Aula 19: Sophos Antivirus for Linux — proteção empresarial gratuita: instalação e uso

O Sophos Antivirus for Linux é uma das soluções de antivírus mais respeitadas no mercado corporativo, oferecendo uma versão gratuita para sistemas Linux que mantém a mesma engine de detecção utilizada por milhares de empresas ao redor do mundo. Embora muitos profissionais ainda acreditem que Linux não precisa de antivírus, a realidade dos ambientes corporativos modernos é bem diferente — servidores de arquivos que atendem estações Windows, ambientes de e-mail com regras de filtragem, compartilhamentos Samba e NFS, além da necessidade crescente de atender requisitos de compliance como PCI-DSS, ISO 27001 e LGPD. Nesta aula, você aprenderá a instalar, configurar e operar o Sophos Antivirus for Linux em distribuições Debian/Ubuntu e CentOS/RHEL/Rocky Linux, transformando um software tradicionalmente subutilizado em uma camada poderosa da sua estratégia de defesa em profundidade. Em nossos projetos na JRT Technology Solutions, utilizamos diariamente o Sophos em servidores de borda e storage NAS justamente por sua capacidade de detecção de malware voltado para Windows, interrompendo ameaças antes que atinjam as estações de trabalho.

O cenário de ameaças evoluiu dramaticamente nos últimos anos: ransomware mirando compartilhamentos de rede, rootkits instalados via exploração de serviços web, cryptominers que se propagam via SSH, e até mesmo arquivos maliciosos hospedados em servidores Linux que servem como vetor para ataques a clientes. O Sophos Antivirus for Linux atua exatamente nesse ponto, oferecendo verificação sob demanda (on-demand) e, na versão gratuita, a possibilidade de detecção em tempo real via integração com o daemon sav-protect. Ao final desta aula, você será capaz de implantar o Sophos em qualquer servidor Linux, agendar varreduras automáticas, interpretar os logs corretamente, configurar exclusões inteligentes e solucionar os problemas mais comuns que surgem durante a operação. Nossos especialistas da JRT Technology Solutions reforçam que dominar este tipo de ferramenta diferencia o profissional de infraestrutura que apenas “mantém o sistema rodando” daquele que efetivamente protege o ambiente.

Diferentemente de outras soluções exclusivamente pagas, o Sophos oferece sua versão Sophos Anti-Virus for Linux sem custo de licenciamento para uso comercial, desde que algumas funcionalidades avançadas (como o Sophos Central e a proteção em tempo real via interceptação de chamadas de sistema) fiquem reservadas à versão licenciada. No entanto, a versão gratuita já contempla o mecanismo completo de assinaturas, atualização automática via Sophos Update, escaneamento recursivo com suporte a múltiplos formatos de arquivo compactado e a capacidade de integração com scripts personalizados. Esta aula cobrirá o processo do zero — desde a criação da conta no portal Sophos (necessária apenas para download das credenciais) até a automação completa com cron e testes de detecção com arquivos EICAR.

Prepare seu ambiente de testes agora, pois trabalharemos com instalação real de pacotes, modificação de configurações do sistema e execução de varreduras que podem consumir I/O de disco. Recomendo que você utilize uma VM ou servidor de laboratório, nunca seu ambiente de produção inicial. Esta é uma aula de nível intermediário — assumimos que você já tem fluência com o terminal, entende a estrutura de diretórios do Linux e sabe gerenciar serviços via systemd.

O que você vai aprender nesta aula

Compreender a arquitetura do Sophos Antivirus for Linux e suas diferenças em relação ao Sophos para Windows/macOS
Criar sua conta no portal Sophos ID e obter as credenciais de download da versão gratuita
Instalar o Sophos em distribuições baseadas em Debian (Ubuntu 22.04/24.04 LTS) e Red Hat (CentOS 7/8, Rocky Linux 8/9, RHEL)
Configurar atualizações automáticas de assinaturas, varreduras programadas e exclusões por caminho/extensão
Executar varreduras manuais e interpretar os códigos de retorno e logs
Testar a detecção utilizando arquivos EICAR e arquivos de teste inofensivos
Solucionar os 5 erros mais comuns na operação do Sophos for Linux
Implementar boas práticas de segurança alinhadas com recomendações da Sophos e da experiência de campo da JRT Technology Solutions

