[2] – ClamAV – Konfiguracja
31 stycznia 2024Zanim przejdziemy do właściwej konfiguracji, zalecam jeszcze zainstalowanie dodatkowych archiwizerów, które zwiększą troszkę możliwości ClamAV w przeszukiwaniu spakowanych plików.
root@vfbsd01:~ # pkg install xar rar unrar lhasa
Najpierw skonfigurujmy w podstawowej wersji ClamAV.
root@vfbsd01:~ # mcedit /usr/local/etc/freshclam.conf # linia8: zakomentuj #Example # linia 26: odkomentuj i ustaw wielkość plilu z logami LogFileMaxSize 2M # linia 30: odkomentuj aby logować też datę/czas LogTime yes # linia 47: odkomentuj aby włączyć rotację logów LogRotate yes # linia 79 odkomentuj i ustaw liczbę prób skanowania MaxAttempts 5 # linia 118: odkomentuj i ustaw ile razy dziennie ma być sprawdzana baza danych z wirusami (tutaj 24 razy, czyli co godzinę) Checks 24 # linia 189: odkomentuj i zmień – testowanie bazy z wirusami przed załadowaniem jej do pamięci TestDatabases yes # linia 194: odkomentuj i zmień aby pobierać plik bytecode.cvd, który zawiera dodatkowe mechanizmy wykrywania i ulepszania ClamAV Bytecode yes
No to podstawowa konfiguracja ClamAV za nami. Dodajemy zatem wpis do pliku [/etc/rc/conf], który uruchamia ClamAV wraz ze statem systemu.
root@vfbsd01:~ # mcedit /etc/rc.conf # dodaj na końcu clamav_clamd_enable="YES" clamav_freshclam_enable="YES"
Uruchommy więc program, aby pobrać automatycznie aktualną bazę wirusów.
root@vfbsd01:~ # service clamav-freshclam restart
Sprawdźmy zatem po kilku minutach czy bazy danych z wirusami zostały zaktualizowane:
root@vfbsd01:~ # freshclam Sat Nov 19 13:47:37 2022 -> ClamAV update process started at Sat Nov 19 13:47:37 2022 Sat Nov 19 13:47:37 2022 -> daily.cvd database is up-to-date (version: 26725, sigs: 2011557, f-level: 90, builder: raynman) Sat Nov 19 13:47:37 2022 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr) Sat Nov 19 13:47:37 2022 -> bytecode.cvd database is up-to-date (version: 333, sigs: 92, f-level: 63, builder: awillia2)
Bazy wirusów zostały pobrane i zapisane.
root@vfbsd01:~ # ls -sla /var/db/clamav/ total 225772 4 drwxr-xr-x 2 clamav clamav 512 Nov 19 13:48 . 4 drwxr-xr-x 21 root wheel 512 Nov 19 13:21 .. 288 -rw-r--r-- 1 clamav clamav 293670 Nov 19 13:45 bytecode.cvd 58880 -rw-r--r-- 1 clamav clamav 60238360 Nov 19 13:45 daily.cvd 4 -rw-r--r-- 1 clamav clamav 69 Nov 19 13:44 freshclam.dat 166592 -rw-r--r-- 1 clamav clamav 170479789 Nov 19 13:45 main.cvd
Gdy baza danych wirusów jest aktualna, możesz teraz uruchomić usługę clamd:
root@vfbsd01:~ # service clamav-clamd restart
Dodajmy zatem dodatkowe bazy danych z sygnaturami wirusów. ClamAV ma własne bazy danych wirusów. Do konfiguracji ClamAV można również dodać inne, zewnętrzne bazy danych sygnatur wirusów. Jedną z takich firm jest SecuriteInfo. Zapewnia wiele dodatkowych sygnatur antywirusowych dla ClamAV. SecuriteInfo zapewnia bezpłatną subskrypcję Basic oraz płatną subskrypcję Professional. Możesz zarejestrować się tutaj: [https://www.securiteinfo.com]
Aby użyć sygnatur wirusów SecuriteInfo, zaloguj się, a następnie skopiuj i wklej linie z zakładki Ustawienia do pliku [freshclam.conf]. Z poniższych linków zostały usunięte wrażliwe dane i zastąpione „x”.
root@vfbsd01:~ # mcedit /usr/local/etc/freshclam.conf # linie 102-110: dodaj linie skopiowane ze strony [https://www.securiteinfo.com/] DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfo.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfo.ign2 DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/javascript.ndb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/spam_marketing.ndb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfohtml.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfoascii.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfoandroid.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfoold.hdb DatabaseCustomURL https://www.securiteinfo.com/get/signatures/xxxxxxxxxxxxxxxxxxxxxxxxxx/securiteinfopdf.hdb
Restartujemy freshclam, aby wczytać nowe bazy wirusów.
root@vfbsd01:~ # service clamav-freshclam restart
Odczekajmy kilka minut, aby zostały pobrane dodatkowe definicje i sprawdźmy czy są faktycznie pobrane i zapisane.
root@vfbsd01:~ # ls -sla /var/db/clamav/ total 561316 4 drwxr-xr-x 2 clamav clamav 512 Nov 19 20:30 . 4 drwxr-xr-x 21 root wheel 512 Nov 19 13:21 .. 288 -rw-r--r-- 1 clamav clamav 293670 Nov 19 13:45 bytecode.cvd 58880 -rw-r--r-- 1 clamav clamav 60238360 Nov 19 13:45 daily.cvd 4 -rw-r--r-- 1 clamav clamav 69 Nov 19 13:44 freshclam.dat 7264 -rw-r--r-- 1 clamav clamav 7402171 Nov 19 20:02 javascript.ndb 166592 -rw-r--r-- 1 clamav clamav 170479789 Nov 19 13:45 main.cvd 2624 -rw-r--r-- 1 clamav clamav 2649592 Nov 19 20:02 securiteinfo.hdb 4 -rw-r--r-- 1 clamav clamav 4025 Nov 19 20:02 securiteinfo.ign2 2464 -rw-r--r-- 1 clamav clamav 2488676 Nov 19 20:03 securiteinfoandroid.hdb 2432 -rw-r--r-- 1 clamav clamav 2440913 Nov 19 20:02 securiteinfoascii.hdb 1568 -rw-r--r-- 1 clamav clamav 1562261 Nov 19 20:02 securiteinfohtml.hdb 316544 -rw-r--r-- 1 clamav clamav 323985464 Nov 19 20:18 securiteinfoold.hdb 276 -rw-r--r-- 1 clamav clamav 281588 Nov 19 20:18 securiteinfopdf.hdb 2368 -rw-r--r-- 1 clamav clamav 2376980 Nov 19 20:02 spam_marketing.ndb
Nasze bazy wirusów są aktualne, możemy więc przeskanować katalogi i pliki. Ale zanim to zrobimy, tworzymy katalog do przechowywania zainfekowanych plików wykrytych podczas naszego skanowania, oraz zmieniamy właściciela tego katalogu na [clamav]:
root@vfbsd01:~ # mkdir /var/db/clamav/quarantine root@vfbsd01:~ # chown clamav:clamav /var/db/clamav/quarantine