home-harmening:sicherheit:antivirus:clamav:clamav_installieren

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
home-harmening:sicherheit:antivirus:clamav:clamav_installieren [2024/11/04 10:30] charmeninghome-harmening:sicherheit:antivirus:clamav:clamav_installieren [2024/11/04 17:17] (aktuell) charmening
Zeile 51: Zeile 51:
 <code Bash> <code Bash>
 ... ...
-Bytecode true +# Maximale Dateigröße 
-BytecodeSecurity TrustSigned +OnAccessMaxFileSize 2000M 
-BytecodeTimeout 60000 + 
-OnAccessMaxFileSize 4000M +# SOll die Datei geblockt werden wenn entwas gefunden wurde 
-OnAccessPrevention yes+OnAccessPrevention no 
 + 
 +# Diese Ordner werden überprüft
 OnAccessIncludePath /home OnAccessIncludePath /home
 +OnAccessIncludePath /tmp
 +OnAccessIncludePath /var/www
 +
 +# Keine Dateien prüfen die root ider clamav gehören
 OnAccessExcludeUname clamav OnAccessExcludeUname clamav
 +OnAccessExcludeRootUID true
 +
 +# Temp Ordner für clamav
 TemporaryDirectory /var/clamav/tmp TemporaryDirectory /var/clamav/tmp
 +
 ... ...
 </code> </code>
 +\\
 +ClamAV Daemon neu starten
 +<code Bash>systemctl clamav-daemon</code>
 \\ \\
 Ein kompletter Systemscan durch eintragen von **OnAccessIncludePath /** ist nicht möglich, da ClamAV z.B. nicht auf socket Dateien und dergleichen zugreifen kann. Bei so einer Eintragung wird der Dienst nicht starten. Ein kompletter Systemscan durch eintragen von **OnAccessIncludePath /** ist nicht möglich, da ClamAV z.B. nicht auf socket Dateien und dergleichen zugreifen kann. Bei so einer Eintragung wird der Dienst nicht starten.
Zeile 70: Zeile 83:
 \\ \\
 <code Bash>mkdir -p /var/clamav/tmp && chown -R clamav:root /var/clamav && chmod 770 /var/clamav</code> <code Bash>mkdir -p /var/clamav/tmp && chown -R clamav:root /var/clamav && chmod 770 /var/clamav</code>
 +\\
 +Nach der Konfiguration kann der onAccess gestartet werden
 +<code Bash>clamonacc</code>
 +\\
 +Ein automatischen start kann man mittels eines Systemd Daemon erreichen. Dazu muss ein entsprechender Service definiert werden.
 +<code Bash>nano /etc/systemd/system/clamonacc.service</code>
 +<code Bash>
 +# /etc/systemd/system/clamonacc.service
 +[Unit]
 +Description=ClamAV On Access Scanner
 +Requires=clamav-daemon.service
 +After=clamav-daemon.service syslog.target network.target
 +
 +[Service]
 +Type=simple
 +User=root
 +ExecStart=/usr/sbin/clamonacc --fdpass -F --log=/var/log/clamav/clamonacc --move=/root/quarantine
 +Restart=on-failure
 +RestartSec=120s
 +
 +[Install]
 +WantedBy=multi-user.target
 +</code>
 +<code Bash>systemctl daemon-reload</code>
 +<code Bash>systemctl enable clamonacc.service</code>
 +<code Bash>systemctl start clamonacc.service</code>
 +\\
 +Hier wird als root der clamonacc Service gestartet. Die Meldungen werden in einem eigenen Logfile /var/log/clamav/clamonacc gespeichert. Infizierte Dateien werden nach /root/quarantine verschoben. Hier muss sichergestellt werden, dass das Verzeichnis existiert.
 +<code Bash>mkdir -p /root/quarantine && chown root: /root/quarantine && chmod 750 /root/quarantine</code>
 +\\
  
 +==== Test ====
 +Um einen Virenscanner gefahrlos testen zu können gibt des das EICAR Testfile. Es ist eine Zeichenfolge auf die jeder Virenscanner anspringen muss. Hierzu wird einfach eine Datei mit dem passenden Inhalt erstellt.
 +<code Bash>echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /tmp/eicartestfile</code>
 +Es sollte sofort der Virenscanner anspringen und die Datei in die Quarantäne verschieben. Eine Meldung sollte im Logfile unter /var/log/clamav/clamonacc erscheinen.
 +\\ \\
 +==== Fehlersuche ====
 +Der onAccess Scan kann auch gedebugged werden, indem der Befehl
 +<code>clamonacc --foreground --verbose</code>
 +ausgeführt wird