Меню

Clamav настройка на linux



Установка, настройка и использование антивируса ClamAV в CentOS

ClamAV – антивирус с открытым исходным кодом. Используется для обнаружения вирусов, вредоносных программ и вредоносного ПО. В основном используется на платформах под управлением Linux для проверки каталогов пользователей, доступных по ftp, samba, каталогов веб сайтов или писем на почтовых серверах в виде MTA агента.

В данной статье мы рассмотрим установку и настройку ClamAV на сервере под управлением CentOS.

Установка антвируса ClamAV на CentOS

ClamAV не доступен в базовых репозитория Linux и поэтому, для его установки на сервере потребуется репозиторий EPEL:

# yum install epel-release -y

После установки репозитория, можно перейти к установке всех нужных пакетов для ClamAV. Для установки используется менеджер пакетов yum (или dnf в CentOS 8):

# yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

Базовая настройка антивируса ClamAV в CentOS

Чтобы настроить собственную конфигурацию антивируса ClamAV, нужно удалить конфигурацию по умолчанию в файле /etc/clam.d/scan.conf.

# sed -i -e «s/^Example/#Example/» /etc/clamd.d/scan.conf

После чего перейдем к самой настройке. Откройте файл конфигурации:

И раскомментируйте следующую строку:

Так же вы можете расскоментировать нужные строки с настройками. Например, включить логирование или настроить максимальное количество подключений.

Конфигурационный файл /etc/clamd.d/scan.conf содержит довольно подробные комментарий ко всем настройкам и каждая строка в нем описана.

Для поддержки баз антивирусных сигнатур для ClamAV в актуальном состоянии, нужно включить инструмент Freshclam. Создадим резервную копию файла конфигурации:

# cp /etc/freshclam.conf /etc/freshclam.conf.bak

После чего, запустите команду:

# sed -i -e «s/^Example/#Example/» /etc/freshclam.conf

И запустите обновление антивирусных баз:

В процессе обновления, могу появляться ошибки о том, что некоторые обновления не могут быть скачаны. Freshclam автоматически подберет нужное зеркало для успешной загрузки.

Чтобы freshclam автоматически проверял обновления, можно запустить его с параметром -d:

# freshclam -d — таким образом, каждые 2 часа будет выполняться проверка на обновления.

Для удобства запуска создадим файл службы для freshclam:

И добавим содержимое:

Выполним перезапуск демона systemd:

# systemctl start freshclam.service
# systemctl enable freshclam.service
# systemctl status freshclam.service

Аналогично сервису для freshclam, создадим сервис для самого ClamAV. Конфигурационный файл уже существует, но нужно изменить его название:

# mv /usr/lib/systemd/system/clamd\@.service /usr/lib/systemd/system/clamd.service

Для удобства мы удалили \@ .

Также, измените конфигурацию данного файла:

И можно запускать сервис антвируса и добавлять его в автозагрузку:

# systemctl start clamd.service
# systemctl enable clamd.service

Сканирование файлов с помощью антивируса ClamAV

После завершения настроек антивирусной службы, вы можете проверить любую директорию сервера на вирусы (режим сканера). Для ручного запуска проверки указанного каталога на вирусы используйте команду:

# clamscan —infected —remove —recursive /var/www/

С такими параметрами антивирус сразу удалить инфицированные файлы. Если вы хотите переместить подозрительные файлы в отдельный каталог, запустите проверку с параметром —move:

# clamscan —infected —recursive —move=/tmp/clamscan /var/www

Данная команда проверит указанную директорию со всеми вложениями на вирусы и подозрительные файлы переместит в директорию /tmp/clamscan.

Как видим, инфицированный файл был перенесен в указанную директорию:

Так же, можно добавить параметр —log=/var/log/clamscan.log, чтобы информация о сканировании писалась в указанный лог

Если вы хотите исключить из проверки какую-то из директорий, используйте параметр —exclude-dir:

# clamscan -i —recursive —move=/tmp/clamscan —log=/var/log/clamscan.log —exclude-dir=»/var/www/administrator» /var/www

Для регулярной проверки на вирусы вы можете настроить задание в cron, с нужными вам параметрами.

