ClamAV: Bistveni odprtokodni antivirus za Linux in strežnike

  • ClamAV je brezplačen protivirusni program z odprto kodo, idealen za GNU/Linux, strežnike in mešane sisteme.
  • Njegova baza podatkov se nenehno posodablja zaradi velike skupnosti in strokovne podpore.
  • Omogoča načrtovano skeniranje, integracijo v poštne strežnike, napredno administracijo in prilagajanje glede na potrebe.
Pablinux

10 minut

ClamAV

Računalniška varnost je v današnjem digitalnem okolju vse bolj aktualna tema. Zaščita pred virusi, trojanci in drugimi grožnjami je postala prednostna naloga tako za zasebne uporabnike kot za podjetja. Ohranjanje varnosti sistemov je ključnega pomena za preprečevanje izgube podatkov, varnostnih kršitev ali prekinitev storitev. V zvezi s tem je pomembno imeti trdna in zanesljiva orodja, kot so ClamAV je bistvenega pomena za učinkovito zaščito.

Eden najbolj znanih in široko uporabljenih odprtokodnih protivirusnih programov v sistemih Linux in Unix je prej omenjeni ClamAV. Čeprav si je ustvaril sloves prednostne rešitve za poštne strežnike in sisteme GNU/Linux, je njegov doseg veliko širši in sega v Windows in macOS. Če želite izvedeti več o ClamAV, Kako deluje, kje blesti in kako ga lahko izkoristiteNadaljujte z branjem, saj vam bomo povedali VSE, do najmanjših podrobnosti.

Kaj je ClamAV in od kod prihaja?

ClamAV je odprtokodni protivirusni program, licenciran pod licenco GPLv2, je namenjen odkrivanju in odstranjevanju virusov, trojanskih konjev, zlonamerne programske opreme in druge zlonamerne programske opreme. Projekt, ki izvira iz Poljske, je leta 2001 začel Tomasz Kojm in se je postopoma razvijal v merilo pri zaščiti predvsem strežnikov in sistemov, ki temeljijo na GNU/Linuxu. Leta 2007 je bila razvojna ekipa integrirana v Sourcefire, kasneje, leta 2013, pa je postala del podjetja Cisco, kjer jo zdaj vzdržuje njegova divizija za kibernetsko varnost Talos.

ClamAV že od svoje ustanovitve zagovarja sodelovalno, odprto in pregledno filozofijo, ki mu je prinesla podporo univerz, korporacij ter globalne skupnosti uporabnikov in razvijalcev. Ta velika skupnost zagotavlja hiter odziv na nove grožnje in virusno bazo podatkov, ki se nenehno posodablja..

Tehnične značilnosti: kaj ga dela posebnega?

ClamAV je programiran predvsem v C in C++Uradno je na voljo za več operacijskih sistemov, vključno z GNU/Linux, Windows, FreeBSD, OpenBSD, Solaris in macOS, kar omogoča njegovo uporabo v najrazličnejših okoljih. Pomembno je omeniti, da čeprav se pogosto uporablja v GNU/Linuxu, obstajajo tudi grafični vmesniki in različice, prilagojene vsakemu sistemu:

  • KlamAV za okolja KDE.
  • ClamXav za macOS.
  • ClamWin za Windows.
  • Kapitan, novejši in katerega cilj je nadomestiti ClamTK.

Arhitektura ClamAV-a je modularno, skalabilno in prilagodljivoNjegova glavna moč je v tem, večnitno jedro in uporabo procesa daemon (clamav-daemon), ki pospeši skeniranje in omogoči hkratno analizo več datotek in imenikov, ne da bi pri tem upočasnil sistem.

