O Sophos Antivirus for Linux é uma das soluções de antivírus mais respeitadas no mercado corporativo, oferecendo uma versão gratuita para sistemas Linux que mantém a mesma engine de detecção utilizada por milhares de empresas ao redor do mundo. Embora muitos profissionais ainda acreditem que Linux não precisa de antivírus, a realidade dos ambientes corporativos modernos é bem diferente — servidores de arquivos que atendem estações Windows, ambientes de e-mail com regras de filtragem, compartilhamentos Samba e NFS, além da necessidade crescente de atender requisitos de compliance como PCI-DSS, ISO 27001 e LGPD. Nesta aula, você aprenderá a instalar, configurar e operar o Sophos Antivirus for Linux em distribuições Debian/Ubuntu e CentOS/RHEL/Rocky Linux, transformando um software tradicionalmente subutilizado em uma camada poderosa da sua estratégia de defesa em profundidade. Em nossos projetos na JRT Technology Solutions, utilizamos diariamente o Sophos em servidores de borda e storage NAS justamente por sua capacidade de detecção de malware voltado para Windows, interrompendo ameaças antes que atinjam as estações de trabalho.
O cenário de ameaças evoluiu dramaticamente nos últimos anos: ransomware mirando compartilhamentos de rede, rootkits instalados via exploração de serviços web, cryptominers que se propagam via SSH, e até mesmo arquivos maliciosos hospedados em servidores Linux que servem como vetor para ataques a clientes. O Sophos Antivirus for Linux atua exatamente nesse ponto, oferecendo verificação sob demanda (on-demand) e, na versão gratuita, a possibilidade de detecção em tempo real via integração com o daemon sav-protect. Ao final desta aula, você será capaz de implantar o Sophos em qualquer servidor Linux, agendar varreduras automáticas, interpretar os logs corretamente, configurar exclusões inteligentes e solucionar os problemas mais comuns que surgem durante a operação. Nossos especialistas da JRT Technology Solutions reforçam que dominar este tipo de ferramenta diferencia o profissional de infraestrutura que apenas “mantém o sistema rodando” daquele que efetivamente protege o ambiente.
Diferentemente de outras soluções exclusivamente pagas, o Sophos oferece sua versão Sophos Anti-Virus for Linux sem custo de licenciamento para uso comercial, desde que algumas funcionalidades avançadas (como o Sophos Central e a proteção em tempo real via interceptação de chamadas de sistema) fiquem reservadas à versão licenciada. No entanto, a versão gratuita já contempla o mecanismo completo de assinaturas, atualização automática via Sophos Update, escaneamento recursivo com suporte a múltiplos formatos de arquivo compactado e a capacidade de integração com scripts personalizados. Esta aula cobrirá o processo do zero — desde a criação da conta no portal Sophos (necessária apenas para download das credenciais) até a automação completa com cron e testes de detecção com arquivos EICAR.
Prepare seu ambiente de testes agora, pois trabalharemos com instalação real de pacotes, modificação de configurações do sistema e execução de varreduras que podem consumir I/O de disco. Recomendo que você utilize uma VM ou servidor de laboratório, nunca seu ambiente de produção inicial. Esta é uma aula de nível intermediário — assumimos que você já tem fluência com o terminal, entende a estrutura de diretórios do Linux e sabe gerenciar serviços via systemd.
O que você vai aprender nesta aula
- Compreender a arquitetura do Sophos Antivirus for Linux e suas diferenças em relação ao Sophos para Windows/macOS
- Criar sua conta no portal Sophos ID e obter as credenciais de download da versão gratuita
- Instalar o Sophos em distribuições baseadas em Debian (Ubuntu 22.04/24.04 LTS) e Red Hat (CentOS 7/8, Rocky Linux 8/9, RHEL)
- Configurar atualizações automáticas de assinaturas, varreduras programadas e exclusões por caminho/extensão
- Executar varreduras manuais e interpretar os códigos de retorno e logs
- Testar a detecção utilizando arquivos EICAR e arquivos de teste inofensivos
- Solucionar os 5 erros mais comuns na operação do Sophos for Linux
- Implementar boas práticas de segurança alinhadas com recomendações da Sophos e da experiência de campo da JRT Technology Solutions
Pré-requisitos e Ambiente
Antes de iniciar esta aula, verifique se você atende aos seguintes requisitos. Primeiro, tenha acesso root ou a um usuário com privilégios sudo — a instalação do Sophos modifica diretórios em /opt/sophos-av e registra serviços no sistema. Segundo, certifique-se de que o servidor possui pelo menos 2 GB de RAM disponíveis e 1 GB de espaço livre em disco para o diretório de instalação e assinaturas (o consumo típico fica entre 400 MB e 700 MB, dependendo da quantidade de motores ativos). Terceiro, é necessário acesso à internet para download do pacote e atualização das assinaturas — verifique se as portas TCP 80 e 443 estão liberadas para os domínios *.sophos.com e *.sophosupd.com. Quarto, você precisará de um e-mail válido para criar uma conta gratuita no portal Sophos ID, que fornecerá as credenciais de acesso ao repositório de pacotes.
