2008年11月13日 星期四

ClamAV - 免費開放的linux 防毒軟體

這是一套依循GPL專門設計在UNIX的防毒軟體,特別針對郵件伺服器的掃毒,不過SAMBA可以跟它結合,這一點就很直得推薦。

照慣例
這是官方網站: http://www.clamav.net/
本來今天要開會,結果還好我不是PL可以暫時不用參加冗長的會議,積了很多東西,這次就來紀錄一下clamav

這套很好用喔~~喔拉喔拉喔拉 <==明明就沒用過幾次

首先防毒軟體首重!! 新、快、狠!!!三字訣

所以這次就不要使用好用到靠北的aptitude來安裝clamAV
(好像是0.94板,雖然ㄧ樣可以用,而且按一下就好嚕...)<==狂推銷


到官方網站下載
0.94.1 板

ㄧ樣

#tar xzvf 壓縮檔
#./configure
#make
#make install
就這樣步驟把它裝好(這已經是老梗步驟了)

裝好之後要記得重開機喔(囧> 千萬不用,又不是小微微)

有三支重要指令(其實是四個...管他囧)

  • clamd
    主程式執行,會去讀
    /etc/clamav/clamd.conf
    關於這個設定檔
    有底下類似內容
    LogFile <想放的log路徑>
    PidFile /var/run/clamd.pid
    TemporaryDirectory /tmp/clamav
    DatabaseDirectory <放的病毒資料庫路徑>
    LocalSocket /tmp/clamd.socket
    User clamav (ㄧ定要有這個使用帳號喔,通常會自動有啦...通常,我的工作常常都不通常,棍!!!)


  • freshclam
    這是用來更新病毒資料庫的指令
    他會去讀/etc/clamav/freshclam.conf
    關於這個檔案嘛類似下面
    DatabaseDirectory <放的病毒資料庫路徑>(記得跟clamd.confㄧ樣)
    UpdateLogFile <放log路徑>
    PidFile <唉....就pid路徑>
    DatabaseOwner clamav
    DatabaseMirror database.clamav.net
    NotifyClamd /etc/clamav/clamd.conf (這很重要喔,更新完之後他會重新呼叫clamd然後去讀這份conf檔)

  • clamscan
    用來掃毒的命令,好啦好啦還有一個clamdscan,都差不多(多了一個D!!!)
    叫用的時候他就會去讀病毒資料庫掃毒。
    可以加參數,例如
    --tempdir=/tmp/clamav (指定tmp位址,因為他掃毒之前會先產生很大的tmp file)
    --database=/home/clamav/database (指定資料庫位置,說不定有人喜歡有很多份病毒特徵檔)

關於病毒特徵檔更新前可以先去網站抓
main.cvd
dsily.cvd
兩個檔案然後再更新,當然之前下載下來的那包code裡面也有,不過比較舊,就放在
clamav-0.94.1/database/

就算都沒有他也會直接抓,有的話他會使用diff的方式幫你更新病毒碼
(他X的會失敗耶 囧> 可惡!!!)

---
詳細的clamd.conf
(example 都寫的很詳細了)

特別的是關於
files 部分

可以開關要不要掃瞄特定檔案
#Executable files
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes

#Documents
ScanOLE2 yes
ScanPDF yes

#Mail files
ScanMail yes
MailFollowURLs no
ScanPartialMessages no
PhishingSignatures yes
PhishingScanURLs yes
PhishingAlwaysBlockSSLMismatch no
PhishingAlwaysBlockCloak no
HeuristicScanPrecedence yes

以上是預設值喔
---
Data Loss Prevention (DLP) (沒試過)
亂七八糟帶過
--
#HTML
ScanHTML yes

#Archives
ScanArchive yes
ArchiveLimitMemoryUsage no (yes的話就會較慢但是記憶體使用效率會好一點)
ArchiveBlockEncrypted no (yes的話加密檔案會被視為可疑病毒)

再來是功能微調(他是說調一調比較不會被DoS塞爆小菊花,0 就是不設限)
MaxScanSize 100M (最大資料量檢查)
MaxFileSize 25M (檔案超過這個不檢查)
MaxRecursion 16 (壓縮再壓縮檢查的層數)
MaxFiles 10000 (最多檢查的數量)

阿還有clamuko
我也沒試過.........
ClamAV裝來是要跟samba結合的,以後mail server在玩吧。