Меню Рубрики

Установка clamav для ubuntu server

Установка и использование антивируса ClamAV в Ubuntu

Clam AntiVirus — пакет антивирусного ПО, работающий во многих операционных системах, включая Unix-подобные ОС, OpenVMS, Microsoft Windows и Apple Mac OS X.
Выпускается под GNU General Public License и является свободным программным обеспечением.
Для самой Ubuntu — антивирус не нужен, но вот если к вам пришел друг и говорит: «а проверь ка мне флешку на вирусы. »
Для установка ClamAV введите команду:

Для обновления баз данных вводим команду:

(-r — рекурсивная проверка, опция —bell — воспроизводить звуковой сигнал при обнаружении проблемы)

Проверка отдельного каталога:
sudo clamscan -r /media/DataDisk/soft

Ключи:
— i — при сканировании показывать только инфицированные файлы
Пример:
сканируем домашнюю папку

— move — перемещать инфицированные файлы в отдельную папку
Пример:
перемещаем подлецов в папку infected_files, которую надо предварительно создать

— remove — удаление инфицированных файлов
Пример:

Глубина проверки по-умолчанию составляет 15 уровней для каталогов, 8 для архивов. Изменить ограничение можно с помощью опций:

— max-recursion — для архивов;
— max-dir-recursion — каталоги;
— max-mail-recursion — e-mail.

Кроме того, по-умолчанию программа только сообщает о проблемных файлах, но не удаляет их. Для того, что бы в процессе проверки выполнялись действия — необходимо указать соответствующие опции:

— remove — удалить вирус;
— move=путь — переместить;
— copy=путь — скопировать.

Для ведения лога процесса проверки — используется опция —log.

Теперь — можно запустить проверку.

— i — выводить информацию только о зараженных файлах;
— r — проверять подкаталоги;
— bell — подать звуковой сигнал при обнаружении вируса;
— max-dir-recursion 50 — проверять до 50 уровней вложенности каталогов;
— copy /home/Infected/ — при обнаружении вируса копировать его в каталог /home/setevoy/Infected/;
— log=/var/log/clamav.log — записывать события в файл лога /var/log/clamav.log;
/media/1D3A-20CC/ — каталог, который необходимо сканировать.

Обновление антивируса ClamAV
Самый простой путь — запускать обновления с помощью cron. Для этого — выполняем:

И добавляем новое задание:

0 0 * * * /usr/bin/freshclam —quiet -l /var/log/clamav/clam-update.log

Эта строка будет запускать обновление в 0 минут 0 часов каждый день.

Другой вариант — запустить обновление в режиме «демона» командой:

— d — указывает способ запуска (daemon),
— c — количество обновлений в сутки, в данном случае 2 раза,
— l — файл лога.

Параметры обновления устанавливаются в файле /etc/clamav/freshclam.conf. Например, для изменения количества обновлений в сутки — измените в нём строку:

Читайте другие интересные статьи

Понравилась статья, расскажи о ней друзьям, нажми кнопку!

источник

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

Настройка программных телефонов

Корпоративные сети

Популярное и похожее

Установка VirtualBox 6.0 на Linux

Как восстановить пароль от root в CentOS 7

Как изменить пароль root в CentOS 8

Установка OpenVPN в CentOS

Установка и настройка ClamAV Linux

Опен сорс ПО для борьбы с вирусами

ClamAV является антивирусом с открытым исходным кодом. Его используют для обнаружения вирусов, вредоносных программ и вредоносного программного обеспечения на компьютерах под управлением Linux и даже в решениях именитых вендоров, так как эта разработка была выкуплена компанией Cisco, но все же оставлена в виде open-source. Угроза со стороны вирусов, троянов и других вредоносных программ всегда возможна, их количество растет в геометрической прогрессии как по количеству, так и по сложности, и антивирусное программное обеспечение всегда должно использовать сложные методы обнаружения. Никогда нельзя дать гарантии, что ваша система не станет жертвой этих нежелательных фрагментов кода, так что важно оставаться внимательным при использовании Интернета и совместном использовании файлов. Ну и отсюда вытекает необходимость реализации политик безопасности на основе здравого смысла и использовании современных антивирусных программ.