Os sistemas operacionais suportados nesta aula são:
- Ubuntu 20.04 LTS, 22.04 LTS e 24.04 LTS (arquitetura amd64)
- Debian 11 (Bullseye) e 12 (Bookworm)
- CentOS 7 (EOL, mas ainda amplamente utilizado em legados)
- Rocky Linux 8 e 9 / AlmaLinux 8 e 9
- Red Hat Enterprise Linux 8 e 9
O Sophos não oferece suporte oficial a arquiteturas ARM (Raspberry Pi, AWS Graviton) na versão gratuita para Linux — apenas amd64.
Certifique-se também de que os seguintes pacotes estejam instalados, pois são dependências obrigatórias durante o processo de instalação e operação:
- wget ou curl (para download do pacote)
- tar e gzip (para descompactação)
- glibc versão 2.17 ou superior
- rpm (em sistemas Red Hat) ou dpkg (em sistemas Debian)
- systemd (gerenciamento de serviços)
Arquitetura do Sophos Antivirus for Linux — entendendo os componentes antes da instalação
O Sophos Antivirus for Linux é composto por um conjunto de componentes modulares que trabalham juntos para fornecer varredura, detecção e atualização de assinaturas. Diferentemente do antivírus tradicional para Windows, que insere hooks em chamadas de sistema para interceptar operações de arquivo em tempo real, a versão gratuita para Linux opera majoritariamente no modo on-demand (sob demanda), acionado manualmente ou via agendamento. O coração do sistema é o daemon sav-protect, que permanece residente em memória e gerencia as filas de escaneamento, comunicação com o serviço de atualização sav-update e execução do mecanismo de detecção via bibliotecas compartilhadas localizadas em /opt/sophos-av/lib.
Os principais componentes que você encontrará após a instalação são:
- savscan — o scanner de linha de comando, utilizado para varreduras manuais e chamado por scripts. Aceita centenas de parâmetros para controle fino de profundidade, exclusões, tipos de arquivo e ações pós-detecção.
- sav-protect — daemon de proteção que gerencia a camada de on-access scanning (limitada na versão gratuita, mas funcional como gerenciador de atualizações automáticas).
- sav-update — responsável por baixar e aplicar atualizações de assinaturas e do próprio motor de detecção, conectando-se aos servidores da Sophos via HTTP/HTTPS.
- sav-config — ferramenta interativa para configuração do produto, que modifica o arquivo principal /etc/sophos-av/config.conf.
- Bibliotecas de detecção — arquivos .so contendo os motores de análise heurística, detecção de malware, spyware, adware e PUA (Potentially Unwanted Applications).
- Assinaturas (IDE files) — arquivos compactados contendo as definições de centenas de milhares de ameaças, atualizados diariamente.
Uma tabela comparativa ajuda a entender as diferenças entre a versão gratuita e a licenciada:
| Funcionalidade | Sophos AV for Linux (Gratuito) | Sophos Central + Intercept X (Licenciado) |
|---|---|---|
| Varredura on-demand (savscan) | ✅ Completa | ✅ Completa |
| Atualizações automáticas de assinaturas | ✅ Sim | ✅ Sim |
| Proteção on-access (tempo real) | ❌ Limitada | ✅ Completa via fanotify |
| Gerenciamento centralizado | ❌ Não | ✅ Sophos Central |
| Relatórios e compliance | ❌ Apenas logs locais | ✅ Dashboards e relatórios |
| Suporte técnico oficial | ❌ Comunidade | ✅ 24/7 via portal |
| Uso comercial permitido | ✅ Sim | ✅ Sim |
Compreender essa arquitetura é essencial para evitar frustrações comuns. Muitos administradores esperam que a versão gratuita bloqueie arquivos em tempo real automaticamente — não é o caso. A detecção em tempo real exige a compra de licenças Sophos Central, mas a versão gratuita é perfeitamente capaz de varrer agendadamente seus servidores e detectar ameaças, atendendo aos requisitos de compliance de mercado. Em nossa experiência na JRT Technology Solutions, a versão gratuita é frequentemente utilizada em servidores de arquivos e repositórios de backups, com varreduras noturnas que geram logs enviados para SIEM.