Существует графическая оболочка для антивируса ClamAV – она называется ClamTk.

Источник

Установка ClamAV.

Установка и настройка антивируса ClamAV c большим функционалом.

Автор: admin.

Любой мало-мальский пользователь Linux, да и Windows наверное тоже, знает об антивирусном сканере ClamAV . Мнения по-поводу этого антивирусника весьма разнятся, одни утверждают, что он достаточно хорош, другие же наоборот, всячески хаят его из-за, якобы маленького процента обнаружения угроз. Так как же его расценивать? А дело здесь вот в чем, где вы берете ту или иную информацию, конечно же в интернете. А где берут информацию те, кто пишет для вас эту информацию — правильно, тоже в интернете. Вот и получается, что написав таким образом нелестный отзыв в году, этак девяносто пятом, этот негативный шлейф, так и тянется до нашего настоящего времени, вместо того, что бы взять и самостоятельно проверить все на практике. Оно и понятно, для этого нужно поднапряться.

Читайте также:  Где хранятся настройки аддонов

Мое личное мнение в отношении ClamAV, исключая навязчивость, каждый выбирает сам, очень даже благополучное и причиной тому, послужила проверка, всех представленных на этом сайте антивирусов, на процент обнаружения заражений, обычным сканированием, довольно внушительного количества, собранных воедино настоящих реальных вирусов. Так вот, результат был очень впечатляющим и ClamAV показал, точно сейчас не помню, но толи первую, толи вторую результативность. Поэтому, что бы мне не говорили и как бы меня не убеждали, а я знаю только то, что я знаю и не из источников, берущих свое начало с каких-нибудь девяностых годов. Не в коем случае не стоит воспринимать всю эту информацию, как эталон абсолютной истины, просто, если вы решили для себя выяснить реальное положение дел, то нужно взять и сделать и тогда ваше мнение, будет только вашим.

По-началу, ClamAV предстает перед нами, как допотопный, примитивный сканер. В действительности же, это совсем не так и его возможности могут быть значительно расширены до уровня полнофункционального антивируса, примерно такого же плана, как и Comodo Antivirus for Linux.

На что вообще, он способен:

1) Сканирование по требованию.
2) Сканирование директорий и системы по расписанию.
3) Сканирование устройств.
4) Ручное и автоматическое обновление.
5) Сканирование файлов при обращении.
6) Проверка HTTP трафика на лету (линк сканер).
7) Проверка FTP трафика.
8) Проверка почты.
9) Автопроверка подключаемых устройств.

Рассмотрим, как его установить и настроить на более ли менее, приличное использование в Ubuntu, для обычных, домашних компьютеров.

1) ClamTK — графический интерфейс вместе с самим ClamAV.
2) Clam Unrar — дополнительный модуль для сканирования RAR-архивов.
3) HAVP — HTTP Antivirus Proxy, проверка сайтов на лету.
4) ClamFS — вирт. файл. система FUSE для авт. проверки закаченных файлов.

Этого набора, вполне будет хватать для безопасности домашнего «компа», с установленной Ubuntu, можно еще конечно добавить протокол FTP, проверку почты и устройств, но это будет уже другая история.

1. Установка и первоначальная настройка антивируса.

Можно установить через «центр приложений» или через терминал:

Находим антивирусник в меню Dash и запускаем его:

В верхнем меню: Дополнительно → Параметры и выставляем все галочки:

В верхнем меню: Дополнительно → Перезапустить мастер настройки антивируса и выcтавляем на «Автоматически» → Применить.

Закрываем антивирусник и перезагружаем компьютер. После загрузки, запускаем антивирусник и убеждаемся, что произошло обновление. Теперь антивирусник будет обновляться самостоятельно, при запуске системы и запуске самого антивирусника. Как правило, позиция «Обновление графической оболочки», никогда не обновляется. Что бы это устранить, а мне лишний раз не повторяться, читайте здесь ( спойлер № 51): http://www.linux-info.ru/vopros-otvet3.html .

Кроме того, если зайти в верхнем меню опять-таки: Дополнительно → Планировщик, то можно настроить сканирование системы или папок по расписанию, а также, время обновления для этого сканирования. Сканировать всю систему в Linux нет необходимости, лучше настроить сканирование домашней папки, а за десять-пятнадцать минут до начала сканирования, установить время обновления.