Установка ClamAV

Чтобы установить ClamAV в CentOS / RHEL 7, нам нужно установить репозиторий EPEL:

Затем необходимо установить ClamAV со всеми его полезными инструментами:

Настройка антивируса ClamAV

Для настройки ClamAV в первую очередь нам нужно удалить конфигурацию по умолчанию, чтобы создать свою:

После удаления строк примера нужно сделать некоторые правки, чтобы определить тип сервера TCP и предоставить root права для запуска антивируса:

Значение, данное с LocalSocket, является файлом, использующим связи с внешними процессами. Следует выполнить следующую строку:

Добавляем эти две строки в конец файла и сохраняем:

Чтобы поддерживать базу данных сигнатур ClamAV в актуальном состоянии, необходимо включить инструмент под названием Freshclam. Поэтому нужно создать файл резервной копии из его файла конфигурации:

Freshclam читает свою конфигурацию из /etc/freshclam.conf. Файл содержит строку со словом Пример, чтобы пользователи не могли использовать значения по умолчанию, их необходимо удалить их или закомментировать, прежде чем сможем использовать freshclam. А так как не все настройки по умолчанию не подходят для наших целей, придется внимательно проверить файл и решить, что нам понадобится. Каждая команда также будет прокомментирована.

Читайте также:  Установка cwm xperia sola

Нам нужно запустить Freshclam, чтобы обновить базу данных и проверить, успешно ли задана конфигурация:

Процесс выводит свой прогресс-бар в терминал, и вы можете увидеть несколько сообщений об ошибках. Например, он может сообщить, что ему не удалось загрузить нужный файл. Не паникуйте — freshclam попробует несколько зеркал. Он сообщает, что main.cvd, daily.cvd и bytecode.cvd обновляются, и по завершении, вы будете знать, что у вас есть последние сигнатуры.

Мы можем запустить freshclam в любое время, когда необходимо убедиться, что базы данных сигнатур обновлены, но было бы неудобно всегда запускать его вручную. При запуске с аргументом -d freshclam будет работать и периодически проверять наличие обновлений в течение дня (по умолчанию каждые два часа).

Чтобы сохранить некий порядок в системе, мы создали файл службы для запуска freshclam и зарегистрировали его в systemd:

Затем мы помещаем следующий код в файл и сохраняем его:

Раздел [Unit] определяет основные атрибуты сервиса, такие как его описание и его зависимость от сетевого соединения. Раздел [Service] определяет сам сервис, ExecStart будет запускать freshclam с аргументом -d, Type сообщает systemd, что процесс будет разветвляться и запускаться в фоновом режиме, а при перезапуске systemd отслеживает сервис и перезапускает его автоматически в случае. Раздел [Install] определяет, как он будет связан, когда запустится systemctl enable.

Перезагрузите systemd, чтобы применить изменения:

Далее запустите и включите сервис freshclam:

Если все работает нормально, добавляем его в службу запуска системы:

Теперь для настройки ClamAV необходимо создать файл сервиса ClamAV. У нас есть пример файла службы, который нам нужно скопировать в папку системных служб. Нам нужно изменить его имя на что-то понятное. Затем нам нужно внести в него небольшие изменения:

Поскольку мы изменили имя, нам нужно изменить его в файле, который также использует этот сервис:

Мы изменили первую строку, удалив @, чтобы это выглядело так:

В том же месте нам нужно изменить файл сервиса Clamd:

Мы добавляем следующие строки в конце:

Удаляем % i из опций Description и ExecStart. Затем изменяем их, чтобы они выглядели следующим образом:

Далее запустите сервис clamv

Если все хорошо, то включите сервис clamd.

Для проверки текущей папки мы запускаем следующую команду:

Мы надеемся вы правильно выполнили все этапы настройки ClamAV в RHEL / CentOS 7 Linux и они оказались полезны для вас в том или ином виде.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

источник

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

Ubuntu Server. Антивирусная защита для файлового сервера (Samba + ClamAV).

Мы не будем говорить, насколько важно обеспечить защиту файловому серверу организации. Это очевидно. Несмотря на то, что Ubuntu вирусы не страшны, оставленный без защиты сервер очень быстро может стать очагом распространения вредоносных программ в локальной сети предприятия. В качестве решения начального уровня можно использовать бесплатный антивирус ClamAV.

