Anti-virus ClamAV

From wiki.breedveld.net

Jump to: navigation, search

Capgemini OpenSource-PPT work-space

Als je server benaderd wordt door Microsoft Windows of Mac OS computers (via Samba bijvoorbeeld), dan doe je er goed aan om een antivirusprogramma onder Ubuntu te installeren. De kans dat Ubuntu zelf geïnfecteerd wordt is uiterst klein, maar als je een virus oploopt (zonder zelf besmet te worden), dan kan deze wel heel gemakkelijk doorgegeven worden aan een gebruiker die met Microsoft Windows of Mac OS een connectie maakt met je computer.

Er zijn verschillende gesloten antivirusprogramma's voor Linux, maar de beste keuze vanuit een open source perspectief is ClamAV. Dit is een krachtig antivirusprogramma ontworpen voor servers (voornamelijk mailservers).

Installeren van ClamAV

Het installeren van ClamAV doe je door de volgende commando's op de commandoregel uit te voeren: 

sudo apt-get update
sudo apt-get install clamav-base clamav clamav-daemon clamav-freshclam arj unzoo lha unrar

Zorg dat de clamav-daemon draait. Voer het commando 

ps ax | grep clamd

op de commandoregel uit om dit te controleren.

Als het niet draait voer dan de volgende commando's uit om ClamAV te starten: 

sudo /etc/init.d/clamav-daemon start
sudo /etc/init.d/clamav-freshclam start

Gebruik van ClamAV

Bijwerken antivirusdefinitiedatabase

Voer de volgende commandoregel uit 

sudo freshclam

Configureren

ClamAV configureren doe je door op de commandoregel 

sudo dpkg-reconfigure clamav-base

uit te voeren.

Configureer het aantal threads op maximaal 3. Dit vermindert het CPU gebruikt. Nadeel is wel dat de doorlooptijd van het scannen op virussen toeneemt. Maar dit komt wel ten goede van de andere processen op de server.

Scannen voor virussen

Scannen voor virussen kan je automatisch uitvoeren via een cronjob . Hiervoor moet je de root crontab (d.i. /var/spool/cron/crontabs) aanpassen: 

sudo crontab -e

Voer de volgende regels in de teksteditor in: 

0 4 * * * freshclam
0 5 * * * clamscan -r -i --move=~/clamkluis /home > ~/scan.txt

-->>PS Dit kan wss ook met een script of terminalcommando's<<--

Dit is een voorbeeld waarbij de antivirusdefinitiedatabase dagelijks om 04:00 's ochtends wordt bijgewerkt en de home folder dagelijks om 05:00 's ochtends gescand wordt op virussen. Geïnfecteerde bestanden (optie -i) worden verplaatst naar de folder ~/clamkluis. Check het bestand ~/scan.txt om welke bestanden het gaat. De folder ~/clamkluis moet bestaan en door root te beschrijven zijn. Dit doen we door de folder te creëren als root: 

sudo mkdir ~/clamkluis

ClamAV identificeert alleen het virus, maar onderneemt geen actie. Of je moet het bewust hebben gespecificeerd, zoals wij hebben gedaan met de --move optie. Elk antivirusprogramma en dus ook ClamAV kan een foute diagnose maken en denken een virus gevonden te hebben, terwijl dit geen virus is. Het beste advies is om op internet naar de virusnaam te zoeken om te controleren of dit inderdaad correct is. Als het inderdaad een virus is dan kan je het bestand verwijderen uit de kluis. Anders zet je het bestand weer terug in de folder waar het thuis hoort (staat in scan.txt).

Troubleshooting

Rechten fouten
Deze kunnen veelvoudig zijn. De meest voorkomende zijn:
- Clamd draait onder het account clamav en heeft geen toegang tot de MTA's (Mail Transfer Agents) zoals sendmail of exim4.
- De DatabaseOwner in het freshclam.conf bestand moet clamav zijn.

Socket-meldingen
- Controleer of clamd actief is door het commando ps ax | grep clamd op de commandoregel uit te voeren.
- Clamd's unix socket is niet correct gespecificeerd in clamd.conf. Controleer LocalSocket in het /etc/clamav/clamd.conf bestand.
De standaard voor LocalSocket is /var/run/clamav/clamd

Retrieved from "http://wiki.breedveld.net/index.php/Anti-virus_ClamAV"
Personal tools