Установка, настройка и использование антивируса ClamAV в CentOS
ClamAV – антивирус с открытым исходным кодом. Используется для обнаружения вирусов, вредоносных программ и вредоносного ПО. В основном используется на платформах под управлением Linux для проверки каталогов пользователей, доступных по ftp, samba, каталогов веб сайтов или писем на почтовых серверах в виде MTA агента.
В данной статье мы рассмотрим установку и настройку ClamAV на сервере под управлением CentOS.
Установка антвируса ClamAV на CentOS
ClamAV не доступен в базовых репозитория Linux и поэтому, для его установки на сервере потребуется репозиторий EPEL:
# yum install epel-release -y
После установки репозитория, можно перейти к установке всех нужных пакетов для ClamAV. Для установки используется менеджер пакетов yum (или dnf в CentOS 8):
# yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd
Базовая настройка антивируса ClamAV в CentOS
Чтобы настроить собственную конфигурацию антивируса ClamAV, нужно удалить конфигурацию по умолчанию в файле /etc/clam.d/scan.conf.
# sed -i -e «s/^Example/#Example/» /etc/clamd.d/scan.conf
После чего перейдем к самой настройке. Откройте файл конфигурации:
И раскомментируйте следующую строку:
Так же вы можете расскоментировать нужные строки с настройками. Например, включить логирование или настроить максимальное количество подключений.
Конфигурационный файл /etc/clamd.d/scan.conf содержит довольно подробные комментарий ко всем настройкам и каждая строка в нем описана.
Для поддержки баз антивирусных сигнатур для ClamAV в актуальном состоянии, нужно включить инструмент Freshclam. Создадим резервную копию файла конфигурации:
# cp /etc/freshclam.conf /etc/freshclam.conf.bak
После чего, запустите команду:
# sed -i -e «s/^Example/#Example/» /etc/freshclam.conf
И запустите обновление антивирусных баз:
В процессе обновления, могу появляться ошибки о том, что некоторые обновления не могут быть скачаны. Freshclam автоматически подберет нужное зеркало для успешной загрузки.
Чтобы freshclam автоматически проверял обновления, можно запустить его с параметром -d:
# freshclam -d — таким образом, каждые 2 часа будет выполняться проверка на обновления.
Для удобства запуска создадим файл службы для freshclam:
И добавим содержимое:
Выполним перезапуск демона systemd:
# systemctl start freshclam.service
# systemctl enable freshclam.service
# systemctl status freshclam.service
Аналогично сервису для freshclam, создадим сервис для самого ClamAV. Конфигурационный файл уже существует, но нужно изменить его название:
# mv /usr/lib/systemd/system/clamd\@.service /usr/lib/systemd/system/clamd.service
Для удобства мы удалили \@ .
Также, измените конфигурацию данного файла:
И можно запускать сервис антвируса и добавлять его в автозагрузку:
# systemctl start clamd.service
# systemctl enable clamd.service
Сканирование файлов с помощью антивируса ClamAV
После завершения настроек антивирусной службы, вы можете проверить любую директорию сервера на вирусы (режим сканера). Для ручного запуска проверки указанного каталога на вирусы используйте команду:
# clamscan —infected —remove —recursive /var/www/
С такими параметрами антивирус сразу удалить инфицированные файлы. Если вы хотите переместить подозрительные файлы в отдельный каталог, запустите проверку с параметром —move:
# clamscan —infected —recursive —move=/tmp/clamscan /var/www
Данная команда проверит указанную директорию со всеми вложениями на вирусы и подозрительные файлы переместит в директорию /tmp/clamscan.
Как видим, инфицированный файл был перенесен в указанную директорию:
Так же, можно добавить параметр —log=/var/log/clamscan.log, чтобы информация о сканировании писалась в указанный лог
Если вы хотите исключить из проверки какую-то из директорий, используйте параметр —exclude-dir:
# clamscan -i —recursive —move=/tmp/clamscan —log=/var/log/clamscan.log —exclude-dir=»/var/www/administrator» /var/www
Для регулярной проверки на вирусы вы можете настроить задание в cron, с нужными вам параметрами.
