teilweise veraltete Dokumentation. Deshalb dieser Blogbeitrag, um die aktuelle Konfiguration zusammenzufassen.

Konfigurationsdatei anpassen

Nach der Installation öffnet ihr die Konfigurationsdatei:

sudo vim /etc/fangfrisch.confsudo vim /etc/fangfrisch.conf

Dort können einzelne Datenquellen aktiviert und angepasst werden. Ich konzentriere mich hier auf die frei verfügbaren Datenbanken.

Übersicht empfohlener freier Signatur-Datenbanken

🛡️ SaneSecurity

  • Bereits vollständig in Fangfrisch integriert
  • Enthält Signaturen für 0-Day-Malware, Phishing-URLs, Spam-Mails, Double-Extension-Exes etc.
  • Bezieht auch Quellen wie Phishtank.com
[sanesecurity]
enabled = yes

🔗 URLHaus (abuse.ch)

  • Sammlung von bösartigen URLs
  • Sehr effektiv gegen Malware-Links in E-Mails
[urlhaus]
enabled = yes
max_size = 5MB

🇫🇷 SecuriteInfo

  • Französischer Anbieter mit sehr umfangreichen Signaturen
  • Kostenlose Version: nur ältere Signaturen (älter als 30 Tage)
  • Für aktuelle Signaturen → kostenpflichtig
  • Registrierung notwendig
  • ID: Account anlegen, dann einloggen unter „Installation“ dann in den Download-URLs die customer_id extrahieren: /get/signatures/[customer-id]/*.hdb
[securiteinfo]
enabled = yes
customer_id = abcdef123456  # Eigene ID eintragen

📄 TwinWave / TwinClams

  • Fokus: bösartige MS Office Dokumente mit Makros
  • Tägliche Updates, sehr effektiv
  • Quelle: GitHub
[twinwave]
enabled = yes
max_size = 2M
integrity_check = disabled
interval = 1h
prefix = https://raw.githubusercontent.com/splunk/twinclams/refs/heads/master/
url_twinclams = ${prefix}twinclams.ldb
url_twinwave_ign2 = ${prefix}twinwave.ign2

🐧 R-FX Networks (Linux Malware Detect)

  • Fokus auf Linux-spezifische Malware (PHP Backdoors, IRC-Bots etc.)
  • Teil von LMD
[rfxn]
enabled = yes
interval = 4h
integrity_check = disabled
prefix = https://www.rfxn.com/downloads/
url_rfxn_ndb = ${prefix}rfxn.ndb
url_rfxn_hdb = ${prefix}rfxn.hdb
url_rfxn_yara = ${prefix}rfxn.yara

🌐 InterServer

  • Hostinganbieter mit Fokus auf bösartigen Webcode, insbesondere PHP
  • Sehr hilfreich bei der Absicherung von Webservern
[interserver]
enabled = yes
interval = 1d
integrity_check = disabled
prefix = https://sigs.interserver.net/
url_interserver_sha256 = ${prefix}interserver256.hdb
url_interserver_topline = ${prefix}interservertopline.db
url_interserver_shell = ${prefix}shell.ldb
url_interserver_whitelist = ${prefix}whitelist.fp

Nicht mehr empfohlen oder inaktiv

  • MalwarePatrol – Nur noch kostenpflichtig
  • ditekshen – Keine Updates mehr, Repository inaktiv

Beispielkonfiguration: /etc/fangfrisch.conf

Hier eine funktionierende Komplettkonfiguration aller freien Datenbanken:

[DEFAULT]
db_url = sqlite:////var/lib/fangfrisch/db.sqlite
local_directory = /var/lib/clamav
max_size = 5MB
on_update_exec = clamdscan --reload
on_update_timeout = 42

[sanesecurity]
enabled = yes

[urlhaus]
enabled = yes
max_size = 5MB

[twinwave]
enabled = yes
max_size = 2M
integrity_check = disabled
interval = 1h
prefix = https://raw.githubusercontent.com/splunk/twinclams/refs/heads/master/
url_twinclams = ${prefix}twinclams.ldb
url_twinwave_ign2 = ${prefix}twinwave.ign2

[rfxn]
enabled = yes
interval= 4h
integrity_check = disabled
prefix = https://www.rfxn.com/downloads/
url_rfxn_ndb = ${prefix}rfxn.ndb
url_rfxn_hdb = ${prefix}rfxn.hdb
url_rfxn_yara = ${prefix}rfxn.yara

[interserver]
enabled = yes
interval = 1d
integrity_check = disabled
prefix = https://sigs.interserver.net/
url_interserver_sha256 = ${prefix}interserver256.hdb
url_interserver_topline = ${prefix}interservertopline.db
url_interserver_shell = ${prefix}shell.ldb
url_interserver_whitelist = ${prefix}whitelist.fp

Initialisierung von Fangfrisch

Zum Abschluss die Datenbank initialisieren (unter Benutzer clamav!):

sudo -u clamav -- fangfrisch --conf /etc/fangfrisch.conf --force initdb

Ab sofort lädt Fangfrisch regelmäßig alle konfigurierten Signaturen herunter und speichert sie unter /var/lib/clamav.

Integration in Mailfilter (SpamAssassin, rspamd)

Fangfrisch ist kein Virenscanner, sondern nur ein Feed-Manager. Vergesst daher nicht, ClamAV korrekt in eure Mailfilter (z.B. SpamAssassin oder rspamd) einzubinden – dazu gibt’s im Netz genügend Anleitungen.

Fazit

Mit Fangfrisch holt ihr das Maximum aus ClamAV heraus – gerade im Mailserver-Umfeld ist die Erkennung von 0-Day-Phishing und Makroviren deutlich besser als mit den offiziellen Signaturen allein.

Viel Spaß beim Absichern eurer Server – und bleibt sauber! 🛡️🐧