Criando sua conta Sophos ID e obtendo as credenciais de download
Antes de baixar o pacote, você precisará criar uma conta gratuita no Sophos ID, o portal unificado de identidade da Sophos. Este passo é obrigatório mesmo para a versão gratuita, pois as credenciais são utilizadas pelo sav-update para autenticar o download de assinaturas. O processo é simples, mas requer atenção a detalhes importantes.
- Acesse o portal de cadastro: Abra https://id.sophos.com em seu navegador e clique em “Sign Up” (Criar conta). Preencha nome, sobrenome, e-mail corporativo (evite e-mails pessoais como @gmail.com se possível — alguns domínios genéricos podem enfrentar validação adicional) e uma senha forte.
- Confirme o e-mail: Você receberá uma mensagem de verificação no e-mail cadastrado. Clique no link para ativar a conta. Este passo é mandatório — sem confirmação, o download será bloqueado.
- Acesse a página de download do produto: Após autenticado, vá para https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx e clique em “Download Now”. Você será redirecionado para uma página de termos de uso — leia e aceite.
- Anote suas credenciais: Na página seguinte, serão exibidos seu Sophos ID username (geralmente no formato e-mail) e uma senha específica para atualizações (não é a mesma senha da conta). Copie e guarde em local seguro — você precisará delas no passo de configuração.
- Baixe o pacote: Na mesma página, você verá links para os formatos .tar.gz (instalação manual, nossa preferência para maior controle) e opcionalmente .deb e .rpm para algumas distribuições. Baixe o arquivo sav-linux-free-9.tgz (o nome pode variar conforme a versão).
Em projetos da JRT Technology Solutions, padronizamos o download do tarball .tgz em vez de pacotes nativos .deb/.rpm, pois isso nos dá controle total sobre o diretório de instalação e evita conflitos com gerenciadores de pacotes que possam tentar atualizar o Sophos inadvertidamente. Se você baixou o pacote em sua estação de trabalho e não diretamente no servidor, transfira-o via SCP:
# Substitua pelos seus caminhos e IP reais
scp ~/Downloads/sav-linux-free-9.tgz usuario@192.168.1.100:/tmp/Instalação passo a passo do Sophos Antivirus for Linux em Ubuntu/Debian
Agora iniciaremos a instalação propriamente dita em um servidor Ubuntu 22.04 LTS. O processo para Debian 11/12 é idêntico. Estamos utilizando o tarball sav-linux-free-9.tgz baixado da Sophos. Coloque-o em um diretório temporário e siga os passos abaixo exatamente na ordem apresentada.
- Atualize o sistema e instale dependências: Embora o instalador do Sophos tente resolver dependências automaticamente, é boa prática garantir que os pacotes básicos estejam presentes.
# Atualiza os repositórios e pacotes
sudo apt update
sudo apt upgrade -y
# Instala dependências obrigatórias que o script de instalação do Sophos utiliza
sudo apt install -y wget tar gzip coreutils perl
# Em versões minimalistas do Ubuntu, instale também
sudo apt install -y libc6-i386 lib32z1 2>/dev/null || echo "Pacotes 32-bit não disponíveis — OK se amd64 puro"Hit:1 http://archive.ubuntu.com/ubuntu jammy InRelease
Get:2 http://archive.ubuntu.com/ubuntu jammy-updates InRelease [119 kB]
...
Setting up wget (1.21.2-2ubuntu1) ...
Setting up perl (5.34.0-3ubuntu1.1) ...
Processing triggers for libc-bin (2.35-0ubuntu3.1) ...- Extraia o tarball e execute o instalador: O script install.sh contido no pacote guiará a instalação interativa. Nós o executaremos em modo não interativo utilizando variáveis de ambiente para automação — mas primeiro, veja como é o fluxo interativo padrão.