За основу решения мы взяли наш Samba-сервер, который был обновлен до Ubuntu 10.04. Нам необходимо настроить проверку «на лету» всех файлов в общих папках к которым обращаются пользователи. Собственно ClamAV ничего проверять в режиме реального времени не умеет, поэтому нужно воспользоваться сторонними модулями.

Наиболее современным способом является использование виртуальной файловой системы ClamFS, смонтировав в нее любой каталог, мы обеспечим ему антивирусную проверку при обращении к файлам.

Установим необходимые пакеты:

Создадим каталоги для монтирования виртуальной файловой системы. Будем придерживаться существующей системы каталогов, если пользовательские данные хранятся у нас в /data, то в виртуальной ФС будем использовать /clamfs/data:

Установим права на папку /clamfs и вложенные подпапки:

Теперь займемся настройкой ClamFS. Заготовка конфигурационного файла находится в /usr/share/doc/clamfs/clamfs-sample.xml.gz, перейдем в данный каталог, распакуем файл и скопируем его в /etc/clamav под именем clamfs.xml:

Откроем clamfs.xml, найдем опцию File system settings и зададим ее следующим образом:

Подробно разбирать формат строки мы не будем, все и так должно быть понятно. Теперь изменим параметр отвечающий за запись логов, по умолчанию ClamFS пишет логи в syslog, что неудобно, лучше если все события будут записываться в отдельный лог. Найдем и закомментируем строку (должно выглядеть следующим образом):

Обращаем ваше внимание, что в xml комментарии заключаются в символы . И раскомментируем строку ниже:

Читайте также:  Установка плит перекрытия на блоки фбс

Сохраняем настройки. Последовательно запускаем clamd и clamfs:

Проверяем, каталог /data должен смонтироваться в /clamfs/data.

Теперь о ложке дегтя. Как выяснилось, в Ubuntu 10.04 ClamFS при включенном Apparmor полностью блокирует все файлы на чтение. Выходов из этой ситуации несколько, так как файловый сервер обычно является сугубо внутрисетевым ресурсом, то мы пойдем по наиболее простому пути и просто удалим профиль clamd для Apparmor:

Осталось обеспечить автоматический запуск и монтирование ClamFS при загрузке системы. Распространённые в интернете рекомендации по монтированию ClamFS через fstab не приводят к желаемому результату, т.к. fstab обрабатывается гораздо раньше, чем загружаются модули ядра отвечающие за функционирование ClamFS. Поэтому поместим команду запуска ClamFS в скрипт автозапуска /etc/rc.local. Добавим в него следующую строку:

Убедившись, что все работает, перейдем к настройке Samba. Изменим пути к общим папкам так, чтобы они вели на ClamFS, например для папки ADM вместо:

Изменив таким образом пути для всех общих ресурсов, которым требуется антивирусная защита, перезапускаем Samba:

Скачиваем с сайта EICAR тестовые файлы (не забыв выключить антивирус), помещаем их в общую папку на сервере и пробуем получить к ним доступ. ClamAV сразу пресекает наши попытки как открыть (запустить):

так и скопировать зараженный файл:

Вредоносные программы блокируются, это хорошо, а вот то, что они остаются в общих папках не очень хорошо. Что делать? На помощь нам придет сканер clamscan, он может проверять нашу папку по расписанию и перемещать вредоносные объекты в папку карантина. Почему именно на карантин? Во первых ClamAV иногда ошибается, во вторых он не умеет лечить отдельные типы вирусов (только удалять), поэтому лучшим вариантом будет именно помещение подозрительных объектов на карантин с последующей проверкой коммерческим антивирусом.

Создадим карантинную папку и установим права на нее:

Данную папку следует опубликовать как общий ресурс, однако доступ к ней должен иметь только администратор отвечающий за антивирусную защиту. Заведем на сервере отдельного пользователя (допустим avadmin) и установим ему SMB пароль, пароль на доступ в систему ему устанавливать необязательно.

Теперь создадим в /etc/samba/smb.confследующую секцию:

Перезапускаем Samba, папка Quarantine появилась в списке общих ресурсов, однако для доступа к ней нужно пройти авторизацию:

Создадим скрипт для антивирусной проверки:

Добавим в него следующие строки:

Если нужно проверять несколько общих ресурсов добавляем несколько строк, ключ -r указывает на рекурсивную проверку (вместе с подпапками). Сохраним изменения и сделаем наш скрипт исполняемым:

Теперь настроим расписание. Допустим мы хотим запускать проверку каждый день в 17:45, для этого добавим в файл /etc/crontabследующую строку:

Выбирая время проверки следует учитывать загрузку сервера. Если нужно проверять разные ресурсы с разной периодичностью (например базы 1С реже, офисные документы чаще) то нужно создать несколько скриптов и несколько расписаний.

