Antywirus – Clamav – Darmowy antywirus w Debianie

Instalacja i konfiguracja

Instalacja

W przypadku dystrybucji stabilnej (Woody) program nie występuje w oficjalnej wersji dystrybucji. Najwygodniej więc jest skorzystać z serwisu http://backports.debian.org zawierającego backporty programów z dystrybucji testowej czy niestabilnej.

W tym celu wpisujemy w plik /ect/apt/soucres linie:

deb http://www.backports.org/debian stable clamav

Następnie aktualizujemy listę pakietów poleceniem apt-get update i instalujemy potrzebne pakiety:

apt-get install clamav-daemon clamav-freshclam clamav

Aktualizacja baz danych

Clamav posiada własnego demona do aktualizacji baz antywirusów o nazwie freshclam. Program może działać albo w trybie demona (i tak jest domyślnie instalowany) albo z linii poleceń (ręczne wymuszenie aktualizacji bazy danych).

freshclam
ClamAV update process started at Tue Jul 27 17:28:20 2004
Reading CVD header (main.cvd): OK
main.cvd is up to date (version: 24, sigs: 21793, f-level: 2, builder: tomek)
Reading CVD header (daily.cvd): OK
daily.cvd is up to date (version: 424, sigs: 1141, f-level: 2, builder: tkojm)

Opcje dla programu freshclam ustawiamy w pliku /etc/freshclam.conf. Plik ten jest wyjątkowo prosty:

DatabaseOwner clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogFileMaxSize 0
MaxAttempts 5
# Check for new database 12 times a day
Checks 12
DatabaseMirror database.clamav.net
NotifyClamd

Logi

W przypadku instalowania Clamav z pakietów program tworzy w katalogu /var/log/clamav/ dla pliki logów: clamav.log (zawierający informacje o pracy demona antywirusowego) oraz freshclam (gdzie odkładane są informacje o aktualizacji bazy wirusów). Położenie tych plików możemy zmienić przez edycje plików konfiguracyjnych (/etc/clamav).

Użytkownianie programu

Skanowanie pojedynczych plików i całych katalogów z linii poleceń

Jeżeli pracuje demon clamd, można to sprawdzić wywołując polecenie pstree:

test:/var/www#
init-+-amavisd-new---2*[amavisd-new]
     |-apache---6*[apache]
     |-bdflush
     |-clamd---clamd

Sprawdzenie czy zainfekowany jest plik jest bardzo proste i szybkie. Wydajemy polecenie clamdscan nazwa_pliku i program dokona jego sprawdzenia:

debian:/var/www# clamdscan -v /var/www
/var/www: OK

----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.377 sec (0 m 0 s)

Sprawdzenie katalogu przebiega w podobny sposób:

debian:/var/www# clamdscan -v /var/www/*
/var/www/inc: OK
/var/www/index.php: OK
/var/www/konta_user.php: OK
/var/www/konta_user_dodaj.php: OK

----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.461 sec (0 m 0 s)

W przypadku uruchomienia clamscan (programu nie pracującego z demonem) zaobserwujemy że dłużej pracuje:

debian:/var/www# clamscan -v /var/www/*
/var/www/inc/zmienne.php: OK
/var/www/inc/sesja.php: OK
/var/www/index.php: OK
/var/www/konta_user.php: OK
/var/www/konta_user_dodaj.php: OK
/var/www/laser2.tar.gz: OK
/var/www/mail_stworz_mape_postfix.php: OK
/var/www/postfix3.webprj: OK
/var/www/test.php: OK
/var/www/test2.php: OK
/var/www/test3.php: OK
/var/www/user_dodaj.php: OK
/var/www/www_aliasy.php: OK
/var/www/www_extra.php: OK
/var/www/www_index.php: OK
/var/www/www_komentarz.php: OK
/var/www/www_konf_html.php: OK
/var/www/www_konf_txt.php: OK
/var/www/www_wirtuale.php: OK
/var/www/www_wirtuale_spis.php: OK

----------- SCAN SUMMARY -----------
Known viruses: 22932
Scanned directories: 3
Scanned files: 20
Infected files: 0
Data scanned: 0.08 MB
I/O buffer size: 131072 bytes
Time: 7.836 sec (0 m 7 s)

Akceleracja sprzętowa

Firma Sensory Networks pracuje nad kartą PCI wspomagającą proces sprawdzania plików dla tego antywirusa. NodalCore wyręcza główny procesor w takich operacjach jak dopasowywanie wzorców i wyliczenia sum MD5. Skaner jest w stanie zwiększyć wydajność nawet 12-krotnie.

Clamav w Internecie

Dodaj komentarz