Pré-requisitos e Ambiente

Antes de iniciar esta aula, verifique se você atende aos seguintes requisitos. Primeiro, tenha acesso root ou a um usuário com privilégios sudo — a instalação do Sophos modifica diretórios em /opt/sophos-av e registra serviços no sistema. Segundo, certifique-se de que o servidor possui pelo menos 2 GB de RAM disponíveis e 1 GB de espaço livre em disco para o diretório de instalação e assinaturas (o consumo típico fica entre 400 MB e 700 MB, dependendo da quantidade de motores ativos). Terceiro, é necessário acesso à internet para download do pacote e atualização das assinaturas — verifique se as portas TCP 80 e 443 estão liberadas para os domínios *.sophos.com e *.sophosupd.com. Quarto, você precisará de um e-mail válido para criar uma conta gratuita no portal Sophos ID, que fornecerá as credenciais de acesso ao repositório de pacotes.

Os sistemas operacionais suportados nesta aula são:

Ubuntu 20.04 LTS, 22.04 LTS e 24.04 LTS (arquitetura amd64)
Debian 11 (Bullseye) e 12 (Bookworm)
CentOS 7 (EOL, mas ainda amplamente utilizado em legados)
Rocky Linux 8 e 9 / AlmaLinux 8 e 9
Red Hat Enterprise Linux 8 e 9

O Sophos não oferece suporte oficial a arquiteturas ARM (Raspberry Pi, AWS Graviton) na versão gratuita para Linux — apenas amd64.

Certifique-se também de que os seguintes pacotes estejam instalados, pois são dependências obrigatórias durante o processo de instalação e operação:

wget ou curl (para download do pacote)
tar e gzip (para descompactação)
glibc versão 2.17 ou superior
rpm (em sistemas Red Hat) ou dpkg (em sistemas Debian)
systemd (gerenciamento de serviços)

Arquitetura do Sophos Antivirus for Linux — entendendo os componentes antes da instalação

O Sophos Antivirus for Linux é composto por um conjunto de componentes modulares que trabalham juntos para fornecer varredura, detecção e atualização de assinaturas. Diferentemente do antivírus tradicional para Windows, que insere hooks em chamadas de sistema para interceptar operações de arquivo em tempo real, a versão gratuita para Linux opera majoritariamente no modo on-demand (sob demanda), acionado manualmente ou via agendamento. O coração do sistema é o daemon sav-protect, que permanece residente em memória e gerencia as filas de escaneamento, comunicação com o serviço de atualização sav-update e execução do mecanismo de detecção via bibliotecas compartilhadas localizadas em /opt/sophos-av/lib.

Os principais componentes que você encontrará após a instalação são:

savscan — o scanner de linha de comando, utilizado para varreduras manuais e chamado por scripts. Aceita centenas de parâmetros para controle fino de profundidade, exclusões, tipos de arquivo e ações pós-detecção.
sav-protect — daemon de proteção que gerencia a camada de on-access scanning (limitada na versão gratuita, mas funcional como gerenciador de atualizações automáticas).
sav-update — responsável por baixar e aplicar atualizações de assinaturas e do próprio motor de detecção, conectando-se aos servidores da Sophos via HTTP/HTTPS.
sav-config — ferramenta interativa para configuração do produto, que modifica o arquivo principal /etc/sophos-av/config.conf.
Bibliotecas de detecção — arquivos .so contendo os motores de análise heurística, detecção de malware, spyware, adware e PUA (Potentially Unwanted Applications).
Assinaturas (IDE files) — arquivos compactados contendo as definições de centenas de milhares de ameaças, atualizados diariamente.

Uma tabela comparativa ajuda a entender as diferenças entre a versão gratuita e a licenciada:

Funcionalidade	Sophos AV for Linux (Gratuito)	Sophos Central + Intercept X (Licenciado)
Varredura on-demand (savscan)	✅ Completa	✅ Completa
Atualizações automáticas de assinaturas	✅ Sim	✅ Sim
Proteção on-access (tempo real)	❌ Limitada	✅ Completa via fanotify
Gerenciamento centralizado	❌ Não	✅ Sophos Central
Relatórios e compliance	❌ Apenas logs locais	✅ Dashboards e relatórios
Suporte técnico oficial	❌ Comunidade	✅ 24/7 via portal
Uso comercial permitido	✅ Sim	✅ Sim

Compreender essa arquitetura é essencial para evitar frustrações comuns. Muitos administradores esperam que a versão gratuita bloqueie arquivos em tempo real automaticamente — não é o caso. A detecção em tempo real exige a compra de licenças Sophos Central, mas a versão gratuita é perfeitamente capaz de varrer agendadamente seus servidores e detectar ameaças, atendendo aos requisitos de compliance de mercado. Em nossa experiência na JRT Technology Solutions, a versão gratuita é frequentemente utilizada em servidores de arquivos e repositórios de backups, com varreduras noturnas que geram logs enviados para SIEM.

