Dies ist eine alte Version des Dokuments!
ClamAV installieren
Clamav ist ein kostenfreier Opensource Antviren Scanner. Dieser Scanner bringt einen einfachen onaccess Scan mit, welcher zuerts konfiguriert werden muss.
Installation
apt install clamav clamav-daemon clamav-freshclam
Der erste Start
Zuerst muss freshclam Virensignaturen bekommen. Dazu muss zunächst der Freshclam dienst beendet werden
systemctl stop clamav-freshclam
Ein Update per Hand durchführen
freshclam
Freshclam Dienst für automatische Aktualisierungen wieder neu starten
systemctl start clamav-freshclam
Status von ClamAV prüfen
systectl status clamav-freshclam
Von welchem Tag sing meine Virensignaturen
sigtool --info /var/lib/clamav/daily.cld
Dateien und Ordner überprüfen
Um Dateien und Ordner zu prüfen wird das Tool clamscan genutzt.
Datei überprüfen
clamscan /home/User1/Datei1
Mehrere Dateien überprüfen
clamscan /home/User1/Datei2 /home/User2/Datei2 Datei3 ... DateiN
Manchmal treten Probleme auf weil der clamav Benutzer nicht genügend Rechte besitzt um die Datei oder den Order zu scannen.
Hierbei hilft die Option –fdpass. Damit verwendet clamscan die Rechte die Ihm durch den Benutzer gewährt werden.
Optionen
| -i –infected | Gibt nur infizierte Dateien aus und nicht alle |
| –remove | Löscht infinzierte Dateien sofort! |
| –move=Verzeichnis | Verschiebt alle infizierten Dateien in ein Verzeichnis (Quarantäne) |
| -r –recursive | Durchsucht auch alle Unterordner |
| –no-archive | Archivdateien werden nicht gescannt |
On Access Scan
Manchmal macht apparmor Probleme und verhindert ein Ausführen von einem OnAccess Scan durch ClamAV. Hierbei kann Apparmor für ClamAV in dem complain Modus gesetzt werden. Dazu wird das Paket apparmor-utils benötigt.
apt install apparmot-utils
Apparmor in den complain Modus setzten
aa-complain /usr/sbin/clamd
Die Konfiguration für ClamAV muss hier angepasst werden
nano /etc/clamav/clamav.conf
... Bytecode true BytecodeSecurity TrustSigned BytecodeTimeout 60000 OnAccessMaxFileSize 4000M OnAccessPrevention yes OnAccessIncludePath /home OnAccessExcludeUname clamav TemporaryDirectory /var/clamav/tmp ...
Ein kompletter Systemscan durch eintragen von OnAccessIncludePath / ist nicht möglich, da ClamAV z.B. nicht auf socket Dateien und dergleichen zugreifen kann. Bei so einer Eintragung wird der Dienst nicht starten.
Stattdessen sollte man sich überlegen, welche Einfallstore für Schadsoftware existieren.
Hier wären die Home Verzeichnisse der Benutzer, im speziellen das Downloadverzeichnis sowie /tmp wo z.B. vom Browser automatisch Daten abgelegt werden.
Um weiteren Problemen vorzugreifen ist es empfehlenswer ein separaten tmp Ordner für ClamAV zu erstellen und zu konfigurieren.
mkdir -p /var/clamav/tmp && chown -R clamav:root /var/clamav && chmod 770 /var/clamav