m_shige1979のときどきITブログ

プログラムの勉強をしながら学習したことや経験したことをぼそぼそと書いていきます

Github（変なおっさんの顔でるので気をつけてね）

https://github.com/mshige1979

Linux(CentOS)サーバにClam AntiVirusをインストール

linux セキュリティ

オープンソースのClamVをインストール

最近は改ざんとかがあるので一応やってみる

yumでインストール

[root@localhost ~]# yum --enablerepo=epel -y install clamd
[root@localhost ~]#

設定ファイルを編集してrootで実行するようにする

[root@localhost ~]# ll /etc/clamd.conf
-rw-r--r-- 1 root root 17164  1月 15 17:32 2014 /etc/clamd.conf
[root@localhost ~]#
[root@localhost ~]# vim /etc/clamd.conf
[root@localhost ~]#
----
User clam

↓

# User clam
----

起動

[root@localhost ~]# service clamd start
Starting Clam AntiVirus Daemon: LibClamAV Warning: **************************************************
LibClamAV Warning: ***  The virus database is older than 7 days!  ***
LibClamAV Warning: ***   Please update it as soon as possible.    ***
LibClamAV Warning: **************************************************
                                                           [  OK  ]
[root@localhost ~]#

自動起動

[root@localhost ~]# chkconfig clamd on
[root@localhost ~]#

ファイルを削除

[root@localhost ~]# rm -f /var/lib/clamav/main.cld
[root@localhost ~]#

ウィルス定義のアップデート

[root@localhost ~]# freshclam
[root@localhost ~]#

日時タスクを確認

[root@localhost ~]# ll /etc/cron.daily/freshclam
-rwxr-xr-x 1 root root 396  1月 15 17:32 2014 /etc/cron.daily/freshclam
[root@localhost ~]#

テストウィルスをダウンロードしてスキャンテスト

[root@localhost ~]# wget http://www.eicar.org/download/eicar.com
[root@localhost ~]# clamscan --infected --remove --recursive
/root/eicar.com: Eicar-Test-Signature FOUND
/root/eicar.com: Removed.

----------- SCAN SUMMARY -----------
Known viruses: 3270028
Engine version: 0.98.1
Scanned directories: 16194
Scanned files: 78186
Infected files: 1
Data scanned: 1646.81 MB
Data read: 1636.86 MB (ratio 1.01:1)
Time: 3177.863 sec (52 m 57 s)
[root@localhost ~]#

スケジュールウィルススキャンを作成

[root@localhost ~]# vim /etc/cron.daily/virusscan
----
#!/bin/bash
 
PATH=/usr/bin:/bin
 
# clamd update
yum  --enablerepo=epel -y update clamd > /dev/null 2>&1

# virus scan
CLAMSCANTMP=`mktemp`
clamscan --recursive --remove  / > $CLAMSCANTMP 2>&1
[ ! -z "$(grep FOUND$ $CLAMSCANTMP)" ] && \
 
# when detect virus, send mail
grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" root
rm -f $CLAMSCANTMP
----

実行権限を作成

[root@localhost ~]# chmod +x /etc/cron.daily/virusscan
[root@localhost ~]#

参考

http://www.websec-room.com/2013/11/10/1007

まとめ

セキュリティ対策でなにもない場合はやってもいいけど、結構プロセスとか使用している感じなので注意が必要。