Clamav

De Wiki
Ir para: navegação, pesquisa

Clamav

Debian Squeeze 6.0

Instalando os Pacotes necessários

No Debian Squeeze instalar o clamav ficou mais simples e agora que o Volatile se tornou oficial (mudando seu nome para Squeeze-Updates), não se torna mais necessário adicionar o repositório manualmente, muito provavelmente ele já está na lista de repositórios do Apt, talvez só seja necessário adicionar além dos pacotes do main, o contrib e o non-free.

Nos novos pacotes do Clamav um deles é bem interessante, o ClamavFS, que é o Clamav para espaço do usuário. Vamos instalar os pacotes:

# apt-get install clamav 

pronto, o Clamav está instalado e funcionando.

Debian Lenny 5.0

O Clamav oficial do Debian Lenny é o 0.94.dfsg.2, este pacote já está meio desatualizado, por isso o time do Debian mantém a árvore Volatile que contém somente programas que precisam ser atualizados com alguma frequência, mesmo em ambientes servidores, o Clamav é um exemplo.

Instalando os Pacotes necessários

Podemos realizar este procedimento de duas formas, a primeira é baixar diretamente o pacote do repositório oficial, sem se aproveitar do Volatile:

# apt-get install clamav

Ou usamos o Volatile que busca manter sempre este pacote o mais atual possível para a versão STABLE do Debian. Para isso vamos adicionar seu repositório a lista de repositórios do APT:

# vi /etc/apt/sources.list

e adicionar a linha

deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free

feito isso, devemos atualizar a lista de pacotes e instalar o Clamav já atual:

# apt-get update
# apt-get install clamav

pronto, ele vai estar instalado e funcionando.

Adicionando assinaturas Third Party

Existem alguns grupos como a SaneSecurity [1] que mantém uma base atualizada de assinaturas de vírus contra: phishing, spear phishing, fake lottery, ecard malware, casino, fake jobs, fake loans, 419s, fake diplomas, porn, emailed malware e spam no geral.

Para instalar esta extensão você deve estar fazendo uso do repositório Lenny Backport, adicionando a linha no sources.list

deb http://www.backports.org/debian lenny-backports main contrib non-free

e então atualizar o repositório, adicionar a chave de assinatura dos pacotes

# apt-get update
# wget -O - http://backports.org/debian/archive.key | apt-key add -

e instalar:

# apt-get install clamav-unofficial-sigs

este pacote vai adicionar uma lista de assinaturas que serão atualizadas constantemente, mas de acordo com as descrições do site, você não deve atualizar mais do que uma vez por dia para evitar entrar na blacklist, só que o pacote já adiciona um intervalo de tempo de 45m, vamos alterar isso. Edite o arquivo: /etc/cron.d/clamav-unofficial-sigs e altere a entrada para:

45 4 * * * root [ -x /usr/sbin/clamav-unofficial-sigs ] && /usr/sbin/clamav-unofficial-sigs

rodar todo dias as 4h da manhã e assim economizar os recursos da SaneSecurity e manter sua base relativamente atualizada.

Adicionando assinaturas Third Party do MalwarePatrol

O site MalwarePatrol mantém uma lista de assinaturas de malwares para vários serviços, dentre eles o clamav. Abaixo segue um exemplo de script que faz download das assinaturas e instala no clamav.

 #!/bin/bash
 LINK="http://malwarepatrol.com.br/cgi/submit?action="
 CLAMAVDB_REG_EXT="list_clamav_ext"
 CLAMAVDB_AGR_EXT="list_clamav_ext&type=agressive"
 
 USER_PERM=$(cat /etc/clamav/clamd.conf | egrep ^User | cut -d ' ' -f 2)
 CLAMAV_SIG_DIR="/var/lib/clamav"
 
 DB_NAME="malwarepatrol" 

 # Define: 0 - regular, 1 - aggressive
 SECURITY_TYPE=0 
 
 # Core Execution
 cd /tmp
 case $SECURITY_TYPE in
  0)
   wget $LINK$CLAMAVDB_REG_EXT
   mv submit?action=$CLAMAVDB_REG_EXT $CLAMAV_SIG_DIR/$DB_NAME.ndb
   chown $USER_PERM:$USER_PERM $CLAMAV_SIG_DIR/$DB_NAME.ndb
   /etc/init.d/clamav-daemon force-reload
  ;;
 
  1)
   wget $LINK$CLAMAVDB_AGR_EXT
   mv submit?action=$CLAMAVDB_AGR_EXT $CLAMAV_SIG_DIR/$DB_NAME.ndb
   chown $USER_PERM:$USER_PERM $CLAMAV_SIG_DIR/$DB_NAME.ndb
   /etc/init.d/clamav-daemon force-reload
  ;;
 esac
 

feito isso é só adicioná-lo para executar diariamente no cron. Uma sugestão é adicionar um link simbólico no cron.daily como no exemplo:

# ln -s /usr/local/bin/malware-patrol.sh /etc/cron.daily/

pronto, estamos usando também as assinaturas do MalwarePatrol.

