ClamAV telepítése (Jessie)
A ClamAV egy klasszikus antimalware megoldás Linux kiszolgálók számára. Az alábbi leírás célja nem elsősorban magának a kiszolgálónak a védelme, hanem az azon átmenő (pl. email- vagy proxy kiszolgálás esetén), vagy azon tárolt (pl. web- vagy fájlkiszolgálás esetén) adatok malware szűrése. Ezért a ClamAV telepítése nem rutinszerű, a telepítés alatti szervergép szerepétől függően lehet szükséges.
Figyelem! A ClamAV eredménye ezen a teszten annyira kiábrándító, hogy - véleményem szerint - telepítése és használata jelenleg nem javasolt!
Tartalomjegyzék
Háttér
TODO!
Telepítés
A ClamAV a Debian terjesztés része, a szokásos módon, csomagból telepíthetjük:
apt-get install clamav clamav-daemon libclamunrar7 clamav-docs clamav-testfiles
A fenti paranccsal az adatbázist, az annak frissítéséért felelős, háttérben futó freshclam komponenst, a clamscan parancssori scannert, a Unix socketen, vagy a localhost:3310-es TCP porton elérhető clamd démont, a dokumentációt és a tesztfájlokat is telepítjük. A telepítő semmit sem kérdez, és a háttérben azonnal megkísérli letölteni a malware adatbázis frissítését. A szignatúrák aktuális állapotát pl. a
clamconf | grep -e '\.c.d:'
paranccsal, a frissítési naplót a /var/log/clamav/freshclam.log megtekintésével ellenőrizhetjük. Ez utóbbiban találhatunk a ClamAV program (engine) elavultságára utaló üzenetet (a Debian csomagok kis késéssel követik a kiadásokat) - amennyiben a szignatúrák napra készek, ezt figyelmen kívül hagyhatjuk.
Beállítások
A clamd beállítása
A clamd beállításának Debian-barát módja a dpkg-reconfigure használata:
mount -o remount,exec /var # átmenetileg futtathatónak kell lennie dpkg-reconfigure mount -o remount /var # szigorú csatolás visszaállítása
TODO!
Alternatívaként közvetlenül is szerkeszthetjük a /etc/clamav/clamd.conf állományt is. A manuális módosításokat a clamd újraindításával érvényesíthetjük:
systemctl restart clamav-daemon; tail -f /var/log/clamav/clamav.log
Gyorstesztként szkenneljük a maintainer által biztosított (különböző kódolású, illetve tömörítvényekbe rejtett) tesztállományokat:
clamscan -r /usr/share/clamav-testfiles/ # Valamennyit infected-nek kell mondania
A clamd teszteléséhez TODO!
ClamAV bejegyzése a Tiger által ismert démonok közé
A ClamAV clamd és freshclam komponenseinek állandóan futniuk kell, valamint a clamd jogosan figyel a TCP:3310-es porton, így ezeket be kell jegyezni a tigerrc állományba:
-rw-r--r-- root root /etc/tiger/tigerrc [...] Tiger_Listening_ValidUsers='[...]|clamav|[...]' [...] Tiger_Listening_ValidProcs='[...]|clamd|[...]' [...] Tiger_Running_Procs='[...] /usr/sbin/clamd [...] /usr/bin/freshclam [...]' [...]
ClamAV monitorozásának engedélyezése a Munin számára
TODO!
Irodalom
- ClamAV Manual (pdf)
- Kaspersky Security Bulletin 2015. (Overall statistics for 2015)