Criando sua conta Sophos ID e obtendo as credenciais de download

Antes de baixar o pacote, você precisará criar uma conta gratuita no Sophos ID, o portal unificado de identidade da Sophos. Este passo é obrigatório mesmo para a versão gratuita, pois as credenciais são utilizadas pelo sav-update para autenticar o download de assinaturas. O processo é simples, mas requer atenção a detalhes importantes.

Acesse o portal de cadastro: Abra https://id.sophos.com em seu navegador e clique em “Sign Up” (Criar conta). Preencha nome, sobrenome, e-mail corporativo (evite e-mails pessoais como @gmail.com se possível — alguns domínios genéricos podem enfrentar validação adicional) e uma senha forte.
Confirme o e-mail: Você receberá uma mensagem de verificação no e-mail cadastrado. Clique no link para ativar a conta. Este passo é mandatório — sem confirmação, o download será bloqueado.
Acesse a página de download do produto: Após autenticado, vá para https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx e clique em “Download Now”. Você será redirecionado para uma página de termos de uso — leia e aceite.
Anote suas credenciais: Na página seguinte, serão exibidos seu Sophos ID username (geralmente no formato e-mail) e uma senha específica para atualizações (não é a mesma senha da conta). Copie e guarde em local seguro — você precisará delas no passo de configuração.
Baixe o pacote: Na mesma página, você verá links para os formatos .tar.gz (instalação manual, nossa preferência para maior controle) e opcionalmente .deb e .rpm para algumas distribuições. Baixe o arquivo sav-linux-free-9.tgz (o nome pode variar conforme a versão).

Em projetos da JRT Technology Solutions, padronizamos o download do tarball .tgz em vez de pacotes nativos .deb/.rpm, pois isso nos dá controle total sobre o diretório de instalação e evita conflitos com gerenciadores de pacotes que possam tentar atualizar o Sophos inadvertidamente. Se você baixou o pacote em sua estação de trabalho e não diretamente no servidor, transfira-o via SCP:

# Substitua pelos seus caminhos e IP reais
scp ~/Downloads/sav-linux-free-9.tgz usuario@192.168.1.100:/tmp/

Instalação passo a passo do Sophos Antivirus for Linux em Ubuntu/Debian

Agora iniciaremos a instalação propriamente dita em um servidor Ubuntu 22.04 LTS. O processo para Debian 11/12 é idêntico. Estamos utilizando o tarball sav-linux-free-9.tgz baixado da Sophos. Coloque-o em um diretório temporário e siga os passos abaixo exatamente na ordem apresentada.

Atualize o sistema e instale dependências: Embora o instalador do Sophos tente resolver dependências automaticamente, é boa prática garantir que os pacotes básicos estejam presentes.

# Atualiza os repositórios e pacotes
sudo apt update
sudo apt upgrade -y

# Instala dependências obrigatórias que o script de instalação do Sophos utiliza
sudo apt install -y wget tar gzip coreutils perl

# Em versões minimalistas do Ubuntu, instale também
sudo apt install -y libc6-i386 lib32z1 2>/dev/null || echo "Pacotes 32-bit não disponíveis — OK se amd64 puro"

Hit:1 http://archive.ubuntu.com/ubuntu jammy InRelease
Get:2 http://archive.ubuntu.com/ubuntu jammy-updates InRelease [119 kB]
...
Setting up wget (1.21.2-2ubuntu1) ...
Setting up perl (5.34.0-3ubuntu1.1) ...
Processing triggers for libc-bin (2.35-0ubuntu3.1) ...

Extraia o tarball e execute o instalador: O script install.sh contido no pacote guiará a instalação interativa. Nós o executaremos em modo não interativo utilizando variáveis de ambiente para automação — mas primeiro, veja como é o fluxo interativo padrão.

