Установка ClamAV в CentOS 8
Clam AntiVirus (ClamAV) — это свободное программное обеспечение, кроссплатформенный антивирусный набор с открытым исходным кодом, способный обнаруживать многие типы вредоносных программ, включая вирусы. Одно из его основных применений — на почтовых серверах в качестве серверного сканера почтовых вирусов. ClamAV включает в себя ряд утилит: сканер командной строки, средство автоматического обновления баз данных и масштабируемый многопоточный демон, работающий на антивирусном движке из общей библиотеки.
Установка EPEL Repo
Прежде всего, необходимо установить EPEL:
Установка ClamAV
Где clamav — это сам антивирус, clamd — это демон необходимый для работы антивируса.
Настройка SElinux для ClamAV
Настройте ClamAV с помощью SELinux и дайте ему доступ ко всем вашим файлам с помощью следующей команды:
Обновление сигнатур ClamAV
Теперь используйте следующую команду для получения последних сигнатур антивируса.
Настройка обновления через прокси
для обновления через прокси, в файл freshclam.conf, необходимо добавить следующие строки
Конфигурация ClamAV
Необходимо найти параметр ‘LocalSocket’ в файле /etc/clamd.d/scan.conf и включить его, чтобы мы могли использовать ClamAV.
Используйте следующую команду для включения этого параметра.
так же рекомендуется удалить конфигурацию по умолчанию
Аналогично, настраиваем freshclam
Создание системной службы ClamAV
Создайте службу systemd для ClamAV и настройте ее на автоматический запуск.
добавьте следующие строки в файл freshclam.service и сохраните изменения.
Запуск и включение служб
Все было установлено и настроено, теперь пришло время включить все службы при загрузке.
Сканирование на вирусы с помощью ClamAV
Для того что бы проверить вручную один файл или группу файлов запускаем следующую утилиту:
Обновление ClamAV через proxy
Нередко случается, что на рабочей станции или сервере Linux с работающим антивирусом ClamAV нет прямого подключения к интернету, а обновлять ClamAV нужно. В случае, если в вашей сети развернут proxy-сервер (например SQUID) то можно настроить обновление через Proxy.
За обновление ClamAV отвечает отдельная служба(демон) — FreshClam, которая устанавливается вместе с ClamAV’ом.
Чтобы получать обновления через Proxy — сервер вашей сети, открываем конфигурационный файл FreshClam, расположенный по адресу /etc/clamav/freshclam.conf, и добавляем в него следующий строки:
В случае если ваш прокси работает без авторизации, то последние две строчки не нужны.
ClamAV запретил обновления антивирусных баз с российских IP-адресов
07-03-2022
Популярный open-source проект ограничил подключения из России к своим серверам для обновления антивирусных баз свободного антивируса ClamAV. Теперь при попытке соединения с https://database.clamav.net поступает HTTP-ошибка 403 – доступ запрещён. Стоит ли говорить, что эффективность антивируса с устаревшими базами сигнатур резко снижается? Особенно страдают серверы корпоративной почты, постоянно атакуемые письмами с вредоносными вложениями. Например, ClamAV встроен в почтовые серверы Zimbra, MDaemon, Proxmox Mail Gateway, может интегрироваться с Postfix и другими. Также этот антивирус встроен в сетевые накопители и системы хранения данных Qnap и Asustor, применяется в шлюзе безопасности Ideco UTM. Существует и Windows-версия приложения – ClamWin.
Чтобы сети и серверы не остались без актуальной антивирусной защиты можно использовать следующий способ для обновления баз:
- Скачайте через Tor или VPN файлы:
http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd
http://database.clamav.net/bytecode.cvd - Поместите их в папку ClamAV\db (наименование может незначительно отличаться в зависимости от используемой ОС).
- Перезапустите сервис ClamAV.
С российских IP запрещён доступ не только к обновлениям, но ко всему домену clamav.net
Обновление баз ClamAV, российское зеркало
Скачать последние обновления антивирусных баз можно с российского зеркала (ClamAV mirror):
Обновление антивирусных баз ClamAV в условиях блокировки
ClamAV – популярный open source антивирус, с 2001 года разрабатываемый и поддерживаемый американскими компаниями Cisco Systems и Sourcefire. Несмотря на справедливые нарекания в недостаточной порой оперативности добавления сигнатур новых вирусов в базу он остаётся практически единственной альтернативой пропиентарным антивирусам.
В нашей сети мы используем ClamAV вместе с другими антивирусами для сканирования корпоративной почты на вредоносные вложения, вирусы, трояны. ClamAV понимает архивы и сжатые форматы RAR, Zip, Gzip, Bzip2, MS OLE2, MS Cabinet, MS CHM (сжатый HTML) и MS SZDD.
К сожалению, в начале марта 2022 разработчик решил ограничить доступ к своему сайту для пользователей с российскими IP. Вместе с доступом к сайту clamav.net был запрещён и доступ к файлам обновлений антивируса, размещённых на поддомене database.clamav.net Мы писали об этом в новости «ClamAV запретил обновления антивирусных баз с российских IP-адресов».
Разумеется, эффективность антивируса с устаревшими базами сигнатур резко снижается. Чтобы сети и серверы не остались без актуальной антивирусной защиты можно использовать один из следующих способов обновления баз.