ClamavでLinuxのウィルス対策


Clam Antivirus(ClamAV)はLinuxやBSD、Mac OS Xなど各種UNIX系のシステムで動作するアンチウイルスソフトです。

シグネチャによるパターンマッチング方式を採用しており、GPLライセンスに従って利用することができるオープンソースのアンチウィルスソフトウェアです。

市販されているデスクトップ向けのアンチウィルスに搭載されているリアルタイム検出などの、高度な機能はありませんが、IMAPのメールサービスを行っているならば必須と言えるでしょう。

また、検出精度も市販品よりも落ちると思いますが、無いよりはマシです。

clamavのインストール

apt-getでインストールします。

# apt-get install clamav
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています
状態情報を読み取っています... 完了
以下の特別パッケージがインストールされます:
  clamav-base clamav-freshclam libclamav6 libtommath0
提案パッケージ:
  clamav-docs libclamunrar6
以下のパッケージが新たにインストールされます:
  clamav clamav-base clamav-freshclam libclamav6 libtommath0
アップグレード: 0 個、新規インストール: 5 個、削除: 0 個、保留: 24 個。
22.6MB のアーカイブを取得する必要があります。
この操作後に追加で 24.0MB のディスク容量が消費されます。
続行しますか [Y/n]? y
取得:1 http://ftp.jp.debian.org lenny/main libtommath0 0.39-3 [52.6kB]
取得:2 http://volatile.debian.org lenny/volatile/main libclamav6 0.95.1+dfsg-1volatile2 [561kB]
取得:3 http://volatile.debian.org lenny/volatile/main clamav-base 0.95.1+dfsg-1volatile2 [21.4MB]
取得:4 http://volatile.debian.org lenny/volatile/main clamav-freshclam 0.95.1+dfsg-1volatile2 [276kB]
取得:5 http://volatile.debian.org lenny/volatile/main clamav 0.95.1+dfsg-1volatile2 [266kB]
22.6MB を 25s で取得しました (887kB/s)
パッケージを事前設定しています ...
未選択パッケージ libtommath0 を選択しています。
(データベースを読み込んでいます ... 現在 107583 個のファイルとディレクトリがインストールされています。)
(.../libtommath0_0.39-3_i386.deb から) libtommath0 を展開しています...
未選択パッケージ libclamav6 を選択しています。
(.../libclamav6_0.95.1+dfsg-1volatile2_i386.deb から)  libclamav6 を展開しています...
未選択パッケージ clamav-base を選択しています。
(.../clamav-base_0.95.1+dfsg-1volatile2_all.deb から) clamav-base を展開しています...
未選択パッケージ clamav-freshclam を選択しています。
(.../clamav-freshclam_0.95.1+dfsg-1volatile2_i386.deb から) clamav-freshclam を展開してい ます...
未選択パッケージ clamav を選択しています。
(.../clamav_0.95.1+dfsg-1volatile2_i386.deb から) clamav を展開しています...
man-db のトリガを処理しています ...
libtommath0 (0.39-3) を設定しています ...
libclamav6 (0.95.1+dfsg-1volatile2) を設定しています ...
clamav-base (0.95.1+dfsg-1volatile2) を設定しています ...
clamav-freshclam (0.95.1+dfsg-1volatile2) を設定しています ...
Starting ClamAV virus database updater: freshclam.
clamav (0.95.1+dfsg-1volatile2) を設定しています ...
#

以上でClamAVのインストールは終了です。

ウィルスデータベースの更新

ClamAVをインストールすると、freshclamというプロセスが起動します。

# ps -ef | grep clam
clamav   10162     1  1 10:03 ?        00:00:02 /usr/bin/freshclam -d --quiet

-d --- デーモンモード --quiet --- エラーメッセージ以外は出力しない

このままの状態でも1時間毎にウィルスデータベースの更新が自動で行われます。
データベース自体は/var/lib/clamav下のdaily.cvdとmain.cldになります。
ログは/var/log/clamav/freshclam.logになります。

# ls -l /var/lib/clamav
合計 46720
-rw-r--r-- 1 clamav clamav   694918 2009-06-03 10:03 daily.cvd
-rw-r--r-- 1 clamav clamav 47079936 2009-06-03 10:03 main.cld
-rw------- 1 clamav clamav      312 2009-06-03 10:03 mirrors.dat
#

/etc/clamav/freshclam.confが設定ファイルになりますが、特にいじる必要はありません。

# cat freshclam.conf
# Automatically created by the clamav-freshclam postinst
# Comments will get lost when you reconfigure the clamav-freshclam package

DatabaseOwner clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogVerbose false
LogSyslog false
LogFacility LOG_LOCAL6
LogFileMaxSize 0
LogTime no
Foreground false
Debug false
MaxAttempts 5
DatabaseDirectory /var/lib/clamav/
DNSDatabaseInfo current.cvd.clamav.net
AllowSupplementaryGroups false
PidFile /var/run/clamav/freshclam.pid
ConnectTimeout 30
ReceiveTimeout 30
ScriptedUpdates yes
CompressLocalDatabase no
NotifyClamd /etc/clamav/clamd.conf
# Check for new database 24 times a day
Checks 24
DatabaseMirror db.local.clamav.net
DatabaseMirror database.clamav.net
#

ClamAVのウィルススキャン

ClamAVでのウィルススキャンはclamscanコマンドを使用します。

  • clamscan :カレントディレクトリをスキャン
  • clamscan file :fileをスキャン
  • clamscan -r /home :/homeディレクトリ配下の全ファイルをスキャン
  • clamscan -r –mbox /var/spool/mail :メールスプールをスキャン
  • –help ヘルプを表示する
    -v 詳細な結果を表示する
    -l ファイル名 ファイル名で指定したファイルに結果を保存する
    -i ウイルスに感染しているファイルのみを表示する。このオプションを指定しない場合、全ファイルの結果が表示される
    –bell ウイルスに感染したファイルがある場合ベルを鳴らす

きちんとウィルスが発見できるかテストをしてみます。
無害なテスト用ウィルスが用意されているのでwgetで適当なディレクトリに落としてきて、clamscanを実行してみます。

# wget http://www.eicar.org/download/eicar.com
--2009-06-03 15:12:40--  http://www.eicar.org/download/eicar.com
www.eicar.orgをDNSに問いあわせています... 88.198.38.136
www.eicar.org|88.198.38.136|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 68 [application/x-msdos-program]
`eicar.com' に保存中

100%[==========================================================>] 68          --.-K/s 時間 0s     

2009-06-03 15:12:41 (4.94 MB/s) - `eicar.com' へ保存完了 [68/68]

# ls
eicar.com
# clamscan
eicar.com: Eicar-Test-Signature FOUND        ←検出されたテスト用ウィルス

----------- SCAN SUMMARY -----------
Known viruses: 570849
Engine version: 0.95.1
Scanned directories: 1
Scanned files: 1
Infected files: 1                             ←ウィルスの検出数
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 2.120 sec (0 m 2 s)
#

見事Eicar-Testウィルスを検知できました。
後はcronで定期的に実行させてウィルスに備えましょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


8 + = 17

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>