# Acessa o diretório onde o pacote foi baixado
cd /tmp

# Extrai o conteúdo do tarball (o nome do arquivo pode variar)
tar -xzvf sav-linux-free-9.tgz

# Lista o conteúdo extraído para entender a estrutura
ls -la sophos-av/

drwxr-xr-x  4 root root     4096 Jun 15 09:23 .
drwxrwxrwt 12 root root     4096 Jun 20 14:10 ..
-rwxr-xr-x  1 root root     5423 May 12 10:15 install.sh
drwxr-xr-x  2 root root     4096 May 12 10:15 lib
drwxr-xr-x  2 root root     4096 May 12 10:15 man
-rw-r--r--  1 root root  4923456 May 12 10:15 sav-linux-free-9.tar
-rw-r--r--  1 root root      987 May 12 10:15 version.txt

Execute install.sh de forma interativa: (Para aprendizado, faça interativamente; depois mostraremos como automatizar). O instalador fará perguntas sobre diretório de instalação, tipo de instalação (custom, typical), credenciais de atualização e proxy. Responda cada pergunta conforme abaixo.

# Inicia a instalação interativa
cd sophos-av
sudo bash install.sh

Sophos Anti-Virus Installer (version 9.20.1)
===============================================

This script will install Sophos Anti-Virus on your system.
Press Enter to continue, or Ctrl-C to abort.

Where would you like to install Sophos Anti-Virus? [/opt/sophos-av]: 

Installation type:
1. Typical (recommended)
2. Custom
Select option [1]: 1

Please enter your Sophos update username: seu.email@exemplo.com
Please enter your Sophos update password: ********
Re-enter password: ********

Do you use an HTTP proxy to access the internet? (y/n) [n]: n

Enable on-access scanning? (y/n) [n]: n

Installing Sophos Anti-Virus...
Creating directory /opt/sophos-av...
Extracting files...
Configuring Sophos Anti-Virus...
Sophos Anti-Virus installed successfully.

Initial update of virus definitions. This may take a few minutes.
Connecting to update server...
Downloading virus data...
Update completed successfully.

Durante esta instalação interativa, você forneceu as credenciais obtidas no portal Sophos ID. O sistema baixa imediatamente a primeira atualização de assinaturas, o que pode levar de 2 a 10 minutos dependendo da conexão. Após a conclusão, o Sophos está instalado e funcional.

Instalação não interativa (automação): Para ambientes gerenciados por ferramentas como Ansible, Puppet ou scripts de bootstrap, você pode passar as respostas via pipeline. Este é o padrão adotado pela JRT Technology Solutions em implantações escaláveis.

# Define as variáveis de ambiente com as credenciais e respostas
export SOPHOS_UPDATE_USER="seu.email@exemplo.com"
export SOPHOS_UPDATE_PASS="SuaSenhaDeUpdate123"
export SOPHOS_INSTALL_DIR="/opt/sophos-av"

# Executa o instalador automaticamente com as respostas pré-definidas
printf '%s\n' "$SOPHOS_INSTALL_DIR" "1" "$SOPHOS_UPDATE_USER" "$SOPHOS_UPDATE_PASS" "$SOPHOS_UPDATE_PASS" "n" "n" | sudo bash /tmp/sophos-av/install.sh

O pipeline printf ‘%s\n’ … envia sequencialmente cada resposta como se fossem entradas do teclado: diretório de instalação, tipo de instalação (1 = Typical), usuário de atualização, senha, confirmação de senha, proxy (n), on-access scanning (n). Este método funciona para a versão 9.x testada até junho de 2026.

Instalação em CentOS 7, Rocky Linux 8/9 e RHEL

Em sistemas da família Red Hat, o processo é muito similar, mas as dependências têm nomes diferentes. Além disso, o CentOS 7 utiliza init.d e não systemd para alguns serviços legados, enquanto Rocky Linux 8/9 já adota systemd nativamente — o instalador do Sophos detecta automaticamente. Siga o procedimento abaixo para Rocky Linux 8 (ou CentOS 7 com pequenas adaptações nos comandos de instalação de pacotes).

Atualize o sistema e instale dependências:

# Para Rocky Linux 8/9 ou RHEL 8/9
sudo dnf update -y
sudo dnf install -y wget tar gzip coreutils perl

# Habilitar repositórios EPEL pode ser necessário para algumas bibliotecas
sudo dnf install -y epel-release

# Instalar glibc 32-bit se o sistema for x86_64 (para compatibilidade com binários i386)
sudo dnf install -y glibc.i686 libgcc.i686 2>/dev/null || echo "Arquitetura sem libs 32-bit — OK"

# Para CentOS 7 (substitua dnf por yum)
sudo yum update -y
sudo yum install -y wget tar gzip coreutils perl
sudo yum install -y epel-release
sudo yum install -y glibc.i686 libgcc.i686 2>/dev/null || echo "Libs 32-bit não disponíveis"

Rocky Linux 8 - BaseOS                        12 MB/s | 3.5 MB     00:00
Dependencies resolved.
=======================================================================
 Package                  Arch         Version            Repo     Size
=======================================================================
Installing:
 wget                     x86_64       1.19.5-11.el8     baseos  734 k
...
Complete!