# Acessa o diretório onde o pacote foi baixado
cd /tmp
# Extrai o conteúdo do tarball (o nome do arquivo pode variar)
tar -xzvf sav-linux-free-9.tgz
# Lista o conteúdo extraído para entender a estrutura
ls -la sophos-av/drwxr-xr-x 4 root root 4096 Jun 15 09:23 .
drwxrwxrwt 12 root root 4096 Jun 20 14:10 ..
-rwxr-xr-x 1 root root 5423 May 12 10:15 install.sh
drwxr-xr-x 2 root root 4096 May 12 10:15 lib
drwxr-xr-x 2 root root 4096 May 12 10:15 man
-rw-r--r-- 1 root root 4923456 May 12 10:15 sav-linux-free-9.tar
-rw-r--r-- 1 root root 987 May 12 10:15 version.txt- Execute install.sh de forma interativa: (Para aprendizado, faça interativamente; depois mostraremos como automatizar). O instalador fará perguntas sobre diretório de instalação, tipo de instalação (custom, typical), credenciais de atualização e proxy. Responda cada pergunta conforme abaixo.
# Inicia a instalação interativa
cd sophos-av
sudo bash install.shSophos Anti-Virus Installer (version 9.20.1)
===============================================
This script will install Sophos Anti-Virus on your system.
Press Enter to continue, or Ctrl-C to abort.
Where would you like to install Sophos Anti-Virus? [/opt/sophos-av]:
Installation type:
1. Typical (recommended)
2. Custom
Select option [1]: 1
Please enter your Sophos update username: seu.email@exemplo.com
Please enter your Sophos update password: ********
Re-enter password: ********
Do you use an HTTP proxy to access the internet? (y/n) [n]: n
Enable on-access scanning? (y/n) [n]: n
Installing Sophos Anti-Virus...
Creating directory /opt/sophos-av...
Extracting files...
Configuring Sophos Anti-Virus...
Sophos Anti-Virus installed successfully.
Initial update of virus definitions. This may take a few minutes.
Connecting to update server...
Downloading virus data...
Update completed successfully.Durante esta instalação interativa, você forneceu as credenciais obtidas no portal Sophos ID. O sistema baixa imediatamente a primeira atualização de assinaturas, o que pode levar de 2 a 10 minutos dependendo da conexão. Após a conclusão, o Sophos está instalado e funcional.
- Instalação não interativa (automação): Para ambientes gerenciados por ferramentas como Ansible, Puppet ou scripts de bootstrap, você pode passar as respostas via pipeline. Este é o padrão adotado pela JRT Technology Solutions em implantações escaláveis.
# Define as variáveis de ambiente com as credenciais e respostas
export SOPHOS_UPDATE_USER="seu.email@exemplo.com"
export SOPHOS_UPDATE_PASS="SuaSenhaDeUpdate123"
export SOPHOS_INSTALL_DIR="/opt/sophos-av"
# Executa o instalador automaticamente com as respostas pré-definidas
printf '%s\n' "$SOPHOS_INSTALL_DIR" "1" "$SOPHOS_UPDATE_USER" "$SOPHOS_UPDATE_PASS" "$SOPHOS_UPDATE_PASS" "n" "n" | sudo bash /tmp/sophos-av/install.shO pipeline printf ‘%s\n’ … envia sequencialmente cada resposta como se fossem entradas do teclado: diretório de instalação, tipo de instalação (1 = Typical), usuário de atualização, senha, confirmação de senha, proxy (n), on-access scanning (n). Este método funciona para a versão 9.x testada até junho de 2026.
Instalação em CentOS 7, Rocky Linux 8/9 e RHEL
Em sistemas da família Red Hat, o processo é muito similar, mas as dependências têm nomes diferentes. Além disso, o CentOS 7 utiliza init.d e não systemd para alguns serviços legados, enquanto Rocky Linux 8/9 já adota systemd nativamente — o instalador do Sophos detecta automaticamente. Siga o procedimento abaixo para Rocky Linux 8 (ou CentOS 7 com pequenas adaptações nos comandos de instalação de pacotes).
