Wiki Linkat

Antivirus Perfil Servidor

De Wiki Linkat

GNU/Linux i virus

Mitos y realidades Linux y los virus:

Antivirus ClamAV:

ClamAV is an open source (GPL) antivirus engine designed for detecting Trojans, viruses, malware and other malicious threats. It is the de facto standard for mail gateway scanning. It provides a high performance mutli-threaded scanning daemon, command line utilities for on demand file scanning, and an intelligent tool for automatic signature updates

ClamAV es un software antivirus open source (de licencia GPL) para las plataformas Windows, Linux y otros sistemas operativos semejantes a Unix.

Configuració de l'antivirus al servidor de centre

Configuració de l’antivirus clamav en servidors Linkat 3 i 4

1- Recomanable actualitzar el clamav amb el repositori evergreen (Linkat 3 és 11.1 i Linkat 4 és 11.2):

Evergreen 11.1:

Evergreen 11.2:

2- Cal instal·lar els paquets: clamav i clamavdb (els paquets més actualitzats es troben a Evergreen). Un cop instal·lats, cal executar freshclam manualment perquè es descarreguin les definicions de virus més actuals. (Nota: la versió de l'antivirus que hi ha a evergreen és la 0.97.2)

3- Cal instal·lar el paquet: dazuko i dazuko-kmp-{default, pae, xen,.....} que correspongui amb el kernel instal·lat (amb uname -a se sap)

4- Cal carregar-lo en memòria: /etc/sysconfig/kernel -> MODULES_LOADED_ON_BOOT="dazuko"

5- No cal modificar els permisos del mòdul dazuko ja que el daemon clamdscan funcionarà sota l’usuari root (línia User root del fitxer /etc/clamd.conf)

6- Modificar el fitxer: /etc/clamd.conf

Nota: el símbol -> representa els canvis que s’han realitzat

LogFile /tmp/clamd.log -> LogFile /var/log/clamd.log

User root

ExtendedDetectionInfo yes

TemporaryDirectory /var/tmp -> TemporaryDirectory /tmp

MaxConnectionQueueLength 30

MaxThreads 20

LeaveTemporaryFiles yes

DetectPUA yes

ClamukoScanOnAccess yes

ClamukoScanOnOpen yes ClamukoScanOnClose yes ClamukoScanOnExec yes

ClamukoScannerCount 10

ClamukoIncludePath /srv/exports/T ClamukoIncludePath /srv/exports/P

DetectBrokenExecutables yes

OLE2BlockMacros yes

HeuristicScanPrecedence yes

ClamukoScannerCount 10

ClamukoMaxFileSize 10M

  1. VirusEvent /usr/local/bin/send_sms 123456789 "VIRUS ALERT: %v"

VirusEvent /usr/local/bin/

L’script (executable amb permisos 755) conté:

  1. !/bin/bash

FITXER=$(tail -n 1 /var/log/clamd.log | awk -F ': ' '{print $2}') rm $FITXER echo "Eliminat $FITXER" >> /var/log/messages

NOTA: Info extreta de:

Sobre l’arxiu freshclam.conf (actualitza les bases de dades de l’antivirus):

LogFacility LOG_LOCAL6

Checks 24 (1 cada hora)

DetectionStatsCountry ES

SafeBrowsing yes


Nota: La DatabaseMirror es de la forma: (on XX és el codi de país: ES per al cas espanyol).

Segon el fitxer de configuració: SafeBrowsing:

  1. This option enables support for Google Safe Browsing. When activated for
  2. the first time, freshclam will download a new database file (safebrowsing.cvd)
  3. which will be automatically loaded by clamd and clamscan during the next
  4. reload, provided that the heuristic phishing detection is turned on. This
  5. database includes information about websites that may be phishing sites or
  6. possible sources of malware. When using this option, it's mandatory to run
  7. freshclam at least every 30 minutes.
  8. Freshclam uses the ClamAV's mirror infrastructure to distribute the
  9. database and its updates but all the contents are provided under Google's
  10. terms of use. See
  11. and for more information.