Extraia e execute o instalador: Use exatamente o mesmo tarball obtido do portal Sophos. A instalação é universal, não há pacotes separados para Debian ou Red Hat, pois o instalador detecta a distribuição e ajusta os caminhos.

cd /tmp
tar -xzvf sav-linux-free-9.tgz
cd sophos-av

# Instalação interativa
sudo bash install.sh

As perguntas serão as mesmas. No Rocky Linux 8, o instalador detectará o init system (systemd) e registrará o serviço sav-protect.service e o timer sav-update.timer automaticamente. Após a instalação, verifique os serviços criados:

# Lista serviços Sophos gerenciados pelo systemd
systemctl list-units | grep -i sophos

sav-protect.service   loaded active running Sophos Anti-Virus daemon
sav-update.timer      loaded active waiting Sophos Anti-Virus Update Timer

Verificando a Instalação / Testando a Configuração

Esta seção é obrigatória e crítica. Após a instalação, você deve executar uma série de verificações para garantir que o Sophos está funcional, as assinaturas estão atualizadas e o mecanismo de detecção responde corretamente. Realizaremos três níveis de verificação: status do serviço, versão e integridade das assinaturas, e um teste prático de detecção com arquivo EICAR.

Verificação 1 — Status do daemon e atualização:

# Verifica se o daemon sav-protect está rodando
sudo /opt/sophos-av/bin/sav-protect --status

# Ou via systemd (distribuições modernas)
sudo systemctl status sav-protect

● sav-protect.service - Sophos Anti-Virus daemon
   Loaded: loaded (/etc/systemd/system/sav-protect.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2026-06-20 14:35:10 -03; 5min ago
   Docs: man:sav-protect(8)
 Main PID: 12845 (sav-protect)
    Tasks: 17 (limit: 23124)
   Memory: 128.7M
   CGroup: /system.slice/sav-protect.service
           ├─12845 /opt/sophos-av/bin/sav-protect
           └─12850 /opt/sophos-av/bin/sav-protect --worker

Jun 20 14:35:10 ubuntu-sophos sav-protect[12845]: Sophos Anti-Virus protection started.
Jun 20 14:35:12 ubuntu-sophos sav-protect[12845]: Update check completed. Virus data is up-to-date.

Verificação 2 — Versão do motor e data das assinaturas:

# Exibe versão do produto, motor e data das definições de vírus
sudo /opt/sophos-av/bin/savscan --version

Sophos Anti-Virus version 9.20.1
Engine version 3.82.0
Virus data version 5.99 (2026-06-20)
Last updated: Sat Jun 20 14:35:12 2026
Copyright 1989-2026 Sophos Limited. All rights reserved.

Se a data exibida em “Virus data version” for a data atual (20 de junho de 2026 ou dia anterior), suas assinaturas estão atualizadas. Caso a data seja muito antiga (mais de 7 dias), execute atualização manual:

sudo /opt/sophos-av/bin/sav-update -update

Verificação 3 — Teste de detecção com arquivo EICAR: O arquivo EICAR (European Institute for Computer Antivirus Research) é o padrão da indústria para testar antivírus de forma segura. É uma string ASCII inofensiva que todos os mecanismos de detecção reconhecem como “vírus de teste”.

# Cria o arquivo de teste EICAR no diretório /tmp
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /tmp/eicar.com

# Executa savscan no arquivo
sudo /opt/sophos-av/bin/savscan /tmp/eicar.com

/tmp/eicar.com  EICAR-AV-Test

1 file scanned in 0 seconds.
1 virus was discovered.
1 file out of 1 was infected.
End of scan.

Se a saída mostrar “EICAR-AV-Test” e contabilizar 1 vírus, a detecção está funcionando. Se a saída for “No threats detected” ou “0 viruses discovered”, há um problema grave de configuração — prossiga para a seção de erros comuns.

Verificação 4 — Varredura completa em diretório específico: Vamos varrer o diretório /opt e verificar o comportamento recursivo, relatório e códigos de saída.

