ClamAV telepítése (Jessie)

Innen: AdminWiki

A ClamAV egy klasszikus antimalware megoldás Linux kiszolgálók számára. Az alábbi leírás célja nem elsősorban magának a kiszolgálónak a védelme, hanem az azon átmenő (pl. email- vagy proxy kiszolgálás esetén), vagy azon tárolt (pl. web- vagy fájlkiszolgálás esetén) adatok malware szűrése. Ezért a ClamAV telepítése nem rutinszerű, a telepítés alatti szervergép szerepétől függően lehet szükséges.

Figyelem! A ClamAV eredménye ezen a teszten annyira kiábrándító, hogy - véleményem szerint - telepítése és használata jelenleg nem javasolt!

Háttér

TODO!

Telepítés

A ClamAV a Debian terjesztés része, a szokásos módon, csomagból telepíthetjük:

apt-get install clamav clamav-daemon libclamunrar7 clamav-docs clamav-testfiles

A fenti paranccsal az adatbázist, az annak frissítéséért felelős, háttérben futó freshclam komponenst, a clamscan parancssori scannert, a Unix socketen, vagy a localhost:3310-es TCP porton elérhető clamd démont, a dokumentációt és a tesztfájlokat is telepítjük. A telepítő semmit sem kérdez, és a háttérben azonnal megkísérli letölteni a malware adatbázis frissítését. A szignatúrák aktuális állapotát pl. a

clamconf | grep -e '\.c.d:'

paranccsal, a frissítési naplót a /var/log/clamav/freshclam.log megtekintésével ellenőrizhetjük. Ez utóbbiban találhatunk a ClamAV program (engine) elavultságára utaló üzenetet (a Debian csomagok kis késéssel követik a kiadásokat) - amennyiben a szignatúrák napra készek, ezt figyelmen kívül hagyhatjuk.

Beállítások

A clamd beállítása

A clamd beállításának Debian-barát módja a dpkg-reconfigure használata:

mount -o remount,exec /var  # átmenetileg futtathatónak kell lennie
dpkg-reconfigure 
mount -o remount /var       # szigorú csatolás visszaállítása

TODO!

Alternatívaként közvetlenül is szerkeszthetjük a /etc/clamav/clamd.conf állományt is. A manuális módosításokat a clamd újraindításával érvényesíthetjük:

systemctl restart clamav-daemon; tail -f /var/log/clamav/clamav.log

Gyorstesztként szkenneljük a maintainer által biztosított (különböző kódolású, illetve tömörítvényekbe rejtett) tesztállományokat:

clamscan -r /usr/share/clamav-testfiles/  # Valamennyit infected-nek kell mondania

A clamd teszteléséhez TODO!

ClamAV bejegyzése a Tiger által ismert démonok közé

A ClamAV clamd és freshclam komponenseinek állandóan futniuk kell, valamint a clamd jogosan figyel a TCP:3310-es porton, így ezeket be kell jegyezni a tigerrc állományba:

-rw-r--r-- root root /etc/tiger/tigerrc

[...]
Tiger_Listening_ValidUsers='[...]|clamav|[...]'
[...]
Tiger_Listening_ValidProcs='[...]|clamd|[...]'
[...]
Tiger_Running_Procs='[...] /usr/sbin/clamd [...] /usr/bin/freshclam [...]'
[...]

ClamAV monitorozásának engedélyezése a Munin számára

TODO!

Irodalom