Setting of clamav on my linux box
clamavにてコンピュータウイルス対策をしてみます
bzip2のバージョンアップ
bzip2-1.0.6より古いbzip2をお使いの場合はバージョンアップ
するのが推奨されます(バッファオーバーフロー対応)
binutils, gccのバージョンアップ
clamav-0.102.1をビルドする為に、binutils-2.18.50.0.9, gcc-4.2.4辺りへのバージョンアップが必要であった
binutils-2.18.50.0.9.tar.bz2
- tar xvvf binutils-2.18.50.0.9.tar.bz2
- cd binutils-2.18.50.0.9
- CFLAGS="-O2 -march=i486 -mtune=i686" ./configure --prefix=/usr --enable-shared --enable-64-bit-bfd
- make
- make install
gcc-4.2.4.tar.bz2
- tar xvvf gcc-4.2.4.tar.bz2
- mkdir gcc-4.2.4.obj
- cd gcc-4.2.4.obj
- ../gcc-4.2.4/configure --prefix=/usr --enable-shared --enable-languages=ada,c,c++,fortran,java,objc --enable-threads=posix --enable-__cxa_atexit --disable-checking --with-gnu-ld --verbose
- make bootstrap
- make install
clamav のインストール
- tar xvzf
clamav-0.102.1.tar.gz
- cd clamav-0.102.1
- vipw
ユーザ `clamav' を追加
- vigr
グループ `clamav' を追加
- LDFLAGS="-L/usr/local/ssl/lib" CPPFLAGS="-I/usr/local/ssl/include" ./configure --with-openssl=/usr/local/ssl --with-libjson=/usr/local --with-zlib=/usr/local --with-libcurl=/usr/local
openssl-1.0.xを使っていた時は/usr/local/sslにインストールされていたので、上記のコンフィグでOKだったが、openssl-1.1.xは/usr/localにインストールされるので以下のコンフィグとなる。
LDFLAGS="-L/usr/local/lib" CPPFLAGS="-I/usr/local/include" ./configure --with-openssl=/usr/local --with-libjson=/usr/local --with-zlib=/usr/local --with-libcurl=/usr/local
現時点のconfigureはbzip2のセキュリティホールチェックで誤った警告を表示します
(参
http://www.mail-archive.com/clamav-users@lists.clamav.net/msg30291.html)
checking for CVE-2008-1372... bugged
configure: WARNING: ****** bzip2 libraries are affected by the CVE-2008-1372 bug
configure: WARNING: ****** We strongly suggest you to update to bzip2 1.0.5.
configure: WARNING: ****** Please do not report stability problems to the ClamAV developers!
注意しましょう
追記:configure中の以下の記述(何度か出て来ます)を
ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
以下のように修正すれば、とりあえず警告は出なくなります
ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS conftest.$ac_ext $LDFLAGS $LIBS >&5'
- make
- make install
- ldconfig
clamav の設定
/usr/local/etc/freshclam.conf
定義ファイルを更新する freshclam コマンドの為の
設定を行います
以下の行をコメントにする事で、定義ファイルが有効になります
#Example
以下の行で、定義ファイルの格納ディレクトリを指定します
DatabaseDirectory /usr/local/share/clamav
上記ディレクトリを作成し、所有者を変更する
mkdir /usr/local/share/clamav
chown clamav.clamav /usr/local/share/clamav
以下の行で、定義ファイルを最初に取得しに行くサーバを指定します
DatabaseMirror db.jp.clamav.net
(もし必要なら)以下の行でプロキシ設定を行います
#HTTPProxyServer myproxy.com
#HTTPProxyPort 1234
#HTTPProxyUsername myusername
#HTTPProxyPassword mypass
注意! :
特定のproxyとfreshclamの組合せで、うまく定義ファイルの
取得が出来ない場合があるようです。私の経験では、 squid + freshclam はOK
ですが delegated + freshclam はNGでした。各地で(?)報告されている
問題のようですが、なかなか対策されないようです :<
解決!(2012/03/11) :
長年あきらめていた、delegated経由でfreshclamを実行する件ですが、ひょんな事で解決しました。Skypeを導入した際に同様にうまく繋がらず、いろいろ調べてみると�
REMITTABLE="+,ssltunnel,http,https"
HTTPCONF=methods:*
この2つのパラメータをdelegatedに追加すれば解決して、もしや...と思いfreshclamを実行してみたら無事成功してしまいました(^^)d
/usr/local/etc/clamd.conf
ウイルス検知/駆除デーモン clamd の設定を行います
以下の行をコメントにする事で、定義ファイルが有効になります
#Example
以下の行で、定義ファイルの格納ディレクトリを指定します
DatabaseDirectory /usr/local/share/clamav
使い方
定義ファイルの更新
root@lib100:~# freshclam
ClamAV update process started at Sun Oct 30 09:24:24 2005
main.cvd is up to date (version: 34, sigs: 39625, f-level: 5, builder: tkojm)
daily.cvd is up to date (version: 1149, sigs: 1286, f-level: 6, builder: tomek)
root@lib100:~#
検知/駆除 clamscan
`/home' 以下を検知のみ行う場合
clamscan -i -r /home
`/home' 以下を検知&削除を行う場合
clamscan --remove -r /home
`/home' 以下を検知後、`/tmp/virus/' に移動を行う場合
clamscan --move=/tmp/virus -r /home
戻り値
- 0 : ウイルス無�
- 1 : ウイルス有り
- その他 : エラー発�
検知/駆除 clamdscan & clamd
基本的には clamscan が有れば検知&駆除は出来るのですが、clamscanは起動の
度に定義ファイルを読み込むので、繰り返し起動する場合には実行に時間がかかります
そこで、clamd をデーモンとしてバックグラウンドで実行(このタイミングで
定義ファイル読み込み)しておき、clamd のクライアントである clamdscan で
検知&駆除を実行すると実行時間を短縮できます。ただし、clamd を再起動す
までは定義ファイルの更新が反映されないので、注意が必要です
m-ito@myh.no-ip.org
[更新]