Читайте также:  Comodo internet security установка настройка

2. Модуль для сканирования RAR-архивов.

Здесь все легко, просто устанавливаем его через «центр приложений» или терминал:

sudo apt-get install clam unrar

3. HTTP Antivirus Proxy, проверка сайтов на лету.

Установка через «центр приложений» или терминал:

Что он вообще нам дает? Если сайт заражен, распространяет вирусы или вы решили скачать инфицированный файл, по протоколу HTTP, то данный прибамбас заблокирует все эти действия и предупредит вас об этом, перенаправив на специальную страницу с указанием причины и найденного заражения. HAVP — умеет работать не только с ClamAV, но и с такими антивирусами как: F-Prot, Kaspersky, NOD32, Sophos, AVG, Dr.Web и др., в этом его универсальность и именно поэтому, мы выбрали этот вариант, хотя существуют еще несколько других, для выполнения такой задачи.

Практически, после установки HAVP уже готов работать, но кое что, мы все-таки подправим. Нужно с правами администратора открыть в редакторе «gedit» следующий файл: /etc/havp/havp.config Открыть файл с соответствующими правами можно многими способами, самый быстрый через терминал:

Дальше, что бы было удобней и быстрее, можно воспользоваться поиском в самом «gedit(e)», находите строчку:

#TEMPLATEPATH /usr/local/etc/havp/templates/en

Раскоментируйте ее, т.е. уберите значок (#) в начале строки и поменяйте (en) на (ru), вот так:

TEMPLATEPATH /usr/local/etc/havp/templates/ru

Когда обнаруживается заражение и вас перенаправляет на страницу оповещения, по-умолчанию она будет на английском языке. Эта настройка изменит язык страницы на русский (активируется после перезагрузки компьютера). Дальше по той же схеме:

Находите: # FAILSCANERROR true
Меняете на: FAILSCANERROR false

Находите: # SCANIMAGES true
Меняете на: SCANIMAGES false

Находите: # WHITELIST /etc/havp/whitelist
Меняете на: WHITELIST /etc/havp/whitelist

Находите: # MAXSCANSIZE 5000000
Меняете на: MAXSCANSIZE 5000000

Находите: # STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS
Меняете на: STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS

Все, с конфигурационными настройками покончили, сохраняете изменения и закрываете файл. Также, открываете файл «whitelist» (белый список).

И в конце добавляете:

*/*.gif
*/*.png
*/*.jpg
*.google.com/*
*.yandex.ru/*

Все, что здесь указано, не будет сканироваться антивирусом, для облегчения нагрузки так сказать. Можно добавить какие-нибудь свои сайты, после чего сохранить изменения и закрыть файл. Есть еще «blacklist» (черный лист), туда можно добавить все то, что наоборот, будет проверяться антивирусом в обязательном порядке, но тогда, главное не забыть в конфигурационном файле раскоментировтаь строчку: # BLACKLIST /etc/havp/blacklist

Все, настройки сделали, изменения сохранили, файлы закрыли, открываем браузер и прописываем соединение с сервером. Так как, мы в конфигурационном файле нечего этого не меняли, то HTTP-прокси будет: 127.0.0.1 порт 8080. Рассмотрим на примере браузера Firefox. Открываем браузер, в меню: Правка → Настройки → Дополнительно. В позиции «Соединение» → Настроить. Активируем «Ручная настройка сервиса прокси» и прописываем в HTTP прокси: 127.0.0.1 порт: 8080 и нажимаем «ОК».

Заходим на сайт по адресу: http://www.eicar.org/85-0-Download.html и находим такое:

В верхнем ряду (отмечено стрелкой) находятся файлы для протокола HTTP, попробуйте их скачать, если вы все правильно сделали, то вам это не удастся, а взамен вы получите вот такое:

Таким образом мы получили, как бы линк-сканер, контролирующий весь HTTP-трафик на отсутствие заражений. Но, как видно из предыдущего скриншота, имеются еще файлы для протокола HTTPS в нижем ряду. ClamAV, да не только он, не умеют работать с этим типом протокола, следовательно эти файлы можно без труда скачать. Вопрос, что делать нам в этом случае, если мы случайно, от куда-нибудь, закачаем к себе зараженные файлы, не протоколу HTTP? Вот здесь, нам на помощь придет ClamFS, обеспечивающий мгновенную проверку файлов при попытке их открыть.