- Atualize o sistema e instale dependências:
# Para Rocky Linux 8/9 ou RHEL 8/9
sudo dnf update -y
sudo dnf install -y wget tar gzip coreutils perl
# Habilitar repositórios EPEL pode ser necessário para algumas bibliotecas
sudo dnf install -y epel-release
# Instalar glibc 32-bit se o sistema for x86_64 (para compatibilidade com binários i386)
sudo dnf install -y glibc.i686 libgcc.i686 2>/dev/null || echo "Arquitetura sem libs 32-bit — OK"
# Para CentOS 7 (substitua dnf por yum)
sudo yum update -y
sudo yum install -y wget tar gzip coreutils perl
sudo yum install -y epel-release
sudo yum install -y glibc.i686 libgcc.i686 2>/dev/null || echo "Libs 32-bit não disponíveis"Rocky Linux 8 - BaseOS 12 MB/s | 3.5 MB 00:00
Dependencies resolved.
=======================================================================
Package Arch Version Repo Size
=======================================================================
Installing:
wget x86_64 1.19.5-11.el8 baseos 734 k
...
Complete!- Extraia e execute o instalador: Use exatamente o mesmo tarball obtido do portal Sophos. A instalação é universal, não há pacotes separados para Debian ou Red Hat, pois o instalador detecta a distribuição e ajusta os caminhos.
cd /tmp
tar -xzvf sav-linux-free-9.tgz
cd sophos-av
# Instalação interativa
sudo bash install.shAs perguntas serão as mesmas. No Rocky Linux 8, o instalador detectará o init system (systemd) e registrará o serviço sav-protect.service e o timer sav-update.timer automaticamente. Após a instalação, verifique os serviços criados:
# Lista serviços Sophos gerenciados pelo systemd
systemctl list-units | grep -i sophossav-protect.service loaded active running Sophos Anti-Virus daemon
sav-update.timer loaded active waiting Sophos Anti-Virus Update TimerVerificando a Instalação / Testando a Configuração
Esta seção é obrigatória e crítica. Após a instalação, você deve executar uma série de verificações para garantir que o Sophos está funcional, as assinaturas estão atualizadas e o mecanismo de detecção responde corretamente. Realizaremos três níveis de verificação: status do serviço, versão e integridade das assinaturas, e um teste prático de detecção com arquivo EICAR.
Verificação 1 — Status do daemon e atualização:
# Verifica se o daemon sav-protect está rodando
sudo /opt/sophos-av/bin/sav-protect --status
# Ou via systemd (distribuições modernas)
sudo systemctl status sav-protect● sav-protect.service - Sophos Anti-Virus daemon
Loaded: loaded (/etc/systemd/system/sav-protect.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2026-06-20 14:35:10 -03; 5min ago
Docs: man:sav-protect(8)
Main PID: 12845 (sav-protect)
Tasks: 17 (limit: 23124)
Memory: 128.7M
CGroup: /system.slice/sav-protect.service
├─12845 /opt/sophos-av/bin/sav-protect
└─12850 /opt/sophos-av/bin/sav-protect --worker
Jun 20 14:35:10 ubuntu-sophos sav-protect[12845]: Sophos Anti-Virus protection started.
Jun 20 14:35:12 ubuntu-sophos sav-protect[12845]: Update check completed. Virus data is up-to-date.Verificação 2 — Versão do motor e data das assinaturas:
# Exibe versão do produto, motor e data das definições de vírus
sudo /opt/sophos-av/bin/savscan --versionSophos Anti-Virus version 9.20.1
Engine version 3.82.0
Virus data version 5.99 (2026-06-20)
Last updated: Sat Jun 20 14:35:12 2026
Copyright 1989-2026 Sophos Limited. All rights reserved.Se a data exibida em “Virus data version” for a data atual (20 de junho de 2026 ou dia anterior), suas assinaturas estão atualizadas. Caso a data seja muito antiga (mais de 7 dias), execute atualização manual:
sudo /opt/sophos-av/bin/sav-update -updateVerificação 3 — Teste de detecção com arquivo EICAR: O arquivo EICAR (European Institute for Computer Antivirus Research) é o padrão da indústria para testar antivírus de forma segura. É uma string ASCII inofensiva que todos os mecanismos de detecção reconhecem como “vírus de teste”.
# Cria o arquivo de teste EICAR no diretório /tmp
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /tmp/eicar.com
# Executa savscan no arquivo
sudo /opt/sophos-av/bin/savscan /tmp/eicar.com/tmp/eicar.com EICAR-AV-Test
1 file scanned in 0 seconds.
1 virus was discovered.
1 file out of 1 was infected.
