ClamAV je otevřený antivirový nástroj k dispozici pro distribuce Linuxu . Integruje poštovní servery pro skenování přijatých příloh. Kromě skenování příloh pošty poskytuje ochranu podnikovým sítím. Mezi další funkce patří také skenování webu.
V tomto článku bychom probrali jak nainstalovat ClamAV Antivirus do Debian 11 Bullseye a Ubuntu 20.04.
Funkce ClamAV :
- vestavěná podpora pro různé archivní formáty, včetně Zip, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS a dalších.
- vestavěná podpora pro téměř všechny formáty souborů pošty
- vestavěná podpora pro spustitelné soubory ELF a přenosné spustitelné soubory komprimované pomocí UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack a zatemněné pomocí SUE, Y0da Cryptor a dalších;
- vestavěná podpora pro oblíbené formáty dokumentů včetně souborů Microsoft Office a Mac Office, HTML, RTF a PDF.
- podpora více jazyků podpisů, jako je porovnávání podpisů na základě hash, zástupné znaky, booleovská logika a jakákoli vlastní pravidla napsaná v jazyce Bytecode.
ClamAV obsahuje vícevláknového skenerového démona, nástroje příkazového řádku pro skenování souborů na vyžádání a automatické aktualizace podpisů. Jedním z jeho hlavních použití je na poštovních serverech jako antivirový skener na straně serveru.
Nainstalujte a používejte ClamAV na Debian 11 Bullseye / Ubuntu 20.04
Pro aktualizaci a instalaci zadejte následující příkaz úložišť aClamAV Antivirus respektive.
$ sudo apt update $ sudo apt install clamav clamav-daemon
Po dokončení instalace budete muset démona zastavit, abyste mohli databázi ClamAV aktualizovat ručně. Zastavte démona příkazem:
$ sudo systemctl stop clamav-freshclam
Když je démon zastaven, aktualizujte ClamAV příkazem:
$ sudo freshclam
Po dokončení freshclam stáhněte nejnovější soubor podpisu databáze pomocí příkazu:
$ sudo wget https://database.clamav.net/daily.cvd
Zkopírujte tento soubor do potřebného adresáře pomocí příkazu:
$ sudo cp daily.cvd /var/lib/clamav/
Spusťte démona freshclam příkazem:
$ sudo systemctl start clamav-freshclam
Jak ručně skenovat adresář
Pro skenování adresářů musíme do terminálu napsat následující příkaz:
$ clamscan -r -i --bell /home/
kde:
-r , pro rekurzivní skenování podadresářů,
-i , k tisku infikovaných souborů,
–zvonek , zazní zvonek, pokud detekuje virus,
/home/ , adresář, který hodláme skenovat – můžete použít adresáře dle vašeho výběru Tento příkaz skenuje pouze adresáře a poskytuje nám seznam infikovaných souborů. Ale co když plánujeme přesunout infikované soubory do jiného adresáře. Mohla by to být lepší volba, protože odstranění infikovaného souboru může poškodit náš systém. Proto postupujeme opatrně a infikovaný soubor přesuneme do jiného adresáře. Do terminálu musíme zadat následující příkaz:
$ clamscan -i -r --move="/home//Downloads/" /home
Výše uvedený příkaz prohledá adresář /home/ a pokud jsou detekovány infikované soubory, přesune tyto soubory do adresáře /home/<home-directory>/Downloads/ .
Zadejte clamscan -h pro více možností.
Jak nastavit ClamAV na automatické skenování
Nyní vytvoříme bash skript, který bude skenovat /var/www/html/ adresář a poté vytvořte úlohu cron, která ji bude spouštět každou noc. Jak to uděláte, bude záviset na tom, zda můžete ze zařízení odesílat e-maily. Pokud ano, možná budete moci použít skript tak, jak je, nebo jej budete muset upravit na základě toho, jaký SMTP server jste na serveru nastavili. Níže uvedený příklad použije příkaz mail.
Nejprve vytvořte skript pomocí příkazu:
$ nano /usr/local/bin/clamscan_daily.sh
Do tohoto souboru vložte následující:
#!/bin/bash
LOGFILE="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";
EMAIL_MSG="Please see the log file attached";
EMAIL_FROM="[email protected]";
EMAIL_TO="[email protected]";
DIRTOSCAN="/var/www/html";
for S in ${DIRTOSCAN}; do
DIRSIZE=$(du -sh "$S" 2>/dev/null | cut -f1);
echo "Starting scan of "$S" directory.
Directory size: "$DIRSIZE".";
clamscan -ri --remove --detect-pua=yes "$S" >> "$LOGFILE";
#find /var/log/clamav/ -type f -mtime +30 -exec rm {} \;
MALWARE=$(tail "$LOGFILE"|grep Infected|cut -d" " -f3);
if [ "$MALWARE" -ne "0" ];then
echo "$EMAIL_MSG"|mail -a "$LOGFILE" -s "Malware Found" -r "$EMAIL_FROM" "$EMAIL_TO";
fi
done
exit 0
Kde [email protected] je adresa FROM a [email protected] je e-mailová adresa, na kterou budou zasílána všechna upozornění.
Udělte tomuto souboru oprávnění ke spustitelnému souboru pomocí příkazu:
$ sudo chmod u+x /usr/local/bin/clamscan_daily.sh
Vytvořte úlohu cron pomocí příkazu:
$ sudo crontab -e
Na konec souboru přidejte následující řádek, aby se kontrola spouštěla každý den v 1:00:
1 1 * * * /usrlocal/bin/clamscan_daily.sh > /dev/null 2>&1
Uložte a zavřete soubor.
V tuto chvíli ClamAV budeautomaticky skenovat /var/www/html adresář pro škodlivé soubory a upozorní vás, pokud něco najde. Pokud váš server není nastaven tak, aby skutečně mohl odesílat e-maily, budete muset ručně zobrazit vygenerovaný soubor protokolu pomocí příkazu:
less /var/log/clamav/clamav-DATE
Kde DATE je časové razítko souboru, který potřebujete zobrazit. Pokud toto nenastavujete pro ruční e-mailová upozornění, ujistěte se, že pravidelně kontrolujete soubor protokolu ClamAV .
Závěr
A to je vše, co potřebujete k nastavení ClamAV na vašem serveru Debian 11, k detekci a ochraně před škodlivými soubory. Pokud máte nějaké dotazy, neváhejte zanechat komentář