# Varre /opt recursivamente com relatório detalhado
sudo /opt/sophos-av/bin/savscan -f -recursive /opt

/opt/teste.txt           Clean
/opt/sophos-av/lib/...   Clean
/opt/eicar.com           EICAR-AV-Test

87 files scanned in 1.4 seconds.
1 virus was discovered.
1 file out of 87 was infected.
End of scan.

O código de saída do savscan segue uma convenção importante para scripts de automação:

Código de Saída	Significado	Ação Recomendada em Scripts
0	Nenhum vírus encontrado, sem erros	Sucesso, continuar operação normal
1	Vírus encontrado(s)	Alertar, mover/quarentenar arquivos
2	Erro de execução (permissão, arquivo não encontrado)	Verificar permissões e caminho
3	Erro fatal (falha de engine, corrupção de assinaturas)	Reinstalar ou restaurar backup de assinaturas

Erros Comuns e Como Resolver

Durante nossa experiência na JRT Technology Solutions implantando Sophos em centenas de servidores, identificamos padrões de falha recorrentes. Abaixo, os 5 erros mais frequentes, seus sintomas, causas e soluções completas.

Erro 1: “Unable to contact update server” (Não foi possível contatar o servidor de atualização)

Sintoma: Ao executar sav-update ou durante a instalação, a atualização falha com mensagem de timeout ou “No route to host”.

Causa: Bloqueio de firewall corporativo nas portas 80/443 para os domínios de atualização (sav-update.sophos.com, sav-update2.sophos.com), proxy não configurado ou DNS não resolvendo.

Solução: Teste a conectividade com curl -v https://sav-update.sophos.com. Se falhar, libere as regras de firewall. Se utiliza proxy, edite /etc/sophos-av/update.conf e adicione:
```
proxy_server = http://proxy.empresa.com:3128
proxy_username = usuario
proxy_password = senha
```
Depois execute sudo /opt/sophos-av/bin/sav-update -update -verbose.
Erro 2: “Permission denied” ao escanear determinados diretórios

Sintoma: O scanner reporta “Permission denied” para arquivos dentro de /root, /var/lib/mysql ou snapshots.

Causa: Execução do savscan sem privilégios de root. O Sophos precisa ler os arquivos para escaneá-los.

Solução: Execute sempre com sudo ou como root. Em ambientes com SELinux ativo (Rocky/RHEL), talvez seja necessário ajustar o contexto:
```
sudo setenforce 0  # Temporário para teste
sudo restorecon -Rv /opt/sophos-av/
```
Em produção, crie uma política SELinux customizada com audit2allow.
Erro 3: “Virus data is more than 7 days old” (Assinaturas desatualizadas há mais de 7 dias)

Sintoma: Ao listar versão, a data das assinaturas está antiga; varreduras não detectam ameaças novas.

Causa: Falha silenciosa no timer de atualização (sav-update.timer) ou credenciais expiradas.

Solução: Primeiro, force atualização manual:
```
sudo /opt/sophos-av/bin/sav-update -update -verbose
```
Se falhar com erro de autenticação, suas credenciais Sophos ID podem ter expirado ou sido revogadas. Acesse novamente o portal Sophos ID, gere novas credenciais e atualize /etc/sophos-av/update.conf. Depois, verifique o timer:
```
sudo systemctl enable sav-update.timer
sudo systemctl start sav-update.timer
sudo systemctl status sav-update.timer
```
Erro 4: “savscan: error while loading shared libraries: libsavi.so.3”

Sintoma: Ao executar qualquer comando do Sophos, erro de link dinâmico com bibliotecas não encontradas.

Causa: Instalação corrompida, bibliotecas em /opt/sophos-av/lib não estão no LD_LIBRARY_PATH, ou conflito de versão com glibc/i686.

Solução: Execute o script de configuração de ambiente fornecido:
```
source /opt/sophos-av/bin/sav-config.sh
export LD_LIBRARY_PATH=/opt/sophos-av/lib:$LD_LIBRARY_PATH
```
Se o problema persistir, reinstale completamente:
```
sudo rm -rf /opt/sophos-av /etc/sophos-av
sudo userdel -r sav 2>/dev/null
# Reexecute install.sh conforme instruções anteriores
```
Erro 5: “On-access scanner not supported in this version” (Escaneamento on-access não suportado)

Sintoma: Ao tentar habilitar on-access scanning, mensagem informando que a funcionalidade não está disponível.