Существует графическая оболочка для антивируса ClamAV – она называется ClamTk.
Источник
Установка ClamAV.
Установка и настройка антивируса ClamAV c большим функционалом.
Автор: admin.
Любой мало-мальский пользователь Linux, да и Windows наверное тоже, знает об антивирусном сканере ClamAV . Мнения по-поводу этого антивирусника весьма разнятся, одни утверждают, что он достаточно хорош, другие же наоборот, всячески хаят его из-за, якобы маленького процента обнаружения угроз. Так как же его расценивать? А дело здесь вот в чем, где вы берете ту или иную информацию, конечно же в интернете. А где берут информацию те, кто пишет для вас эту информацию — правильно, тоже в интернете. Вот и получается, что написав таким образом нелестный отзыв в году, этак девяносто пятом, этот негативный шлейф, так и тянется до нашего настоящего времени, вместо того, что бы взять и самостоятельно проверить все на практике. Оно и понятно, для этого нужно поднапряться.
Мое личное мнение в отношении ClamAV, исключая навязчивость, каждый выбирает сам, очень даже благополучное и причиной тому, послужила проверка, всех представленных на этом сайте антивирусов, на процент обнаружения заражений, обычным сканированием, довольно внушительного количества, собранных воедино настоящих реальных вирусов. Так вот, результат был очень впечатляющим и ClamAV показал, точно сейчас не помню, но толи первую, толи вторую результативность. Поэтому, что бы мне не говорили и как бы меня не убеждали, а я знаю только то, что я знаю и не из источников, берущих свое начало с каких-нибудь девяностых годов. Не в коем случае не стоит воспринимать всю эту информацию, как эталон абсолютной истины, просто, если вы решили для себя выяснить реальное положение дел, то нужно взять и сделать и тогда ваше мнение, будет только вашим.
По-началу, ClamAV предстает перед нами, как допотопный, примитивный сканер. В действительности же, это совсем не так и его возможности могут быть значительно расширены до уровня полнофункционального антивируса, примерно такого же плана, как и Comodo Antivirus for Linux.
На что вообще, он способен:
1) Сканирование по требованию.
2) Сканирование директорий и системы по расписанию.
3) Сканирование устройств.
4) Ручное и автоматическое обновление.
5) Сканирование файлов при обращении.
6) Проверка HTTP трафика на лету (линк сканер).
7) Проверка FTP трафика.
8) Проверка почты.
9) Автопроверка подключаемых устройств.
Рассмотрим, как его установить и настроить на более ли менее, приличное использование в Ubuntu, для обычных, домашних компьютеров.
1) ClamTK — графический интерфейс вместе с самим ClamAV.
2) Clam Unrar — дополнительный модуль для сканирования RAR-архивов.
3) HAVP — HTTP Antivirus Proxy, проверка сайтов на лету.
4) ClamFS — вирт. файл. система FUSE для авт. проверки закаченных файлов.
Этого набора, вполне будет хватать для безопасности домашнего «компа», с установленной Ubuntu, можно еще конечно добавить протокол FTP, проверку почты и устройств, но это будет уже другая история.
1. Установка и первоначальная настройка антивируса.
Можно установить через «центр приложений» или через терминал:
Находим антивирусник в меню Dash и запускаем его:
В верхнем меню: Дополнительно → Параметры и выставляем все галочки:
В верхнем меню: Дополнительно → Перезапустить мастер настройки антивируса и выcтавляем на «Автоматически» → Применить.
Закрываем антивирусник и перезагружаем компьютер. После загрузки, запускаем антивирусник и убеждаемся, что произошло обновление. Теперь антивирусник будет обновляться самостоятельно, при запуске системы и запуске самого антивирусника. Как правило, позиция «Обновление графической оболочки», никогда не обновляется. Что бы это устранить, а мне лишний раз не повторяться, читайте здесь ( спойлер № 51): http://www.linux-info.ru/vopros-otvet3.html .
