ClamAVでウイルス対策

Linux

はじめに

オープンソースのウイルス対策ソフトとして有名なClamAVをRocky Linuxへ導入した際の手順です。
備忘録的な意味合いもかねて記載しておきます。

(無料で使えるウイルス対策ソフトですが、それなりにバグも多く利用する際は注意が必要です)

※過去記事でRockyLinuxのインストール手順もあるのでご参考にどうぞ
https://tech-blog.floppy.jp/wordpress/rockylinux/

環境

OS:Rocky Linux 9 (VirtualBox上の仮想マシン)

ClamAVインストール&設定

サクッとインストールを進めていきます。
設定内容もそこまで難しいものはないので、サクサク進めていきます。

ClamAVインストール

EPELリポジトリを追加する

# yum install epel-release
...
Installed:
  epel-release-9-4.el9.noarch

ClamAVと関連パッケージをインストールする

# yum install clamav clamav-update
...
Installed:
  clamav-0.103.8-3.el9.x86_64  clamav-filesystem-0.103.8-3.el9.noarch  
  clamav-lib-0.103.8-3.el9.x86_64  clamav-update-0.103.8-3.el9.x86_64                         libprelude-5.2.0-9.el9.x86_64        libtool-ltdl-2.4.6-45.el9.x86_64

ウイルス定義ファイルの更新設定

ウイルス定義ファイルの更新については下記のファイルで設定をしています。
設定を変更する箇所のみ抜粋していきます。

# vi /etc/freshclam.conf
...
# Log time with each message.
# Default: no
LogTime yes   ★←コメントアウト解除
...
# database.clamav.net is now the primary domain name to be used world-wide.
# Now that CloudFlare is being used as our Content Delivery Network (CDN),
# this one domain name works world-wide to direct freshclam to the closest
# geographic endpoint.
# If the old db.XY.clamav.net domains are set, freshclam will automatically
# use database.clamav.net instead.

DatabaseMirror db.jp.clamav.net   ★←追記
DatabaseMirror database.clamav.net
...

LogTime yes:ログ出力に時間を表示させる
DatabaseMirror db.jp.clamav.net:日本DBミラーサイトを指定する

ウイルス定義ファイルを最新化するため、下記コマンドを実行します。

# freshclam

ウイルス検知確認

確認用のウイルスファイル(eicarファイル)を配置して実際に検知されるか確認します。
まずeicarファイルのダウンロードをする。

# wget https://secure.eicar.org/eicar.com

続いて実際にウイルススキャンを実施してみる。

# clamscan -ir
/root/eicar.com: Win.Test.EICAR_HDB-1 FOUND  ★←ウイルスファイルのパス

----------- SCAN SUMMARY -----------
Known viruses: 8661218
Engine version: 0.103.8
Scanned directories: 1
Scanned files: 10
Infected files: 1  ★←ウイルスファイルの数
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 28.551 sec (0 m 28 s)
Start Date: 2023:04:10 17:40:55
End Date:   2023:04:10 17:41:23

先ほどダウンロードしたeicarファイルが無事(?)ウイルス検知されていることが確認できた。
※ -i:ウイルス検知ファイルのみ表示、-r:再帰的に検査


とはいえただウイルスがあることを知るだけでは意味がなく、ウイルスファイルを検知した際にそのファイルをどうするかが大切です。
clamscanコマンドにオプションに「remove」や「move=DIRECTORY」を指定することで、
ファイル削除や隔離ができるので用途に合わせて使用してください。

おわり

今回は手動でclamscanコマンドを実行しウイルス検査を実施する手順を記載しました。
実際に運用する中ではいちいち手動で実行するのはナンセンスなので、
スクリプトを用意してcron仕込む等の工夫が必要になります。(=定期スキャン)

また、ClamAVではリアルタイムスキャンの実施も可能です。(調べてください)

コメント

タイトルとURLをコピーしました