Ubuntu Server 10.04 LTS

Instalando os Pacotes necessários

O Clamav oficial do Ubuntu Server 10.04 LTS é o 0.96+dfsg-2ubuntu1 que até o momento é a versão mais nova deste programa, a instalação neste caso é simples:

$ sudo apt-get install clamav

após a instalação você pode ver o seguinte erro:

 * Clamav signatures not found in /var/lib/clamav
 * Please retrieve them using freshclam or install the clamav-data package
 * Then run '/etc/init.d/clamav-daemon start'

neste caso temos basta executar o comando:

$ sudo freshclam

e após realizada a atualização:

$ sudo /etc/init.d/clamav-daemon start

inicializamos o serviço do Clamav, que agora está instalado no sistema.

Adicionando assinaturas Third Party

Diferente do Debian Lenny que só tem esse pacote no repositório Backports, o Ubuntu Server 10.04 LTS já possui o pacote pronto para usar as assinaturas 3rd Party, então vamos instalá-la:

$ sudo apt-get install clamav-unofficial-sigs

este pacote vai adicionar uma lista de assinaturas que serão atualizadas constantemente, mas de acordo com as descrições do site, você não deve atualizar mais do que uma vez por dia para evitar entrar na blacklist, só que o pacote já adiciona um intervalo de tempo de 45m, vamos alterar isso. Edite o arquivo: /etc/cron.d/clamav-unofficial-sigs e altere a entrada para:

45 4 * * * root [ -x /usr/sbin/clamav-unofficial-sigs ] && /usr/sbin/clamav-unofficial-sigs

rodar todo dias as 4h da manhã e assim economizar os recursos da SaneSecurity e manter sua base relativamente atualizada.


Adicionando assinaturas Third Party do MalwarePatrol

O site MalwarePatrol mantém uma lista de assinaturas de malwares para vários serviços, dentre eles o clamav. Abaixo segue um exemplo de script que faz download das assinaturas e instala no clamav.

 #!/bin/bash
 LINK="http://malwarepatrol.com.br/cgi/submit?action="
 CLAMAVDB_REG_EXT="list_clamav_ext"
 CLAMAVDB_AGR_EXT="list_clamav_ext&type=agressive"
 
 USER_PERM=$(cat /etc/clamav/clamd.conf | egrep ^User | cut -d ' ' -f 2)
 CLAMAV_SIG_DIR="/var/lib/clamav"
 
 DB_NAME="malwarepatrol" 

 # Define: 0 - regular, 1 - aggressive
 SECURITY_TYPE=0 
 
 # Core Execution
 cd /tmp
 case $SECURITY_TYPE in
  0)
   wget $LINK$CLAMAVDB_REG_EXT
   mv submit?action=$CLAMAVDB_REG_EXT $CLAMAV_SIG_DIR/$DB_NAME.ndb
   chown $USER_PERM:$USER_PERM $CLAMAV_SIG_DIR/$DB_NAME.ndb
   /etc/init.d/clamav-daemon force-reload
  ;;
 
  1)
   wget $LINK$CLAMAVDB_AGR_EXT
   mv submit?action=$CLAMAVDB_AGR_EXT $CLAMAV_SIG_DIR/$DB_NAME.ndb
   chown $USER_PERM:$USER_PERM $CLAMAV_SIG_DIR/$DB_NAME.ndb
   /etc/init.d/clamav-daemon force-reload
  ;;
 esac
 

feito isso é só adicioná-lo para executar diariamente no cron. Uma sugestão é adicionar um link simbólico no cron.daily como no exemplo:

# ln -s /usr/local/bin/malware-patrol.sh /etc/cron.daily/

pronto, estamos usando também as assinaturas do MalwarePatrol.


FreeBSD 8.0

Instalando os Pacotes necessários

Adicionando assinaturas Third Party

CentOS/RedHat 5.6

Instalando os Pacotes necessários

Os repositórios oficiais do CentOS não possuem alguns pacotes importantes para esta infraestrutura desejada, por isso vamos adicionar o repositório RPMforge:

Importar a chave GPG do DAG:

# rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt

e instalar o pacote

# rpm -Uvh rpmforge-release-0.5.2-2.el5.rf.*.rpm

este repositório será importante para instalar os programas de antispam, antivírus e greylist.

E agora instalar o clamav mais atualizado:

# yum --enablerepo=rpmforge,rpmforge-extras install clamav clamav-devel clamd

pronto.

--Brivaldo 03h08min de 16 de maio de 2011 (AMT)