End of scan.Se a saída mostrar “EICAR-AV-Test” e contabilizar 1 vírus, a detecção está funcionando. Se a saída for “No threats detected” ou “0 viruses discovered”, há um problema grave de configuração — prossiga para a seção de erros comuns.
Verificação 4 — Varredura completa em diretório específico: Vamos varrer o diretório /opt e verificar o comportamento recursivo, relatório e códigos de saída.
# Varre /opt recursivamente com relatório detalhado
sudo /opt/sophos-av/bin/savscan -f -recursive /opt/opt/teste.txt Clean
/opt/sophos-av/lib/... Clean
/opt/eicar.com EICAR-AV-Test
87 files scanned in 1.4 seconds.
1 virus was discovered.
1 file out of 87 was infected.
End of scan.O código de saída do savscan segue uma convenção importante para scripts de automação:
| Código de Saída | Significado | Ação Recomendada em Scripts |
|---|---|---|
| 0 | Nenhum vírus encontrado, sem erros | Sucesso, continuar operação normal |
| 1 | Vírus encontrado(s) | Alertar, mover/quarentenar arquivos |
| 2 | Erro de execução (permissão, arquivo não encontrado) | Verificar permissões e caminho |
| 3 | Erro fatal (falha de engine, corrupção de assinaturas) | Reinstalar ou restaurar backup de assinaturas |
Erros Comuns e Como Resolver
Durante nossa experiência na JRT Technology Solutions implantando Sophos em centenas de servidores, identificamos padrões de falha recorrentes. Abaixo, os 5 erros mais frequentes, seus sintomas, causas e soluções completas.
- Erro 1: “Unable to contact update server” (Não foi possível contatar o servidor de atualização)
Sintoma: Ao executar sav-update ou durante a instalação, a atualização falha com mensagem de timeout ou “No route to host”.
Causa: Bloqueio de firewall corporativo nas portas 80/443 para os domínios de atualização (sav-update.sophos.com, sav-update2.sophos.com), proxy não configurado ou DNS não resolvendo.
Solução: Teste a conectividade com curl -v https://sav-update.sophos.com. Se falhar, libere as regras de firewall. Se utiliza proxy, edite /etc/sophos-av/update.conf e adicione:proxy_server = http://proxy.empresa.com:3128 proxy_username = usuario proxy_password = senhaDepois execute sudo /opt/sophos-av/bin/sav-update -update -verbose.
- Erro 2: “Permission denied” ao escanear determinados diretórios
Sintoma: O scanner reporta “Permission denied” para arquivos dentro de /root, /var/lib/mysql ou snapshots.
Causa: Execução do savscan sem privilégios de root. O Sophos precisa ler os arquivos para escaneá-los.
Solução: Execute sempre com sudo ou como root. Em ambientes com SELinux ativo (Rocky/RHEL), talvez seja necessário ajustar o contexto:sudo setenforce 0 # Temporário para teste sudo restorecon -Rv /opt/sophos-av/Em produção, crie uma política SELinux customizada com audit2allow.
- Erro 3: “Virus data is more than 7 days old” (Assinaturas desatualizadas há mais de 7 dias)
Sintoma: Ao listar versão, a data das assinaturas está antiga; varreduras não detectam ameaças novas.
Causa: Falha silenciosa no timer de atualização (sav-update.timer) ou credenciais expiradas.
Solução: Primeiro, force atualização manual:sudo /opt/sophos-av/bin/sav-update -update -verboseSe falhar com erro de autenticação, suas credenciais Sophos ID podem ter expirado ou sido revogadas. Acesse novamente o portal Sophos ID, gere novas credenciais e atualize /etc/sophos-av/update.conf. Depois, verifique o timer:
sudo systemctl enable sav-update.timer sudo systemctl start sav-update.timer sudo systemctl status sav-update.timer - Erro 4: “savscan: error while loading shared libraries: libsavi.so.3”
Sintoma: Ao executar qualquer comando do Sophos, erro de link dinâmico com bibliotecas não encontradas.
Causa: Instalação corrompida, bibliotecas em /opt/sophos-av/lib não estão no LD_LIBRARY_PATH, ou conflito de versão com glibc/i686.
