V tomto tutoriálu vysvětlíme, jak nainstalovat ClamAV na váš Debian 9 VPS a také jak jej použít ke kontrole a odstranění jakéhokoli malwaru nebo zranitelností zabezpečení.
Clam AntiVirus (ClamAV) je open-source antivirový rámec používaný miliony lidí a společností po celém světě, který ve výchozím nastavení poskytuje bezplatnou ochranu proti malwaru pro každého. Je zvláště efektivní na e-mailových serverech, protože funguje téměř na všech možných MTA (postfix, exim atd.). Snadno se nastavuje, přizpůsobuje a má spolehlivou metodu aktualizace definic virů.
ClamAV je napsán v C/C++ a v současnosti je spravován společností Cisco Systems. Je licencován pod GNU General Public License a v době psaní tohoto článku je nejnovější stabilní verze aktuálně 0.101.2. Začněme s instalací.
Nejprve si projdeme některé z nejdůležitějších funkcí, které poskytuje ClamAV:
- Výkonný skener založený na příkazovém řádku
- Možnosti On-Access skenování
- Konfigurovatelné chování skenování na pozadí
- Poskytuje milter rozhraní pro službu Sendmail
- Robustní, konzistentní a spolehlivá metoda aktualizace databáze definic virů
- Schopnost skenovat různé formáty archivních souborů včetně Zip, Rar, Tar, Gzip, Bzip a dalších
- Možnost skenovat různé formáty souborů pošty
Krok 1:Kontrola aktualizací a závislostí
Nejprve se přihlaste ke svému linuxovému serveru přes SSH pomocí preferovaného terminálu:
ssh [username]@[server public IP address]
Upravte [username] proměnnou názvem účtu uživatele s privilegovaným oprávněním root nalezeného na serveru (nebo samotného uživatele root) a nahraďte [server public IP address] proměnná s IP adresou vašeho serveru.
Pokud váš server nepoužívá výchozí číslo portu, můžete přidat -p [port number] na konec příkazu a nahraďte [číslo portu] s číslem portu vašeho VPS. K tomu se doporučuje použít účet root.
Po přihlášení je nejlepší aktualizovat Debian nejnovějšími dostupnými balíčky pro opravy chyb a vylepšení.
apt-get -y update apt-get -y upgrade
Nejlepší je také nainstalovat základní knihovny a závislosti Debianu, abyste se vyhnuli problémům s chybějícími knihovnami během instalace.
apt-get install software-properties-common build-essential curl -y
Krok 2:Instalace ClamAV
Instalace hlavního balíčku ClamAV je velmi snadná. Chcete-li pokračovat, zadejte následující příkaz:
apt-get install clamav clamav-daemon
škeble Balíček AV je antivirový skener založený na příkazovém řádku, zatímco clamAV-démon balíček je on-access skener, který běží na pozadí.
Po instalaci se automaticky spustí aktualizace virové databáze. V podstatě čerstvá škeble příkaz byl aktivován. Záznamy můžete sledovat pomocí:
tail -f /var/log/clamav/freshclam.log
Během aktualizace byste měli vidět následující zprávu:
Fri Aug 2 21:22:05 2019 -> -------------------------------------- Fri Aug 2 21:22:05 2019 -> freshclam daemon 0.100.3 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64) Fri Aug 2 21:22:05 2019 -> ClamAV update process started at Fri Aug 2 21:22:05 2019 Fri Aug 2 21:22:05 2019 -> WARNING: Your ClamAV installation is OUTDATED! Fri Aug 2 21:22:05 2019 -> WARNING: Local version: 0.100.3 Recommended version: 0.101.2 Fri Aug 2 21:22:05 2019 -> DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamav Fri Aug 2 21:22:07 2019 -> Downloading main.cvd [100%] Fri Aug 2 21:22:20 2019 -> main.cvd updated (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr) Can't query main.58.93.1.0.6810DB54.ping.clamav.net Fri Aug 2 21:22:58 2019 -> Downloading daily.cvd [100%] Fri Aug 2 21:23:27 2019 -> daily.cvd updated (version: 25529, sigs: 1694663, f-level: 63, builder: raynman) Can't query daily.25529.93.1.0.6810DB54.ping.clamav.net Fri Aug 2 21:24:04 2019 -> Downloading bytecode.cvd [100%] Fri Aug 2 21:24:05 2019 -> bytecode.cvd updated (version: 330, sigs: 94, f-level: 63, builder: neo) Can't query bytecode.330.93.1.0.6810DB54.ping.clamav.net Fri Aug 2 21:24:45 2019 -> Database updated (6261006 signatures) from db.local.clamav.net (IP: 104.16.219.84)
Poslední řádek označuje, že nyní používáme nejnovější databázi virových definic ClamAV. Soubory databáze jsou uloženy v:/var/lib/clamav/daily.cvd (daily update file for ClamAV virus databases)
/var/lib/clamav/main.cvd (main ClamAV virus database file)
/var/lib/clamav/bytecode.cvd (signatures to detect bytecode in files)
Ověřte, zda je spuštěna hlavní služba ClamAV-freshclam, abyste se ujistili, že databáze virových definic je vždy aktuální:
systemctl status clamav-freshclam
Měl by se objevit téměř stejný výstup:
● clamav-freshclam.service - ClamAV virus database updater Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; enabled; vendor Active: active (running) since Fri 2019-08-02 21:22:05 EDT; 44min ago
Nakonec spusťte hlavní službu on-access skeneru ClamAV a ověřte její stav.
