[2] – ClamAV – Konfiguracja

31 stycznia 2024 Wyłączono przez Adam [zicherka] Nogły

Zanim przejdziemy do właściwej konfiguracji, zalecam jeszcze zainstalowanie dodatkowych archiwizerów, które zwiększą troszkę możliwości ClamAV w przeszukiwaniu spakowanych plików.

root@vfbsd01:~ # pkg install xar rar unrar lhasa

Najpierw skonfigurujmy w podstawowej wersji ClamAV.

root@vfbsd01:~ # mcedit /usr/local/etc/freshclam.conf
# linia8: zakomentuj
#Example
# linia 26: odkomentuj i ustaw wielkość plilu z logami
LogFileMaxSize 2M
# linia 30: odkomentuj aby logować też datę/czas
LogTime yes
# linia 47: odkomentuj aby włączyć rotację logów
LogRotate yes
# linia 79 odkomentuj i ustaw liczbę prób skanowania
MaxAttempts 5
# linia 118: odkomentuj i ustaw ile razy dziennie ma być sprawdzana baza danych z wirusami (tutaj 24 razy, czyli co godzinę)
Checks 24
# linia 189: odkomentuj i zmień – testowanie bazy z wirusami przed załadowaniem jej do pamięci
TestDatabases yes
# linia 194: odkomentuj i zmień aby pobierać plik bytecode.cvd, który zawiera dodatkowe mechanizmy wykrywania i ulepszania ClamAV
Bytecode yes

No to podstawowa konfiguracja ClamAV za nami. Dodajemy zatem wpis do pliku [/etc/rc/conf], który uruchamia ClamAV wraz ze statem systemu.

root@vfbsd01:~ # mcedit /etc/rc.conf
# dodaj na końcu
clamav_clamd_enable="YES"
clamav_freshclam_enable="YES"

Uruchommy więc program, aby pobrać automatycznie aktualną bazę wirusów.

root@vfbsd01:~ # service clamav-freshclam restart

Sprawdźmy zatem po kilku minutach czy bazy danych z wirusami zostały zaktualizowane:

root@vfbsd01:~ # freshclam
Sat Nov 19 13:47:37 2022 -> ClamAV update process started at Sat Nov 19 13:47:37 2022
Sat Nov 19 13:47:37 2022 -> daily.cvd database is up-to-date (version: 26725, sigs: 2011557, f-level: 90, builder: raynman)
Sat Nov 19 13:47:37 2022 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Sat Nov 19 13:47:37 2022 -> bytecode.cvd database is up-to-date (version: 333, sigs: 92, f-level: 63, builder: awillia2)

Bazy wirusów zostały pobrane i zapisane.

root@vfbsd01:~ # ls -sla /var/db/clamav/
total 225772
     4 drwxr-xr-x   2 clamav  clamav        512 Nov 19 13:48 .
     4 drwxr-xr-x  21 root    wheel         512 Nov 19 13:21 ..
   288 -rw-r--r--   1 clamav  clamav     293670 Nov 19 13:45 bytecode.cvd
 58880 -rw-r--r--   1 clamav  clamav   60238360 Nov 19 13:45 daily.cvd
     4 -rw-r--r--   1 clamav  clamav         69 Nov 19 13:44 freshclam.dat
166592 -rw-r--r--   1 clamav  clamav  170479789 Nov 19 13:45 main.cvd

Gdy baza danych wirusów jest aktualna, możesz teraz uruchomić usługę clamd:

root@vfbsd01:~ # service clamav-clamd restart

Dodajmy zatem dodatkowe bazy danych z sygnaturami wirusów. ClamAV ma własne bazy danych wirusów. Do konfiguracji ClamAV można również dodać inne, zewnętrzne bazy danych sygnatur wirusów. Jedną z takich firm jest SecuriteInfo. Zapewnia wiele dodatkowych sygnatur antywirusowych dla ClamAV. SecuriteInfo zapewnia bezpłatną subskrypcję Basic oraz płatną subskrypcję Professional. Możesz zarejestrować się tutaj: [https://www.securiteinfo.com]

Aby użyć sygnatur wirusów SecuriteInfo, zaloguj się, a następnie skopiuj i wklej linie z zakładki Ustawienia do pliku [freshclam.conf]. Z poniższych linków zostały usunięte wrażliwe dane i zastąpione „x”.

root@vfbsd01:~ # mcedit /usr/local/etc/freshclam.conf
# linie 102-110: dodaj linie skopiowane ze strony [https://www.securiteinfo.com/]
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfo.hdb
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfo.ign2
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/javascript.ndb
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/spam_marketing.ndb
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfohtml.hdb
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfoascii.hdb
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfoandroid.hdb
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfoold.hdb
DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfopdf.hdb

Restartujemy freshclam, aby wczytać nowe bazy wirusów.

root@vfbsd01:~ # service clamav-freshclam restart

Odczekajmy kilka minut, aby zostały pobrane dodatkowe definicje i sprawdźmy czy są faktycznie pobrane i zapisane.

root@vfbsd01:~ # ls -sla /var/db/clamav/
total 561316
     4 drwxr-xr-x   2 clamav  clamav        512 Nov 19 20:30 .
     4 drwxr-xr-x  21 root    wheel         512 Nov 19 13:21 ..
   288 -rw-r--r--   1 clamav  clamav     293670 Nov 19 13:45 bytecode.cvd
 58880 -rw-r--r--   1 clamav  clamav   60238360 Nov 19 13:45 daily.cvd
     4 -rw-r--r--   1 clamav  clamav         69 Nov 19 13:44 freshclam.dat
  7264 -rw-r--r--   1 clamav  clamav    7402171 Nov 19 20:02 javascript.ndb
166592 -rw-r--r--   1 clamav  clamav  170479789 Nov 19 13:45 main.cvd
  2624 -rw-r--r--   1 clamav  clamav    2649592 Nov 19 20:02 securiteinfo.hdb
     4 -rw-r--r--   1 clamav  clamav       4025 Nov 19 20:02 securiteinfo.ign2
  2464 -rw-r--r--   1 clamav  clamav    2488676 Nov 19 20:03 securiteinfoandroid.hdb
  2432 -rw-r--r--   1 clamav  clamav    2440913 Nov 19 20:02 securiteinfoascii.hdb
  1568 -rw-r--r--   1 clamav  clamav    1562261 Nov 19 20:02 securiteinfohtml.hdb
316544 -rw-r--r--   1 clamav  clamav  323985464 Nov 19 20:18 securiteinfoold.hdb
   276 -rw-r--r--   1 clamav  clamav     281588 Nov 19 20:18 securiteinfopdf.hdb
  2368 -rw-r--r--   1 clamav  clamav    2376980 Nov 19 20:02 spam_marketing.ndb

Nasze bazy wirusów są aktualne, możemy więc przeskanować katalogi i pliki. Ale zanim to zrobimy, tworzymy katalog do przechowywania zainfekowanych plików wykrytych podczas naszego skanowania, oraz zmieniamy właściciela tego katalogu na [clamav]:

root@vfbsd01:~ # mkdir /var/db/clamav/quarantine
root@vfbsd01:~ # chown clamav:clamav /var/db/clamav/quarantine