В указанное нами время скрипт выполнится и зараженные файлы будут перемещены в карантин. На этом настройку антивирусной защиты можно считать законченной.

источник

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

Ubuntu Server. Настраиваем антивирусный фильтр роутера (ClamAV)

Антивирусная защита корпоративной сети одна из наиболее актуальных задач для системного администратора. Одним из основных путей проникновения вирусов и прочих вредоносных программ является Интернет, поэтому весьма логично будет проверять проходящий HTTP трафик на наличие вирусов еще на роутере, до того как потенциально опасное ПО попадет во внутреннюю сеть.

Такой подход позволяет существенно повысить безопасность сети, особенно для небольших организаций, где у администратора зачастую нет инструментов централизованного контроля и управления антивирусной защитой на клиентских ПК.

В UNIX-like системах весьма популярен антивирусный сканер ClamAV, во многом благодаря своей бесплатности. Он неплохо подойдет для учебных и некоммерческих организаций, а также при ограниченном бюджете. В иных случаях стоит обратить внимание на коммерческие решения, например от «Лаборатории Касперского», потому что эффективность ClamAV довольно низка, хотя вполне приемлема для бесплатного продукта.

В качестве примера будем использовать роутер из нашей тестовой лаборатории, настройку которого мы рассматривали здесь.

Кроме антивируса ClamAV мы будем использовать HAVP — HTTP Antivirus Proxy — специализированный прокси-сервер для антивирусной проверки трафика. Общая схема будет выглядеть следующим образом: клиентский запрос поступает кэширующему прокси-серверу Squid, который либо выдает результат из кэша, либо передает запрос вышестоящему прокси HAVP, тот обрабатывает запрос, проверяет трафик антивирусным сканером и передает его обратно Squid’у который отдает запрос клиенту и помещает его в кэш. Этим достигается высокое быстродействие — кэш Squid’а не проверяется антивирусом. Преимуществами HAVP, по сравнению с редиректорами (squidclamav и т.п.) является более высокая скорость работы и поддержка широкого спектра антивирусных приложений, что дает возможность сменить антивирус без кардинального перестроения всей системы.

Итак, приступим. Установим ClamAV:

Приложение в настройке не нуждается. По умолчанию обновление антивирусных баз происходит один раз в час.

Читайте также:  Установка аэраторов на мягкой кровле конек

HAVP по умолчанию настроен на работу с ClamAV и практически не требует настройки. В первую очередь ограничим только локальными соединениями, это необходимо для того, чтобы клиенты не могли подключаться напрямую к HAVP, явно указав его порт. Для этого в /etc/havp/havp.config найдите и раскомментируйте следующую опцию:

Также раскомментируйте и измените указанным образом опцию:
Это позволит выводить страницы ошибок и сообщений о найденных вирусах на русском языке. Также может потребоваться изменить опцию PORT. По умолчанию HAVP работает на порту 8080, что не всегда приемлемо, данный порт часто бывает занят другими программами (например DansGuardian). Перезапускаем HAVP:
Теперь настроим Squid на использование вышестоящего прокси и сканирование только HTTP трафика. В конец файла /etc/squid/squid.conf добавляем следующие строки:
Перезапускаем Squid:
Теперь с клиентского ПК заходим на эту страничку и пробуем скачать тестовый вирус (не опасен, представляет собой специальную сигнатуру для проверки антивирусного ПО). Если все настроено правильно мы должны увидеть следующую страничку:

Шаблоны страничек выполнены в виде HTML файлов и находятся в /etc/havp/templates/ru, можете отредактировать их на свое усмотрение.

источник

Ubuntu: установка и настройка антивируса ClamAV

В дополнение к статье ClamAV: установка и настройка, в которой описывается то же, но для операционной системы FreeBSD — ещё одна, с учётом особенностей системы Debian/Ubuntu.