systemctl start clamav-daemon systemctl status clamav-daemon
● clamav-daemon.service - Clam AntiVirus userspace daemon Loaded: loaded (/lib/systemd/system/clamav-daemon.service; enabled; vendor pr Drop-In: /etc/systemd/system/clamav-daemon.service.d └─extend.conf Active: active (running) since Fri 2019-08-02 22:09:56 EDT; 18min ago
Krok 3:Konfigurace ClamAV
Ve výchozím nastavení je konfigurace ClamAV již optimalizována pro obecné použití. Pokud chcete upravit některá nastavení pro službu on-access scanner, můžete zkontrolovat soubor:
nano /etc/clamav/clamd.conf
Po uložení upraveného souboru nezapomeňte službu restartovat:
systemctl restart clamav-daemon
Testování ClamAV
Pro otestování a ověření naší instalace ClamAV můžeme zkusit naskenovat testovací soubor EICAR (neškodný podpis bez virového kódu). Chcete-li spustit ukázkové skenování, zadejte následující příkaz:
curl https://www.eicar.org/download/eicar.com.txt | clamscan -
Doba skenování bude nějakou dobu trvat a to je normální chování ClamAV, protože bude potřebovat přečíst řadu podpisů. Výstup by měl ukazovat:
stdin: Eicar-Test-Signature FOUND ----------- SCAN SUMMARY ----------- Known viruses: 6251170 Engine version: 0.100.3 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 0.00 MB Data read: 0.00 MB (ratio 0.00:1) Time: 49.993 sec (0 m 49 s
Jakmile je detekován, můžeme nyní potvrdit, že naše instalace ClamAV funguje.
Spuštění skenování pomocí ClamAV
Pro jednorázové skenování je k dispozici mnoho možností skenování, které zajišťuje clamscan . Chcete-li infikovaný soubor odstranit automaticky, přidejte k volbě --remove . Chcete-li soubor přesunout do složky karantény, použijte --move=/dir volba. ClamAV také podporuje protokolování skenování, které můžete povolit pomocí -l /path/to/file možnost.
Chcete-li skenovat soubor:
clamscan /opt/testfile.zip
Prohledání adresáře:
clamscan --recursive --infected /mydir
Chcete-li skenovat větší soubory (ClamAV nebude ve výchozím nastavení skenovat soubory větší než 20 MB):
clamscan --max-filesize=2000M --max-scansize=2000M --recursive=yes --infected /mydir
Chcete-li se dozvědět více o dostupných možnostech, podívejte se na oficiální dokumentaci OneTime skenování ClamAV.
To je ono! – nyní máte aktivní antivirus na pozadí a skener na vyžádání pro váš server Debian 9.
Samozřejmě nemusíte instalovat ClamAV v Debianu 9 pokud u nás máte spravovaný hostingový plán Debian VPS. Můžete jednoduše požádat náš tým podpory, aby vám pomohl, poté za vás nainstaluje, nastaví a provede počáteční skenování a v případě potřeby provede další prevenci hrozeb. Jsou k dispozici 24 hodin denně, 7 dní v týdnu a budou vám schopni pomoci se vším, co byste mohli potřebovat.
PS . Pokud se vám líbilo čtení tohoto blogového příspěvku o tom, jak nainstalovat a skenovat zranitelná místa pomocí ClamAV na Debianu 9, můžete jej sdílet na sociálních sítích pomocí níže uvedených zkratek nebo jednoduše zanechat komentář v sekci komentářů. Děkuji.