Кроме того, если зайти в верхнем меню опять-таки: Дополнительно → Планировщик, то можно настроить сканирование системы или папок по расписанию, а также, время обновления для этого сканирования. Сканировать всю систему в Linux нет необходимости, лучше настроить сканирование домашней папки, а за десять-пятнадцать минут до начала сканирования, установить время обновления.
2. Модуль для сканирования RAR-архивов.
Здесь все легко, просто устанавливаем его через «центр приложений» или терминал:
sudo apt-get install clam unrar
3. HTTP Antivirus Proxy, проверка сайтов на лету.
Установка через «центр приложений» или терминал:
Что он вообще нам дает? Если сайт заражен, распространяет вирусы или вы решили скачать инфицированный файл, по протоколу HTTP, то данный прибамбас заблокирует все эти действия и предупредит вас об этом, перенаправив на специальную страницу с указанием причины и найденного заражения. HAVP — умеет работать не только с ClamAV, но и с такими антивирусами как: F-Prot, Kaspersky, NOD32, Sophos, AVG, Dr.Web и др., в этом его универсальность и именно поэтому, мы выбрали этот вариант, хотя существуют еще несколько других, для выполнения такой задачи.
Практически, после установки HAVP уже готов работать, но кое что, мы все-таки подправим. Нужно с правами администратора открыть в редакторе «gedit» следующий файл: /etc/havp/havp.config Открыть файл с соответствующими правами можно многими способами, самый быстрый через терминал:
Дальше, что бы было удобней и быстрее, можно воспользоваться поиском в самом «gedit(e)», находите строчку:
#TEMPLATEPATH /usr/local/etc/havp/templates/en
Раскоментируйте ее, т.е. уберите значок (#) в начале строки и поменяйте (en) на (ru), вот так:
TEMPLATEPATH /usr/local/etc/havp/templates/ru
Когда обнаруживается заражение и вас перенаправляет на страницу оповещения, по-умолчанию она будет на английском языке. Эта настройка изменит язык страницы на русский (активируется после перезагрузки компьютера). Дальше по той же схеме:
Находите: # FAILSCANERROR true
Меняете на: FAILSCANERROR false
Находите: # SCANIMAGES true
Меняете на: SCANIMAGES false
Находите: # WHITELIST /etc/havp/whitelist
Меняете на: WHITELIST /etc/havp/whitelist
Находите: # MAXSCANSIZE 5000000
Меняете на: MAXSCANSIZE 5000000
Находите: # STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS
Меняете на: STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS
Все, с конфигурационными настройками покончили, сохраняете изменения и закрываете файл. Также, открываете файл «whitelist» (белый список).
И в конце добавляете:
*/*.gif
*/*.png
*/*.jpg
*.google.com/*
*.yandex.ru/*
Все, что здесь указано, не будет сканироваться антивирусом, для облегчения нагрузки так сказать. Можно добавить какие-нибудь свои сайты, после чего сохранить изменения и закрыть файл. Есть еще «blacklist» (черный лист), туда можно добавить все то, что наоборот, будет проверяться антивирусом в обязательном порядке, но тогда, главное не забыть в конфигурационном файле раскоментировтаь строчку: # BLACKLIST /etc/havp/blacklist
Все, настройки сделали, изменения сохранили, файлы закрыли, открываем браузер и прописываем соединение с сервером. Так как, мы в конфигурационном файле нечего этого не меняли, то HTTP-прокси будет: 127.0.0.1 порт 8080. Рассмотрим на примере браузера Firefox. Открываем браузер, в меню: Правка → Настройки → Дополнительно. В позиции «Соединение» → Настроить. Активируем «Ручная настройка сервиса прокси» и прописываем в HTTP прокси: 127.0.0.1 порт: 8080 и нажимаем «ОК».
Заходим на сайт по адресу: http://www.eicar.org/85-0-Download.html и находим такое:
В верхнем ряду (отмечено стрелкой) находятся файлы для протокола HTTP, попробуйте их скачать, если вы все правильно сделали, то вам это не удастся, а взамен вы получите вот такое:
Таким образом мы получили, как бы линк-сканер, контролирующий весь HTTP-трафик на отсутствие заражений. Но, как видно из предыдущего скриншота, имеются еще файлы для протокола HTTPS в нижем ряду. ClamAV, да не только он, не умеют работать с этим типом протокола, следовательно эти файлы можно без труда скачать. Вопрос, что делать нам в этом случае, если мы случайно, от куда-нибудь, закачаем к себе зараженные файлы, не протоколу HTTP? Вот здесь, нам на помощь придет ClamFS, обеспечивающий мгновенную проверку файлов при попытке их открыть.
