Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- home-harmening:sicherheit:antivirus:clamav:clamav_installieren [2024/10/27 15:54] – angelegt charmening
+++ home-harmening:sicherheit:antivirus:clamav:clamav_installieren [2024/11/04 17:17] (aktuell) – charmening
@@ Zeile 3: / Zeile 3: @@
 \\ \\
 === Installation ====
-<code>apt install clamav clamav-daemon clamav-freshclam</code>
+<code Bash>apt install clamav clamav-daemon clamav-freshclam</code>
 \\ \\
-==== Erster start ====
+==== Der erste Start ====
 {{ :home-harmening:sicherheit:antivirus:clamav:freshclam.png?400|}}
 Zuerst muss freshclam Virensignaturen bekommen. Dazu muss zunächst der Freshclam dienst beendet werden
-<code>systemctl stop clamav-freshclam</code>
+<code Bash>systemctl stop clamav-freshclam</code>
+Ein Update per Hand durchführen
+<code Bash>freshclam</code>
 Freshclam Dienst für automatische Aktualisierungen wieder neu starten
-<code>systemctl start clamav-freshclam</code>
+<code Bash>systemctl start clamav-freshclam</code>
+\\
+Status von ClamAV prüfen
+<code Bash>systectl status clamav-freshclam</code>
+\\
+Von welchem Tag sing meine Virensignaturen
+<code Bash>sigtool --info /var/lib/clamav/daily.cld</code>
+\\
+==== Dateien und Ordner überprüfen ====
+Um Dateien und Ordner zu prüfen wird das Tool clamscan genutzt. \\
+\\
+Datei überprüfen
+<code Bash>clamscan /home/User1/Datei1</code>
+Mehrere Dateien überprüfen
+<code Bash>clamscan /home/User1/Datei2 /home/User2/Datei2 Datei3 ... DateiN</code>
+\\
+Manchmal treten Probleme auf weil der clamav Benutzer nicht genügend Rechte besitzt um die Datei oder den Order zu scannen.\\
+Hierbei hilft die Option **--fdpass**. Damit verwendet clamscan die Rechte die Ihm durch den Benutzer gewährt werden. \\
+\\
+**Optionen**
+|-i --infected|Gibt nur infizierte Dateien aus und nicht alle|
+|--remove|Löscht infinzierte Dateien sofort!|
+|--move=Verzeichnis|Verschiebt alle infizierten Dateien in ein Verzeichnis (Quarantäne)|
+|-r --recursive|Durchsucht auch alle Unterordner|
+|--no-archive|Archivdateien werden nicht gescannt|
+\\
+\\
+==== On Access Scan ====
+Manchmal macht apparmor Probleme und verhindert ein Ausführen von einem OnAccess Scan durch ClamAV. Hierbei kann Apparmor für
+ClamAV in dem complain Modus gesetzt werden.
+Dazu wird das Paket **apparmor-utils** benötigt.
+<code Bash>apt install apparmot-utils</code>
+Apparmor in den complain Modus setzten
+<code Bash>aa-complain /usr/sbin/clamd</code>
+\\
+Die Konfiguration für ClamAV muss hier angepasst werden
+<code Bash>nano /etc/clamav/clamav.conf</code>
+<code Bash>
+...
+# Maximale Dateigröße
+OnAccessMaxFileSize 2000M
+# SOll die Datei geblockt werden wenn entwas gefunden wurde
+OnAccessPrevention no
+# Diese Ordner werden überprüft
+OnAccessIncludePath /home
+OnAccessIncludePath /tmp
+OnAccessIncludePath /var/www
+# Keine Dateien prüfen die root ider clamav gehören
+OnAccessExcludeUname clamav
+OnAccessExcludeRootUID true
+# Temp Ordner für clamav
+TemporaryDirectory /var/clamav/tmp
+...
+</code>
+\\
+ClamAV Daemon neu starten
+<code Bash>systemctl clamav-daemon</code>
+\\
+Ein kompletter Systemscan durch eintragen von **OnAccessIncludePath /** ist nicht möglich, da ClamAV z.B. nicht auf socket Dateien und dergleichen zugreifen kann. Bei so einer Eintragung wird der Dienst nicht starten.
+Stattdessen sollte man sich überlegen, welche Einfallstore für Schadsoftware existieren.
+Hier wären die Home Verzeichnisse der Benutzer, im speziellen das Downloadverzeichnis sowie /tmp wo z.B. vom Browser automatisch Daten abgelegt werden.
+\\
+\\
+Um weiteren Problemen vorzugreifen ist es empfehlenswer ein separaten tmp Ordner für ClamAV zu erstellen und zu konfigurieren.
+\\
+<code Bash>mkdir -p /var/clamav/tmp && chown -R clamav:root /var/clamav && chmod 770 /var/clamav</code>
+\\
+Nach der Konfiguration kann der onAccess gestartet werden
+<code Bash>clamonacc</code>
+\\
+Ein automatischen start kann man mittels eines Systemd Daemon erreichen. Dazu muss ein entsprechender Service definiert werden.
+<code Bash>nano /etc/systemd/system/clamonacc.service</code>
+<code Bash>
+# /etc/systemd/system/clamonacc.service
+[Unit]
+Description=ClamAV On Access Scanner
+Requires=clamav-daemon.service
+After=clamav-daemon.service syslog.target network.target
+[Service]
+Type=simple
+User=root
+ExecStart=/usr/sbin/clamonacc --fdpass -F --log=/var/log/clamav/clamonacc --move=/root/quarantine
+Restart=on-failure
+RestartSec=120s
+[Install]
+WantedBy=multi-user.target
+</code>
+<code Bash>systemctl daemon-reload</code>
+<code Bash>systemctl enable clamonacc.service</code>
+<code Bash>systemctl start clamonacc.service</code>
+\\
+Hier wird als root der clamonacc Service gestartet. Die Meldungen werden in einem eigenen Logfile /var/log/clamav/clamonacc gespeichert. Infizierte Dateien werden nach /root/quarantine verschoben. Hier muss sichergestellt werden, dass das Verzeichnis existiert.
+<code Bash>mkdir -p /root/quarantine && chown root: /root/quarantine && chmod 750 /root/quarantine</code>
+\\
+==== Test ====
+Um einen Virenscanner gefahrlos testen zu können gibt des das EICAR Testfile. Es ist eine Zeichenfolge auf die jeder Virenscanner anspringen muss. Hierzu wird einfach eine Datei mit dem passenden Inhalt erstellt.
+<code Bash>echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /tmp/eicartestfile</code>
+Es sollte sofort der Virenscanner anspringen und die Datei in die Quarantäne verschieben. Eine Meldung sollte im Logfile unter /var/log/clamav/clamonacc erscheinen.
+\\ \\
+==== Fehlersuche ====
+Der onAccess Scan kann auch gedebugged werden, indem der Befehl
+<code>clamonacc --foreground --verbose</code>
+ausgeführt wird