Читайте также:  Satvision mobile pro настройка

4. ClamFS — проверка файлов при открытие.

Установка ClamFS, как и в предыдущих случаях, выполняется аналогично, т.е. через «центр приложений» или терминал:

Теперь нам надо распаковать архив и достать из него конфигурационный файл и делать это нужно с правами суперпользователя. Вариантов выполнения есть несколько, мы выбирем самый простой для понимания. Окрываем терминал и запускаем «Nautilus» с правами суперпользователя.

Заходим по следующему пути: /usr/share/doc/clamfs/. Находим архив: clamfs-sample.xml.gz и распаковываем его сюда же. Полученный файл «clamfs-sample.xml» нужно скопировать на рабочий стол, а оставшийся файл можно удалить, что бы не разводить лишнюю грязь. Закрываем «Nautilus«, переходим к рабочему столу и перемещаем или копируем этот файл в домашнюю директорию. Открываем файл текстовым редактором — «gedit(oм)» и находим там строчку:

Заменяем эту строчку на:

В этой записи: «user name» — ваш ник в системе, «.ClamFS» — папка, которую мы еще не создали, «Downloads» — папка для загрузок в домашней директории, может иметь имя «Загрузки», если у вас русская Ubuntu, у меня тоже русская, но папка, все-равно называется «Dowloads«.

Сохраняем изменения, закрываем файл и переименовываем его в: .clamfs.xml (начинается с точки, скрытый файл). Далее, создаем в домашней директории недостающую скрытую папку: «.ClamFS» (тоже, начинается с точки). Открываем терминал и запускаем виртуалку:

Результат должен быть таким:

Это говорит о том, что у вас все сделано правильно, т.е. все записи, как бы начинаются с зеленого цвета, никаких других выделений. Впрочем, если будет что-то неправильно, то все предупреждения выведутся другим цветом. Если открыть домашнюю папку, то мы увидим следующее:

Как видно на снимке, папка для закачек «Downloads» отмечена теперь значком, это говорит о том, что она защищена антивирусом, а в левой колонке появилась примонтированная директория со своей меткой. Осталось сделать еще один последний шаг, а именно, обеспечить автомонтирование нашей виртуальной системы. Открываем файл с привелегированными правами:

В самом конце, перед «exit 0» прописываем:

clamfs /home/user name/.clamfs.xml

Сохраняем изменения, закрываем файл и перезагружаем компьютер, что бы убедиться, что все работает. После перезагрузки, запускаем браузер, заходим на сайт: http://www.eicar.org/85-0-Download.html и скачиваем файлы и архивы, как мы это делали в первом случае, только теперь уже с нижней колонки, по протоколу HTTPS. Все, что мы скачаем, появится в нашей папке для закачек, зайдите в нее и попробуйте открыть файл или архив. При попытке открытия, вы получите сообщение об ошибке, кроме того, скопировать эти файлы, с целью перенести их в другое место, тоже не получится, будет выводится ошибка, но при этом, копировать файлы и переносить их в эту папку можно.

На этом можно было бы и закончить, но остается маленький нюанс. Иногда случается так, что вам просто позарез нужно достать из зараженного архива какой-нибудь файл. Вы заведомо знаете о зараженности, но вот вам жизненно необходим конкретный файл. Как это сделать? А вот для этого у нас есть вторая, скрытая папка, которую мы создавали «.ClamFS» и намеренно ее сделали скрытой. Все файлы, которые закачиваются в нашу папку для загрузок и тут же проверяются антивирусом, паралельно будут находиться и в папке «.ClamFS«. Эти папки между собой синхронизированы, только «.ClamFS» не проверяется антивирусом и не блокируется в случае заражения.

5. Смотрите видео о том, как работает ClamAV.

Источник

Adblock
detector