4. ClamFS — проверка файлов при открытие.
Установка ClamFS, как и в предыдущих случаях, выполняется аналогично, т.е. через «центр приложений» или терминал:
Теперь нам надо распаковать архив и достать из него конфигурационный файл и делать это нужно с правами суперпользователя. Вариантов выполнения есть несколько, мы выбирем самый простой для понимания. Окрываем терминал и запускаем «Nautilus» с правами суперпользователя.
Заходим по следующему пути: /usr/share/doc/clamfs/. Находим архив: clamfs-sample.xml.gz и распаковываем его сюда же. Полученный файл «clamfs-sample.xml» нужно скопировать на рабочий стол, а оставшийся файл можно удалить, что бы не разводить лишнюю грязь. Закрываем «Nautilus«, переходим к рабочему столу и перемещаем или копируем этот файл в домашнюю директорию. Открываем файл текстовым редактором — «gedit(oм)» и находим там строчку:
Заменяем эту строчку на:
В этой записи: «user name» — ваш ник в системе, «.ClamFS» — папка, которую мы еще не создали, «Downloads» — папка для загрузок в домашней директории, может иметь имя «Загрузки», если у вас русская Ubuntu, у меня тоже русская, но папка, все-равно называется «Dowloads«.
Сохраняем изменения, закрываем файл и переименовываем его в: .clamfs.xml (начинается с точки, скрытый файл). Далее, создаем в домашней директории недостающую скрытую папку: «.ClamFS» (тоже, начинается с точки). Открываем терминал и запускаем виртуалку:
Результат должен быть таким:
Это говорит о том, что у вас все сделано правильно, т.е. все записи, как бы начинаются с зеленого цвета, никаких других выделений. Впрочем, если будет что-то неправильно, то все предупреждения выведутся другим цветом. Если открыть домашнюю папку, то мы увидим следующее:
Как видно на снимке, папка для закачек «Downloads» отмечена теперь значком, это говорит о том, что она защищена антивирусом, а в левой колонке появилась примонтированная директория со своей меткой. Осталось сделать еще один последний шаг, а именно, обеспечить автомонтирование нашей виртуальной системы. Открываем файл с привелегированными правами:
В самом конце, перед «exit 0» прописываем:
clamfs /home/user name/.clamfs.xml
Сохраняем изменения, закрываем файл и перезагружаем компьютер, что бы убедиться, что все работает. После перезагрузки, запускаем браузер, заходим на сайт: http://www.eicar.org/85-0-Download.html и скачиваем файлы и архивы, как мы это делали в первом случае, только теперь уже с нижней колонки, по протоколу HTTPS. Все, что мы скачаем, появится в нашей папке для закачек, зайдите в нее и попробуйте открыть файл или архив. При попытке открытия, вы получите сообщение об ошибке, кроме того, скопировать эти файлы, с целью перенести их в другое место, тоже не получится, будет выводится ошибка, но при этом, копировать файлы и переносить их в эту папку можно.
На этом можно было бы и закончить, но остается маленький нюанс. Иногда случается так, что вам просто позарез нужно достать из зараженного архива какой-нибудь файл. Вы заведомо знаете о зараженности, но вот вам жизненно необходим конкретный файл. Как это сделать? А вот для этого у нас есть вторая, скрытая папка, которую мы создавали «.ClamFS» и намеренно ее сделали скрытой. Все файлы, которые закачиваются в нашу папку для загрузок и тут же проверяются антивирусом, паралельно будут находиться и в папке «.ClamFS«. Эти папки между собой синхронизированы, только «.ClamFS» не проверяется антивирусом и не блокируется в случае заражения.
5. Смотрите видео о том, как работает ClamAV.
Источник