ClamAV je sada nástrojů antivirového softwaru s otevřeným zdrojovým kódem, která se používá ke skenování souborů na přítomnost virů. Běžně se používá ke skenování e-mailů na poštovních branách. ClamAV je zcela svobodný software.
ClamAV poskytuje vestavěné nástroje – skener příkazového řádku, aktualizátor databáze, rozhraní milter pro Sendmail, vestavěnou podporu pro téměř všechny formáty souborů pošty, archivní formáty, oblíbený formát dokumentů a další.
V tomto tutoriálu se naučíme, jak nainstalovat a používat ClamAV na Ubuntu 20.04
Komponenty ClamAV
Komponenty ClamAV se skládají z:
clamd (clamav-daemon) – Tento démon je zodpovědný hlavně za načtení virové databáze do paměti při zahájení skenování.
freshclam (clamav-freshclam) – Tento démon se používá k aktualizaci, stahování a instalaci databáze virových signatur.
clamdscan – Nástroj pro skenování souborů a adresářů na výskyt virů.
clamonacc – Tento démon poskytuje funkci on-access skeneru pro ClamAV
Nainstalujte ClamAV na Ubuntu
ClamAV je k dispozici v úložišti Ubuntu. ClamAV můžete jednoduše nainstalovat pomocí příkazu apt.
Nejprve aktualizujte systém Ubuntu.
$ sudo apt updateNainstalujte ClamAV na Ubuntu:
$ sudo apt install clamav clamav-daemon -yOvěřte instalaci kontrolou verze ClamAV, zadejte:
$ clamscan --VVýstup:
ClamAV 0.103.2/26233/Thu Jul 15 07:31:54 2021Ve výchozím nastavení bude služba clamav-freshclam povolena a spuštěna.
$ sudo systemctl status clamav-freshclamPři spuštění clamav-freshclam se automaticky aktualizuje virová databáze na /var/lib/clamav. Pokud není spuštěn, spusťte následující příkaz pro spuštění clamav-freshclam.
$ sudo systemctl start clamav-freshclamStáhněte a aktualizujte databázi podpisů ClamAV
Po instalaci a ověření ClamAV budete muset aktualizovat databázi podpisů ClamAV pro viry. Příkaz freshclam se používá ke stažení a aktualizaci oficiálních virových databází ClamAV.
1. Nejprve budeme muset před aktualizací databáze zastavit službu clamav-freshclam následujícím příkazem.
$ sudo systemctl stop clamav-freshclam2. Dále stáhněte a aktualizujte databázi ručně pomocí následujícího příkazu:
$ sudo freshclamPokud získáte následující výstup, databáze se aktualizuje:
Tue Jul 13 04:15:19 2021 -> ClamAV update process started at Tue Jul 13 04:15:19 2021Tue Jul 13 04:15:19 2021 -> daily.cvd database is up to date (version: 25930, sigs: 4317819, f-level: 63, builder: raynman)Tue Jul 13 04:15:19 2021 -> main.cvd database is up to date (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)Tue Jul 13 04:15:19 2021 -> bytecode.cvd database is up to date (version: 331, sigs: 94, f-level: 63, builder: anvilleg)
Ve výchozím nastavení se databáze signatur ClamAV aktualizuje automaticky každou hodinu, toto chování lze změnit v konfiguračním souboru freshclam /etc/clamav/freshclam.conf.
POZNÁMKA: Je také možné ručně stáhnout databázi signatur ze zrcadla virové databáze ClamAV.
ClamAV používá tři soubory s definicemi virů, jako je main.cvd, daily.cvd a bytecode.cvd, a jsou uloženy v adresáři /var/lib/clamav.
3 . Nakonec spusťte službu démona freshclam:
$ sudo systemctl start clamav-freshclamVýstup výše uvedeného příkazu bude indikovat, zda jsou virové signatury aktuální.
Výstup:
● clamav-freshclam.service - ClamAV virus database updater
Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2021-07-16 01:41:20 UTC; 41s ago
Docs: man:freshclam(1)
man:freshclam.conf(5)
https://www.clamav.net/documents
Main PID: 65112 (freshclam)
Tasks: 1 (limit: 1073)
Memory: 2.0M
CGroup: /system.slice/clamav-freshclam.service
└─65112 /usr/bin/freshclam -d --foreground=true
Jul 16 01:41:20 li1129-224 systemd[1]: Started ClamAV virus database updater.
Jul 16 01:41:20 li1129-224 freshclam[65112]: WARNING: Ignoring deprecated option SafeBrowsing at /etc/clamav/freshclam.conf:22
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> ClamAV update process started at Fri Jul 16 01:41:20 2021
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> ^Your ClamAV installation is OUTDATED!
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> ^Local version: 0.103.2 Recommended version: 0.103.3
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamav
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> daily.cld database is up-to-date (version: 26233, sigs: 1961297, f-level: 90, builder: raynman)
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> main.cld database is up-to-date (version: 61, sigs: 6607162, f-level: 90, builder: sigmgr)
Jul 16 01:41:20 li1129-224 freshclam[65112]: Fri Jul 16 01:41:20 2021 -> bytecode.cvd database is up-to-date (version: 333, sigs: 92, f-level: 63, builder: awillia2)Pro novou instalaci se doporučuje spustit démona clamav po instalaci souboru(ů) virové databáze ClamAV (.cvd). Nyní spusťte službu clamav-daemon pro načtení definic databáze do paměti.
sudo systemctl start clamav-daemonChcete-li ověřit clamd, zkontrolujte protokoly ClamAV v /var/log/clamav/clamav.log
tail /var/log/clamav/clamav.log
Výstup:
Thu Jul 15 04:23:41 2021 -> Portable Executable support enabled.