Causa: A versão gratuita não inclui suporte a on-access via fanotify. Apenas a versão licenciada (Sophos Central Intercept X for Linux) possui essa funcionalidade completa. Tentar forçar a ativação em /etc/sophos-av/onaccess.conf não surtirá efeito.

Solução: Utilize varreduras programadas via cron para simular uma proteção pró-ativa:
```
# Adiciona ao crontab do root varredura diária às 2h
sudo crontab -l > /tmp/cron
echo "0 2 * * * /opt/sophos-av/bin/savscan -f -recursive /srv/compartilhamentos > /var/log/sophos-daily.log 2>&1" >> /tmp/cron
sudo crontab /tmp/cron && rm /tmp/cron
```
Esta abordagem atende a maioria dos requisitos de compliance para servidores de arquivos.

Configuração Detalhada do Sophos Antivirus for Linux — arquivo de configuração e parâmetros avançados

O comportamento do Sophos é controlado primariamente por arquivos de configuração localizados em /etc/sophos-av/. O arquivo principal é o config.conf, mas existem arquivos específicos para atualizações (update.conf), on-access scanner (onaccess.conf — mesmo que não funcional na versão gratuita) e o arquivo de inicialização do ambiente (sav-config.sh). Após a instalação, é fundamental revisar e personalizar estas configurações. Abaixo, apresentamos o conteúdo completo comentado do arquivo /etc/sophos-av/config.conf com os parâmetros mais relevantes:

# /etc/sophos-av/config.conf
# Sophos Anti-Virus for Linux — arquivo de configuração principal
# Gerado automaticamente em 2026-06-20
# Modifique apenas se souber exatamente o impacto de cada parâmetro

# ---------- DIRETÓRIOS ----------
# Diretório raiz da instalação (definido durante install.sh)
Directory.install = /opt/sophos-av

# Diretório onde as assinaturas (IDE) são armazenadas
Directory.ides = /opt/sophos-av/lib/ides

# Diretório de quarentena — arquivos detectados podem ser movidos para cá
Directory.quarantine = /opt/sophos-av/quarantine

# ---------- ATUALIZAÇÕES ----------
# Habilita ou desabilita atualizações automáticas (0 = desabilitado, 1 = habilitado)
Update.auto = 1

# Frequência de verificação de atualizações em horas (padrão: 1)
Update.interval = 1

# Caminho do log de atualizações
Update.log = /var/log/sophos-av-update.log

# ---------- SCANNER ----------
# Profundidade máxima de recursão em arquivos comprimidos (0 = sem limite)
Scanner.maxdepth = 20

# Tamanho máximo de arquivo a ser escaneado em bytes (0 = sem limite)
Scanner.maxfilesize = 0

# Extensões de arquivos que serão sempre escaneadas, independente do tipo detectado
# Deixe vazio para escanear todos os arquivos
Scanner.extensions = 

# Ação padrão ao detectar um vírus: "none" (apenas reportar), "delete" (excluir), "quarantine" (mover quarentena)
Scanner.defaultaction = none

# Habilita detecção de PUA (Potentially Unwanted Applications) — adware, spyware, etc.
Scanner.detectpua = 1

# Habilita detecção de suspeitos (arquivos com comportamento anômalo mas não confirmados)
Scanner.detectsuspect = 1

# ---------- EXCLUSÕES ----------
# Lista de caminhos que serão ignorados durante a varredura
# Cada linha é um path absoluto ou relativo ao diretório escaneado
# Exemplos (descomente e ajuste conforme necessidade):
# Exclude.path = /proc
# Exclude.path = /sys
# Exclude.path = /dev
# Exclude.path = /var/lib/docker/overlay2
# Exclude.path = /mnt/nfs-remoto

# ---------- LOGGING ----------
# Nível de log: 0 = mínimo, 1 = normal, 2 = detalhado, 3 = debug
Log.level = 1

# Caminho do arquivo de log de escaneamento
Log.file = /var/log/sophos-av-scan.log

# Formato da data nos logs (strftime format)
Log.dateformat = %Y-%m-%d %H:%M:%S

Para modificar estas configurações de forma segura e com validação de sintaxe, utilize a ferramenta interativa sav-config. Ela lê o arquivo atual e guia você através de menus numerados, atualizando o arquivo e recarregando o daemon automaticamente:

# Inicia o configurador interativo
sudo /opt/sophos-av/bin/sav-config

Sophos Anti-Virus Configuration
================================
1. Set update credentials
2. Configure update schedule
3. Configure scanner options
4. Manage exclusions
5. Configure on-access scanning
6. Set log level
7. Save and exit
8. Exit without saving
Select option [1-8]:

Utilize a opção 4 para gerenciar exclusões — este é o ponto mais crítico em ambientes de produção. Excluir diretórios como /proc, /sys e mounts de rede pode reduzir dramaticamente o tempo de varredura e evitar falsos positivos. Em projetos na JRT Technology Solutions, sempre configuramos exclusões para diretórios de bancos de dados em produção (/var/lib/mysql, /var/lib/postgresql), pois a varredura em arquivos abertos de database pode causar locks indesejados.

