Antivirus Perfil Servidor

De Wiki Linkat

(Diferència entre revisions)

Revisió de 09:20, 11 juny 2012

EN DESENVOLUPAMENT!!!!

GNU/Linux i virus:

http://www.kriptopolis.org/linux-virus-popularidad http://www.kriptopolis.org/virus-en-linux-i http://www.kriptopolis.org/virus-en-linux-y-ii http://blog.desdelinux.net/virus-en-gnulinux-realidad-o-mito/

Mitos y realidades Linux y los virus: http://blog.desdelinux.net/wp-content/uploads/2012/01/Mitos-y-realidades-Linux-y-los-virus.pdf

Antivirus ClamAV:

ClamAV és un antivirus que té llicència PL per a GNU/Linux que utilitza la base de dades d'OpenAntivirus, un altre projecte lliure. ClamAV està dissenyat per detectar Troias, virus, malware, etc.

Configuració de l'antivirus al servidor de centre

Configuració de l’antivirus clamav en servidors Linkat 3 i 4

1- Recomanable actualitzar el clamav amb el repositori evergreen (Linkat 3 és 11.1 i Linkat 4 és 11.2):

Evergreen 11.1:

http://download-linkat.xtec.cat/mirror/evergreen/11.1/standard/

Evergreen 11.2:

http://download-linkat.xtec.cat/mirror/evergreen/11.2/standard/

2- Cal instal·lar els paquets: clamav i clamavdb (els paquets més actualitzats es troben a Evergreen). Un cop instal·lats, cal executar freshclam manualment perquè es descarreguin les definicions de virus més actuals. (Nota: la versió de l'antivirus que hi ha a evergreen és la 0.97.2)

3- Cal instal·lar el paquet: dazuko i dazuko-kmp-{default, pae, xen,.....} que correspongui amb el kernel instal·lat (amb uname -a se sap)

4- Cal carregar-lo en memòria: /etc/sysconfig/kernel -> MODULES_LOADED_ON_BOOT="dazuko"

5- No cal modificar els permisos del mòdul dazuko ja que el daemon clamdscan funcionarà sota l’usuari root (línia User root del fitxer /etc/clamd.conf)

6- Modificar el fitxer: /etc/clamd.conf

Nota: el símbol -> representa els canvis que s’han realitzat

LogFile /tmp/clamd.log    -> LogFile /var/log/clamd.log

User root  

ExtendedDetectionInfo yes

TemporaryDirectory /var/tmp   -> TemporaryDirectory /tmp

MaxConnectionQueueLength 30

MaxThreads 20

LeaveTemporaryFiles yes

DetectPUA yes

ClamukoScanOnAccess yes

ClamukoScanOnOpen yes
ClamukoScanOnClose yes
ClamukoScanOnExec yes

ClamukoScannerCount 10

ClamukoIncludePath /srv/exports/T
ClamukoIncludePath /srv/exports/P

DetectBrokenExecutables yes

OLE2BlockMacros yes

HeuristicScanPrecedence yes

ClamukoScannerCount 10

ClamukoMaxFileSize 10M


#VirusEvent /usr/local/bin/send_sms 123456789 "VIRUS ALERT: %v"

VirusEvent /usr/local/bin/elimina_virus.sh&

L’script elimina_virus.sh (executable amb permisos 755) conté:

#!/bin/bash
FITXER=$(tail -n 1 /var/log/clamd.log | awk -F ': ' '{print $2}')

#
# L'script definitiu, en compes d'eliminar els fitxers contaminats els mourà a una carpeta independent.
#
rm $FITXER
echo "Eliminat $FITXER" >> /var/log/messages

NOTA: Info extreta de:

http://ubuntuforums.org/showthread.php?t=52385

Sobre l’arxiu freshclam.conf (actualitza les bases de dades de l’antivirus):

LogFacility LOG_LOCAL6

Checks 24 (1 cada hora)

DetectionStatsCountry ES

SafeBrowsing yes

DatabaseMirror db.es.clamav.net

Nota: La DatabaseMirror es de la forma: db.XX.clamav.net (on XX és el codi de país: ES per al cas espanyol).

Segon el fitxer de configuració: SafeBrowsing:

This option enables support for Google Safe Browsing. When activated for
the first time, freshclam will download a new database file (safebrowsing.cvd)
which will be automatically loaded by clamd and clamscan during the next
reload, provided that the heuristic phishing detection is turned on. This
database includes information about websites that may be phishing sites or
possible sources of malware. When using this option, it's mandatory to run
freshclam at least every 30 minutes.
Freshclam uses the ClamAV's mirror infrastructure to distribute the
database and its updates but all the contents are provided under Google's
terms of use. See http://code.google.com/support/bin/answer.py?answer=70015
and http://safebrowsing.clamav.net for more information.

NOTA: Important!!! Cal assegurar-se que clamav i freshclam s'inicïin en el moment d'arrencar el sistema (chkconfig o a través del YaST).

Obtingut de «http://linkat.xtec.cat/portal_linkat/wikilinkat/index.php/Antivirus_Perfil_Servidor»

@@ Línia 1: / Línia 1: @@
 EN DESENVOLUPAMENT!!!!
-GNU/Linux i virus
+GNU/Linux i virus:
 http://www.kriptopolis.org/linux-virus-popularidad
@@ Línia 15: / Línia 15: @@
 [[Imatge:ClamAV_icon.png]]
-ClamAV is an open source (GPL) antivirus engine designed for detecting Trojans, viruses, malware and other malicious threats. It is the de facto standard for mail gateway scanning. It provides a high performance mutli-threaded scanning daemon, command line utilities for on demand file scanning, and an intelligent tool for automatic signature updates
+ClamAV és un antivirus que té llicència PL per a GNU/Linux que utilitza la base de dades d'OpenAntivirus, un altre projecte lliure. ClamAV està dissenyat per detectar Troias, virus, malware, etc.
-ClamAV es un software antivirus open source (de licencia GPL) para las plataformas Windows, Linux y otros sistemas operativos semejantes a Unix.
-Clam es un antivirus para Linux que emplea la base de datos de OpenAntivirus, otro proyecto libre. Clam está desarrollado en C y entre sus caracteristicas se encuentran que es multihebra, soporta Amavis, escanea en archivos comprimidos, se actualiza automáticamente y mucho más.
 == Configuració de l'antivirus al servidor de centre ==
@@ Línia 145: / Línia 140: @@
 # terms of use. See http://code.google.com/support/bin/answer.py?answer=70015
 # and http://safebrowsing.clamav.net for more information.
+NOTA: Important!!! Cal assegurar-se que clamav i freshclam s'inicïin en el moment d'arrencar el sistema (chkconfig o a través del YaST).