Thu Jul 15 04:23:41 2021 -> ELF support enabled.
Thu Jul 15 04:23:41 2021 -> Mail files support enabled.
Thu Jul 15 04:23:41 2021 -> OLE2 support enabled.
Thu Jul 15 04:23:41 2021 -> PDF support enabled.
Thu Jul 15 04:23:41 2021 -> SWF support enabled.
Thu Jul 15 04:23:41 2021 -> HTML support enabled.
Thu Jul 15 04:23:41 2021 -> XMLDOCS support enabled.
Thu Jul 15 04:23:41 2021 -> HWP3 support enabled.
Thu Jul 15 04:23:41 2021 -> Self checking every 3600 seconds.Testování ClamAV
Pro testování ClamAV si můžeme stáhnout testovací virus do /tmp a skenovat pomocí nástroje clamscan.
$ cd /tmp $ wget http://www.eicar.org/download/eicar.com $ clamscan --infected --remove eicar.com
Výstup
/tmp/eicar.com: Eicar-Test-Signature FOUND
/tmp/eicar.com: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 8553243
Engine version: 0.103.2
Scanned directories: 17
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 62.005 sec (1 m 2 s)
Start Date: 2021:07:16 02:08:29
End Date: 2021:07:16 02:09:31Jak používat ClamAV
Konfigurační soubor ClamAV se nachází na /etc/clamav/clamd.conf. Konfigurační soubor umožňuje nastavit chování skenování, uživatelské jméno pro démona clamd (ve výchozím nastavení démona spouští clamav), vyloučit adresáře ze skenování a mnoho dalšího.
Protokoly ClamAV jsou uloženy ve složce /var/log/clamav/, která obsahuje informace o každé antivirové kontrole.
ClamAV přichází s mnoha vestavěnými nástroji, mezi nimiž je clamscan důležitým nástrojem. Clamscan je klient clamd používaný ke skenování souborů.
1. Prohledávání všech souborů z aktuálního adresáře.
$ clamscan -r /2. Skenovat soubory, ale zobrazovat pouze infikované soubory.
$ clamscan -r -i /[path-to-folder]3 . Pro rekurzivní kontrolu infikovaných souborů v určitém adresáři a jejich odstranění.
$ clamscan --infected --remove --recursive /home/ubuntu/Desktop/Tyto možnosti znamenají:
- --infected:vytiskne pouze infikované soubory
- --remove:odstraní infikované soubory
- --rekurzivní:budou prohledány všechny adresáře a podadresáře v dané cestě
Výstup:
------------ SCAN SUMMARY ------------
Known viruses: 2226383
Engine version: 0.103.2
Scanned directories: 18
Scanned files: 75
Infected files: 0
Data scanned: 15.80 MB
Data read: 5.66MB (ratio 3.09:1)
Time: 15.842 sec (0 m 15 s)Nejlepším postupem je nastavit úlohy cron tak, aby spouštěly skenování ClamAV v pravidelných intervalech.
4 . Chcete-li prohledat váš webový server a vše ve standardním kořenovém adresáři dokumentů Apache, prohledejte všechny podezřelé soubory a nežádoucí aplikace pomocí následujícího příkazu.
$ sudo clamscan --infected --detect-pua=yes --recursive /var/www/html/pua – Potenciální nežádoucí aplikace
5. Kontrolovat soubory, ale zobrazovat pouze infikované soubory bez zobrazení souborů OK.
$ clamscan -r -o /[path-to-folder]6. Skenovat soubory, ale odeslat pouze výsledky infikovaných souborů do nového souboru s výsledky.
$ clamscan -r /[path-to-folder] | grep FOUND >> /[path-folder]/[file].txt7. Prohledejte a přesuňte infikované soubory do jiné cesty adresáře.
$ clamscan -r --move=/[path-to-folder] /[path-to-quarantine-folder]Pro více informací zkontrolujte manuálovou stránku clamscan nebo clamscan -h.
Nainstalujte ClamTK na Ubuntu
ClamTK na druhé straně je to grafické uživatelské rozhraní pro softwarový program ClamAV. Pokud vám vyhovuje používat GUI místo příkazového řádku, můžete ClamTK nainstalovat pomocí následujícího příkazu:
$ sudo apt-get install clamtkPo instalaci clamTK jej otevřete a získáte pěkné GUI se všemi možnostmi včetně Konfigurace, Historie, Aktualizace, Analýza.
Nyní přejděte do skupiny Analýza a vyberte možnost „Skenovat adresář“. Poté budete požádáni o výběr požadovaného adresáře, který chcete skenovat.
Po výběru požadovaného adresáře ClamTK prohledá tento adresář a zobrazí výsledek skenování.
Z hlediska výkonu mezi ClamAV a ClamTK není mezi těmito dvěma nástroji žádný rozdíl. Můžete si vybrat ten, který je pro použití vhodnější, a ClamTK je uživatelsky přívětivější, zejména pro začátečníky.
Závěr
Je obecně známo, že viry v Linuxu neexistují a nelze je infikovat, ale není to pravda. Viry, trojské koně a malware existují v Linuxu, ale nejsou zcela běžné. Pokud chcete, aby byl váš počítač se systémem Linux bezpečnější, můžete si nainstalovat a začít používat softwarové nástroje ClamAV nebo ClamTK k ochraně systému před podezřelými věcmi.