Agendando varreduras automáticas com cron e systemd timers

A versão gratuita não possui agendamento nativo de varreduras (apenas de atualizações). Para contornar isso e garantir varreduras regulares, utilizamos o cron ou timers do systemd. A abordagem com cron é mais simples e direta; a com systemd timers oferece maior integração com o ecossistema init e logging via journald. Apresentaremos ambas.

Método 1 — Cron (tradicional, compatível com todas as distros):

# Edita o crontab do usuário root
sudo crontab -e

# Adicione as seguintes linhas (explicadas abaixo):
# Varredura diária completa no diretório /home e /var/www, log em arquivo rotacionado
0 3 * * * /opt/sophos-av/bin/savscan -f -recursive -quarantine /home /var/www > /var/log/sophos-home-scan.$(date +\%Y\%m\%d).log 2>&1

# Varredura semanal (domingo) de todo o sistema (exceto /proc e /sys), envia e-mail se detectar vírus
0 5 * * 0 /opt/sophos-av/bin/savscan -f -recursive -e /proc -e /sys -e /dev / > /tmp/scan-full.log 2>&1; [ $? -eq 1 ] && mail -s "Virus detectado no scan semanal" admin@exemplo.com < /tmp/scan-full.log

O parâmetro -e exclui o diretório especificado, equivalente ao Exclude.path no config.conf. O teste [ $? -eq 1 ] dispara um e-mail apenas se o código de saída for 1 (vírus encontrado).

Método 2 — Systemd Timer (moderno, nativo no Ubuntu e Rocky Linux 8+):

# Cria o arquivo de serviço que executará a varredura
sudo tee /etc/systemd/system/sophos-weekly-scan.service > /dev/null << 'EOF'
[Unit]
Description=Sophos Weekly Full Scan
Wants=network-online.target
After=network-online.target

[Service]
Type=oneshot
ExecStart=/opt/sophos-av/bin/savscan -f -recursive -e /proc -e /sys -e /dev /
StandardOutput=journal
StandardError=journal
EOF

# Cria o timer que dispara o serviço todo domingo às 04:00
sudo tee /etc/systemd/system/sophos-weekly-scan.timer > /dev/null << 'EOF'
[Unit]
Description=Sophos Weekly Scan Timer
Requires=sophos-weekly-scan.service

[Timer]
OnCalendar=Sun *-*-* 04:00:00
Persistent=true

[Install]
WantedBy=timers.target
EOF

# Habilita e inicia o timer
sudo systemctl daemon-reload
sudo systemctl enable sophos-weekly-scan.timer
sudo systemctl start sophos-weekly-scan.timer

# Verifica o status e próximo agendamento
sudo systemctl status sophos-weekly-scan.timer

● sophos-weekly-scan.timer - Sophos Weekly Scan Timer
   Loaded: loaded (/etc/systemd/system/sophos-weekly-scan.timer; enabled; vendor preset: enabled)
   Active: active (waiting) since Sat 2026-06-20 15:42:00 -03; 10s ago
  Trigger: Sun 2026-06-21 04:00:00 -03; 12h left
...

Comandos essenciais do Sophos Antivirus for Linux — referência rápida

Consolidei abaixo os comandos mais utilizados no dia a dia com o Sophos, com suas flags principais e exemplos de uso. Esta tabela serve como referência rápida para consulta durante operações de manutenção e troubleshooting.

Quer aprender na prática com especialistas?

A JRT Technology Solutions oferece treinamentos e implementação de Segurança Linux para equipes corporativas.

Falar no WhatsApp

Thiago Paes Rodrigues

Com mais de 22 anos de experiência em Tecnologia da Informação, este profissional construiu uma trajetória sólida como empresário, atuando de forma estratégica na implementação de soluções tecnológicas que otimizam processos e impulsionam resultados em diferentes setores.