Solução: Execute o script de configuração de ambiente fornecido:source /opt/sophos-av/bin/sav-config.sh export LD_LIBRARY_PATH=/opt/sophos-av/lib:$LD_LIBRARY_PATHSe o problema persistir, reinstale completamente:
sudo rm -rf /opt/sophos-av /etc/sophos-av sudo userdel -r sav 2>/dev/null # Reexecute install.sh conforme instruções anteriores - Erro 5: “On-access scanner not supported in this version” (Escaneamento on-access não suportado)
Sintoma: Ao tentar habilitar on-access scanning, mensagem informando que a funcionalidade não está disponível.
Causa: A versão gratuita não inclui suporte a on-access via fanotify. Apenas a versão licenciada (Sophos Central Intercept X for Linux) possui essa funcionalidade completa. Tentar forçar a ativação em /etc/sophos-av/onaccess.conf não surtirá efeito.
Solução: Utilize varreduras programadas via cron para simular uma proteção pró-ativa:# Adiciona ao crontab do root varredura diária às 2h sudo crontab -l > /tmp/cron echo "0 2 * * * /opt/sophos-av/bin/savscan -f -recursive /srv/compartilhamentos > /var/log/sophos-daily.log 2>&1" >> /tmp/cron sudo crontab /tmp/cron && rm /tmp/cronEsta abordagem atende a maioria dos requisitos de compliance para servidores de arquivos.
Configuração Detalhada do Sophos Antivirus for Linux — arquivo de configuração e parâmetros avançados
O comportamento do Sophos é controlado primariamente por arquivos de configuração localizados em /etc/sophos-av/. O arquivo principal é o config.conf, mas existem arquivos específicos para atualizações (update.conf), on-access scanner (onaccess.conf — mesmo que não funcional na versão gratuita) e o arquivo de inicialização do ambiente (sav-config.sh). Após a instalação, é fundamental revisar e personalizar estas configurações. Abaixo, apresentamos o conteúdo completo comentado do arquivo /etc/sophos-av/config.conf com os parâmetros mais relevantes:
