照慣例
這是官方網站: http://www.clamav.net/
本來今天要開會,結果還好我不是PL可以暫時不用參加冗長的會議,積了很多東西,這次就來紀錄一下clamav
這套很好用喔~~喔拉喔拉喔拉 <==明明就沒用過幾次
首先防毒軟體首重!! 新、快、狠!!!三字訣
所以這次就不要使用好用到靠北的aptitude來安裝clamAV
(好像是0.94板,雖然ㄧ樣可以用,而且按一下就好嚕...)<==狂推銷
到官方網站下載
0.94.1 板
ㄧ樣
#tar xzvf 壓縮檔
#./configure
#make
#make install
就這樣步驟把它裝好(這已經是老梗步驟了)
有三支重要的指令(其實是四個...管他囧)
- clamd
主程式執行,會去讀
/etc/clamav/clamd.conf
關於這個設定檔
有底下類似內容
LogFile <想放的log路徑>
PidFile /var/run/clamd.pid
TemporaryDirectory /tmp/clamav
DatabaseDirectory <放的病毒資料庫路徑>
LocalSocket /tmp/clamd.socket
User clamav (ㄧ定要有這個使用帳號喔,通常會自動有啦...通常,我的工作常常都不通常,棍!!!)
- freshclam
這是用來更新病毒資料庫的指令
他會去讀/etc/clamav/freshclam.conf
關於這個檔案嘛類似下面
DatabaseDirectory <放的病毒資料庫路徑>(記得跟clamd.confㄧ樣)
UpdateLogFile <放log路徑>
PidFile <唉....就pid路徑>
DatabaseOwner clamav
DatabaseMirror database.clamav.net
NotifyClamd /etc/clamav/clamd.conf (這很重要喔,更新完之後他會重新呼叫clamd然後去讀這份conf檔) - clamscan
用來掃毒的命令,好啦好啦還有一個clamdscan,都差不多(多了一個D!!!)
叫用的時候他就會去讀病毒資料庫掃毒。
可以加參數,例如
--tempdir=/tmp/clamav (指定tmp位址,因為他掃毒之前會先產生很大的tmp file)
--database=/home/clamav/database (指定資料庫位置,說不定有人喜歡有很多份病毒特徵檔)
關於病毒特徵檔更新前可以先去網站抓
main.cvd
dsily.cvd
兩個檔案然後再更新,當然之前下載下來的那包code裡面也有,不過比較舊,就放在
clamav-0.94.1/database/
就算都沒有他也會直接抓,有的話他會使用diff的方式幫你更新病毒碼
(他X的會失敗耶 囧> 可惡!!!)
---
詳細的clamd.conf
(example 都寫的很詳細了)
特別的是關於
files 部分
可以開關要不要掃瞄特定檔案
#Executable files
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
#Documents
ScanOLE2 yes
ScanPDF yes
#Mail files
ScanMail yes
MailFollowURLs no
ScanPartialMessages no
PhishingSignatures yes
PhishingScanURLs yes
PhishingAlwaysBlockSSLMismatch no
PhishingAlwaysBlockCloak no
HeuristicScanPrecedence yes
以上是預設值喔
---
Data Loss Prevention (DLP) (沒試過)
--
#HTML
ScanHTML yes
#Archives
ScanArchive yes
ArchiveLimitMemoryUsage no (yes的話就會較慢但是記憶體使用效率會好一點)
ArchiveBlockEncrypted no (yes的話加密檔案會被視為可疑病毒)
再來是功能微調(他是說調一調比較不會被DoS塞爆
MaxScanSize 100M (最大資料量檢查)
MaxFileSize 25M (檔案超過這個不檢查)
MaxRecursion 16 (壓縮再壓縮檢查的層數)
MaxFiles 10000 (最多檢查的數量)
阿還有clamuko
我也沒試過.........
ClamAV裝來是要跟samba結合的,以後mail server在玩吧。
沒有留言:
張貼留言