Security/clamav

ClamAV†

• アンチウイルスソフト

目次†

準備†

インストール†

• 幾つか設定の仕方があるが、定期自動実行をしたい為、 daemon をインストールする：

  # apt-get install clamav-daemon

設定†

• 素でとりあえず実行してみると、エラーになる：

  # clamdscan --multiscan --verbose --move=/var/log/clama
  action_setup: Failed to get realpath of /var/log/clama
  ERROR: Could not connect to clamd on LocalSocket /var/run/clamav/clamd.sock: No such file or directory
  
  ----------- SCAN SUMMARY -----------
  Infected files: 0
  Total errors: 1
  Time: 0.000 sec (0 m 0 s)
  Start Date: 2021:12:26 09:04:45
  End Date:   2021:12:26 09:04:45

  • これは apparmor というカーネル拡張機能が clamav の動作を制限している為に起きる。
• apparmor の設定を変更する
  1. apparmor-utils をインストールする（デフォルトでは入っていない）

     # apt-get install apparmor-utils

  2. clamav を root で実行出来るように設定変更する

     # aa-complain clamd

     • これによって、以下のファイルが変更される：

       /etc/apparmor.d/usr.sbin.clamd

  3. apparmor の設定を反映させる為、apparmor と clamd を再起動する

     # /etc/init.d/clamav-daemon stop
     # /etc/init.d/apparmor restart
     # /etc/init.d/clamav-daemon start

• root 権限で実行させる
  1. /etc/clamav/clamd.conf

     # User clamav
     User root

     • この設定ファイルは、行の途中からコメントを書くことは出来ない（書くとエラーになる）ので注意。
  2. 変更を反映させる為、daemon を再起動する

     # /etc/init.d/clamav-daemon restart
     # /etc/init.d/clamav-daemon status

• 自動実行させる
  1. 自動実行用のスクリプトを用意する
     • /root/bin/clamav-run.sh

       #!/bin/bash
       
       PATH=/usr/bin:/bin
       TITLE=""
       TO="To: root\n"
       SENDMAIL=/usr/sbin/sendmail
       CLAMDSCAN=/usr/bin/clamdscan
       #SENDMAIL=echo
       
       # EXCLUDES=( /proc /sys /run /dev );
       # OPT_EXCLUDES=( $(for e in "${EXCLUDES[@]}"; do echo "--excludes-dir=${e}"; done) );
       # OPT_MULTI_THREAD=
       OPT_MULTI_THREAD=--multiscan
       
       VIRUS_MOVE_PATH=/var/log/clamav/virus
       
       
       function err_print {
           local msg="${@}";
           printf "\x1b[31mclamav-run.sh: ${msg}\x1b[0m\n";
       }
       
       
       if [ ! -d ${OPT_VIRUS_MOVE_PATH} ]; then
           mkdir -p ${OPT_VIRUS_MOVE_PATH};
       fi
       
       # update definition
       # freshclam > /dev/null
       
       # full scan (multi-thread)
       # ${CLAMDSCAN} --multiscan --verbose --move=/var/log/clamav/virus /
       
       # full scan (single-thread)
       ${CLAMDSCAN} ${OPT_MULTI_THREAD} --verbose --move=${VIRUS_MOVE_PATH} /
       STATUS=$?;
       
       # report
       case ${STATUS} in
           0 )
       	err_print "virus not found"
       	TITLE="Subject: ClamAV scan OK"
       	;;
           1 )
       	err_print "virus found (status = ${STATUS})"
       	TITLE="Subject: ClamAV scan NG"
       	;;
           * )
       	err_print "error occured (status = ${STATUS})"
       	TITLE="Subject: ClamAV scan Error"
       	;;
       esac
       echo -e ${TO}${TITLE} | cat - /var/log/clamav/clamav.log | ${SENDMAIL} -t
       unset err_print
       

  2. cron に登録する

     # crontab -e
     -----------------------------------------------------
     0 0 * * * /root/bin/clamav-run.sh
     -----------------------------------------------------

リアルタイムスキャンの設定†

1. 稼働中のカーネルが FANOTIFY をサポートしていることを確認する
   • 以下の２行が確認出来ればOK

     CONFIG_FANOTIFY=y
     CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y

   • 確認手順
     1. /boot/config-<VERSION> の <VERSION> 部分が何かを特定する為、稼働中のカーネルのバージョンを確認する

        $ uname -a
        Linux martinu 6.1.0-13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.55-1 (2023-09-29) x86_64 GNU/Linux

     2. 稼働中のカーネルの config ファイルのファイル名を確認する

        $ ls /boot/config-6.1.0-13-*
        /boot/config-6.1.0-13-amd64

     3. config ファイルの設定内容から、関係箇所を grep (または rg)で検索し、値を確認する

        $ rg FANOTIFY /boot/config-6.1.0-13-amd64 
        9380:CONFIG_FANOTIFY=y
        9381:CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y

手動スキャン†

• 手動スキャンには、 (1) clamscan を使う方法と、(2) clamav-daemon を動かしておいて clamdscan を使う方法の２つがある。
• (1) はオーバーヘッドが大きく非常に時間がかかるので、(2) を使うことにする。

clamdscan による手動スキャン†

• コマンド書式

  $ clamdscan --fdpass --infected <path-to-scan-target>

• コマンドラインオプション

  option	description	remark
  --fdpass	clamd デーモンの実行ユーザー(clamav)と違うユーザーでスキャンする
  --infected	ウイルスであった場合のみ標準出力やログに出力
  --config-file=<path>	<path> を clamd デーモンにアクセスするための設定ファイルに指定する	デフォルトの設定ファイルを使用する場合は指定不要 （debian の場合は /etc/clamav/clamd.conf）
  --move=<path>	<path> を検出したウイルスファイルの移動先ディレクトリに指定する
  --log=<path>	<path> をログファイルの場所に指定する
  <path-to-scan-target>	スキャン対象のパス

参考リンク†

• ClamAVによる定期ウイルススキャンの設定
• Debian 9.3でchkrootkitとClamAVでウイルス対策 (Linux自作PC 9)
• Debian 9.3 ClamAV高負荷問題の対処3 (Linux自作PC)
• 如是我聞 - a blog about life and tech

Menu

• System
• Security
• Device
• Debian
• Ubuntu
• Plan9
• CentOS
• Net
• X
• App
• transcription
• Prog
• Lang
• TeX
• Editor
  • emacs
• Multimedia
• tools
• VersionCtl
• linux:archive

Menu2

• Mac
• Windows
• 食
• 旅
• otherlinks
• SandBox

  最新の20件

  2024-05-08

  • Editor/emacs

  2024-05-06

  • 旅/茨城

  2024-05-02

  • 食
  • 旅
  • 旅/東京
  • Lang/Python/pip

  2024-04-21

  • Lang/shell/bash

  2024-04-14

  • VersionCtl/git
  • VersionCtl/git/Subversion からの移行
  • VersionCtl/git/subversion とのコマンド対比

  2024-03-31

  • Security/ssh

  2024-03-17

  • Net/dig

  2024-03-15

  • Lang/Python/開発環境

  2024-03-02

  • Net/pukiwiki

  2024-02-25

  • 食/料理

  2024-02-23

  • transcription
  • App/Browser

  2024-02-11

  • App/screen

  2024-02-10

  • Lang/shell/bash/設定

  2024-01-22

  • VersionCtl/git/tig

edit