# /etc/sophos-av/config.conf
# Sophos Anti-Virus for Linux — arquivo de configuração principal
# Gerado automaticamente em 2026-06-20
# Modifique apenas se souber exatamente o impacto de cada parâmetro
# ---------- DIRETÓRIOS ----------
# Diretório raiz da instalação (definido durante install.sh)
Directory.install = /opt/sophos-av
# Diretório onde as assinaturas (IDE) são armazenadas
Directory.ides = /opt/sophos-av/lib/ides
# Diretório de quarentena — arquivos detectados podem ser movidos para cá
Directory.quarantine = /opt/sophos-av/quarantine
# ---------- ATUALIZAÇÕES ----------
# Habilita ou desabilita atualizações automáticas (0 = desabilitado, 1 = habilitado)
Update.auto = 1
# Frequência de verificação de atualizações em horas (padrão: 1)
Update.interval = 1
# Caminho do log de atualizações
Update.log = /var/log/sophos-av-update.log
# ---------- SCANNER ----------
# Profundidade máxima de recursão em arquivos comprimidos (0 = sem limite)
Scanner.maxdepth = 20
# Tamanho máximo de arquivo a ser escaneado em bytes (0 = sem limite)
Scanner.maxfilesize = 0
# Extensões de arquivos que serão sempre escaneadas, independente do tipo detectado
# Deixe vazio para escanear todos os arquivos
Scanner.extensions =
# Ação padrão ao detectar um vírus: "none" (apenas reportar), "delete" (excluir), "quarantine" (mover quarentena)
Scanner.defaultaction = none
# Habilita detecção de PUA (Potentially Unwanted Applications) — adware, spyware, etc.
Scanner.detectpua = 1
# Habilita detecção de suspeitos (arquivos com comportamento anômalo mas não confirmados)
Scanner.detectsuspect = 1
# ---------- EXCLUSÕES ----------
# Lista de caminhos que serão ignorados durante a varredura
# Cada linha é um path absoluto ou relativo ao diretório escaneado
# Exemplos (descomente e ajuste conforme necessidade):
# Exclude.path = /proc
# Exclude.path = /sys
# Exclude.path = /dev
# Exclude.path = /var/lib/docker/overlay2
# Exclude.path = /mnt/nfs-remoto
# ---------- LOGGING ----------
# Nível de log: 0 = mínimo, 1 = normal, 2 = detalhado, 3 = debug
Log.level = 1
# Caminho do arquivo de log de escaneamento
Log.file = /var/log/sophos-av-scan.log
# Formato da data nos logs (strftime format)
Log.dateformat = %Y-%m-%d %H:%M:%SPara modificar estas configurações de forma segura e com validação de sintaxe, utilize a ferramenta interativa sav-config. Ela lê o arquivo atual e guia você através de menus numerados, atualizando o arquivo e recarregando o daemon automaticamente:
# Inicia o configurador interativo
sudo /opt/sophos-av/bin/sav-configSophos Anti-Virus Configuration
================================
1. Set update credentials
2. Configure update schedule
3. Configure scanner options
4. Manage exclusions
5. Configure on-access scanning
6. Set log level
7. Save and exit
8. Exit without saving
Select option [1-8]:Utilize a opção 4 para gerenciar exclusões — este é o ponto mais crítico em ambientes de produção. Excluir diretórios como /proc, /sys e mounts de rede pode reduzir dramaticamente o tempo de varredura e evitar falsos positivos. Em projetos na JRT Technology Solutions, sempre configuramos exclusões para diretórios de bancos de dados em produção (/var/lib/mysql, /var/lib/postgresql), pois a varredura em arquivos abertos de database pode causar locks indesejados.
Agendando varreduras automáticas com cron e systemd timers
A versão gratuita não possui agendamento nativo de varreduras (apenas de atualizações). Para contornar isso e garantir varreduras regulares, utilizamos o cron ou timers do systemd. A abordagem com cron é mais simples e direta; a com systemd timers oferece maior integração com o ecossistema init e logging via journald. Apresentaremos ambas.
Método 1 — Cron (tradicional, compatível com todas as distros):
# Edita o crontab do usuário root
sudo crontab -e
# Adicione as seguintes linhas (explicadas abaixo):
# Varredura diária completa no diretório /home e /var/www, log em arquivo rotacionado
0 3 * * * /opt/sophos-av/bin/savscan -f -recursive -quarantine /home /var/www > /var/log/sophos-home-scan.$(date +\%Y\%m\%d).log 2>&1
# Varredura semanal (domingo) de todo o sistema (exceto /proc e /sys), envia e-mail se detectar vírus
0 5 * * 0 /opt/sophos-av/bin/savscan -f -recursive -e /proc -e /sys -e /dev / > /tmp/scan-full.log 2>&1; [ $? -eq 1 ] && mail -s "Virus detectado no scan semanal" admin@exemplo.com < /tmp/scan-full.logO parâmetro -e exclui o diretório especificado, equivalente ao Exclude.path no config.conf. O teste [ $? -eq 1 ] dispara um e-mail apenas se o código de saída for 1 (vírus encontrado).
Método 2 — Systemd Timer (moderno, nativo no Ubuntu e Rocky Linux 8+):
# Cria o arquivo de serviço que executará a varredura
sudo tee /etc/systemd/system/sophos-weekly-scan.service > /dev/null << 'EOF'
[Unit]
Description=Sophos Weekly Full Scan
Wants=network-online.target
After=network-online.target
[Service]
Type=oneshot
ExecStart=/opt/sophos-av/bin/savscan -f -recursive -e /proc -e /sys -e /dev /
StandardOutput=journal
StandardError=journal
EOF
# Cria o timer que dispara o serviço todo domingo às 04:00
sudo tee /etc/systemd/system/sophos-weekly-scan.timer > /dev/null << 'EOF'
[Unit]
Description=Sophos Weekly Scan Timer
Requires=sophos-weekly-scan.service
[Timer]
OnCalendar=Sun *-*-* 04:00:00
Persistent=true
[Install]
WantedBy=timers.target
EOF
# Habilita e inicia o timer
sudo systemctl daemon-reload
sudo systemctl enable sophos-weekly-scan.timer
sudo systemctl start sophos-weekly-scan.timer
# Verifica o status e próximo agendamento
sudo systemctl status sophos-weekly-scan.timer● sophos-weekly-scan.timer - Sophos Weekly Scan Timer
Loaded: loaded (/etc/systemd/system/sophos-weekly-scan.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Sat 2026-06-20 15:42:00 -03; 10s ago
Trigger: Sun 2026-06-21 04:00:00 -03; 12h left
...Comandos essenciais do Sophos Antivirus for Linux — referência rápida
Consolidei abaixo os comandos mais utilizados no dia a dia com o Sophos, com suas flags principais e exemplos de uso. Esta tabela serve como referência rápida para consulta durante operações de manutenção e troubleshooting.