В целом, этот антивирус предназначен и больше всего используется для почтовых серверов. Однако, никто не мешает держать его в системе даже домашней — проверить «флешку» после посещения ей каких-либо Windows-машин (ниже будет привён пример как раз с таким накопителем после Windows).

# aptitude -y install clamav

Во время установки создаются пользователь и группа clamav .

После установки — обновим антивирусные базы:

# freshclam
ClamAV update process started at Tue Mar 5 16:32:12 2013
Downloading main.cvd [100%]
main.cvd updated (version: 54, sigs: 1044387, f-level: 60, builder: sven)
Downloading daily.cvd [100%]
daily.cvd updated (version: 16785, sigs: 892039, f-level: 63, builder: neo)
Downloading bytecode.cvd [100%]
bytecode.cvd updated (version: 214, sigs: 41, f-level: 63, builder: neo)
Database updated (1936467 signatures) from db.local.clamav.net (IP: 194.186.47.19)

Теперь можно запустить проверку. Для проверки используется две утилиты: clamscan или clamav-daemon.

clamav-daemon необходимо устанавливать отдельным пакетом:

Но его установку и использование в данной статье мы рассматривать не будем.

В настоящий момент — нас интересует утилита clamscan .

Если запустить clamscan без указания ключей — она проверит каталог, в котором вы находились в момент запуска.

Для проверки определённого каталога — он указывается в конце команды. Так же, для удобства, можно использовать ключ -i — этот ключ укажет программе выводить список только инфицированных файлов.

Ключ -r укажет проверять рекурсивно указанный каталог и все его подкаталоги. А опция —bell — воспроизводить звуковой сигнал при обнаружении проблемы.

Глубина проверки по-умолчанию составляет 15 уровней для каталогов, 8 для архивов. Изменить ограничение можно с помощью опций:

—max-recursion — для архивов;
—max-dir-recursion — каталоги;
—max-mail-recursion — e-mail.

Кроме того, по-умолчанию программа только сообщает о проблемных файлах, но не удаляет их. Для того, что бы в процессе проверки выполнялись действия — необходимо указать соответствующие опции:

—remove — удалить вирус;
—move=путь — переместить;
—copy=путь — скопировать.

Для ведения лога процесса проверки — используется опция —log .

Теперь — можно запустить проверку.

# clamscan -i -r —bell —max-dir-recursion 50 —copy /home/setevoy/Infected/ —log=/var/log/clamav.log /media/1C6A-19CC/

-i — выводить информацию только о зараженных файлах;
-r — проверять подкаталоги;
—bell — подать звуковой сигнал при обнаружении вируса;
—max-dir-recursion 50 — проверять до 50 уровней вложенности каталогов;
—copy /home/setevoy/Infected/ — при обнаружении вируса копировать его в каталог /home/setevoy/Infected/ ;
—log=/var/log/clamav.log — записывать события в файл лога /var/log/clamav.log ;
/media/1C6A-19CC/ — каталог, который необходимо просканировать.

/media/1C6A-19CC/RECYCLER/f5399233.exe: Worm.Dorkbot-3 FOUND
/media/1C6A-19CC/RECYCLER/f5399233.exe: copied to ‘/home/setevoy/Infected//f5399233.exe’

———— SCAN SUMMARY ————
Known viruses: 1931063
Engine version: 0.97.6
Scanned directories: 10
Scanned files: 62
Infected files: 1
Data scanned: 12.46 MB
Data read: 11.09 MB (ratio 1.12:1)
Time: 6.356 sec (0 m 6 s)

На флешке найден один зараженный файл, который был перемещён в «карантин».

Обновление антивируса ClamAV

Создадим файл лога, в который будут записываться попытки обновления:

Самый простой путь — запускать обновления с помощью cron . Для этого — выполняем:

И добавляем новое задание:

0 0 * * * /usr/local/bin/freshclam —quiet -l /var/log/clam-update.log

Эта строка будет запускать обновление в 0 минут 0 часов каждый день. Для удобства устанвоки другого времени — можно воспользоваться Cron: удобная подсказка.

Другой вариант — запустить обновление в режиме «демона» командой:

# freshclam -d -c 2 -l /var/log/clam-update.log

-d — указывает способ запуска ( daemon),
-c — количество обновлений в сутки, в данном случае 2 раза,
-l — файл лога.

источник

Добавить комментарий

Adblock
detector