Glavne funkcije in pripomočki

ClamAV Prvotno je bil zasnovan za skeniranje e-poštnih sporočil in prilog, zato se pogosto uporablja na e-poštnih strežnikih za odkrivanje in preprečevanje širjenja zlonamerne programske opreme prek e-pošte. Sčasoma so se njegove aplikacije razširile in trenutno omogoča:

  • Izvajajte skeniranje na zahtevo ali načrtovano skeniranje datotek, imenikov in celo celotnih sistemov
  • Spremljanje dostopa do datotek v realnem času (v GNU/Linuxu), takojšnje zaznavanje in karantena okuženih datotek
  • Samodejna posodobitev baze virusnih podpisov prek storitve FreshClam
  • Skeniranje datotek in stisnjenih arhivov v najrazličnejših formatih, kot so ZIP, RAR, ARJ, TAR, GZ, BZ2, MS OLE2, CHM, CAB, BinHex, SIS ali AutoIt, med drugim
  • Podpora za večino e-poštnih in posebnih formatov datotek (HTML, RTF, PDF, uuencode, TNEF itd.)
  • Karantena in ravnanje z lažno pozitivnimi rezultati

Njegova široka združljivost s formati in osredotočenost na hitrost in učinkovitost (več kot 850.000 navedenih podpisov) naredijo ClamAV je robustna rešitev tudi za poslovna in kritična okolja.

Zakaj uporabljati ClamAV v Linuxu?

Čeprav obstaja pogosto zmotno prepričanje, da sistemi GNU/Linux "nimajo virusov", je resničnost taka, da grožnje obstajajo, čeprav manj pogosto kot v sistemu Windows. Vloga ClamAV-a v Linuxu Običajno je bolj povezano s preventivnim in zaščitnim delom drugih sistemov.:

  • Če delite datoteke ali pošiljate e-pošto s sistemi Windows na vašem strežniku Linux, ClamAV zazna grožnje, ki lahko vplivajo na te računalnike, tudi če vaš Linux ni neposredno ogrožen.
  • V poslovnem okolju lahko pridobitev varnostnih certifikatov zahteva protivirusno zaščito, ne glede na operacijski sistem.
  • Zaznajte okužbe v prenesenih, deljenih ali prenesenih datotekah in se tako izognite temu, da bi postali nevede kanal za širjenje zlonamerne programske opreme.

ClamAV pomaga ustaviti širjenje zlonamernih datotek in zagotavlja varnostne standarde tudi v sistemih, ki tradicionalno veljajo za varnejše.

Namestitev in zagon programa ClamAV

Namestitev ClamAV-a na katero koli distribucijo GNU/Linux je zelo preprosta, saj jo večina vključuje v svoje uradne repozitorije. Debian, Ubuntu, CentOS, RHEL in derivati ​​omogočajo namestitev z enim samim ukazom:

  • V Ubuntuju/Debianu: sudo apt-get install clamav clamav-daemon.
  • V sistemu CentOS/RHEL: sudo yum install clamav (zahteva omogočen repozitorij EPEL).
  • Lok: sudo pacman -S clamav.

El paquete clamav-daemon Za protivirusni program je bistveno, da deluje kot storitev v ozadju (daemon), kar omogoča samodejno skeniranje v realnem času.

Nadgradnja baze podatkov

Ko je nameščen, je prvi ključni korak posodobite bazo virusov z sudo freshclam. To samodejno prenese in uporabi najnovejše podpiseStoritev freshclam privzeto izvaja posodobitve vsako uro, kar zagotavlja, da je ClamAV vedno pripravljen zaznati najnovejše grožnje.

Zaženite in omogočite demona

Po namestitvi in ​​posodobitvi ter po želji morate omogočite in zaženite demon ClamAV:

  • Omogoči: sudo systemctl enable clamav-daemon
  • Začetek: sudo systemctl start clamav-daemon

Pomembno si je zapomniti, da čeprav je storitev morda prikazana kot »aktivna«, morda še vedno inicializiraČe po zagonu prehitro zaženete ukaze, kot je clamdscan, lahko pride do začasnih napak. Za informacije o tem, kako bolje zaščititi sistem, glejte varnostna orodja v Linuxu.

Pripravljenost demona lahko preverite s preverjanjem prijave. /var/log/clamav/clamav.log ali preverjanje obstoja vtičnice v /var/run/clamav/clamd.ctl.

Konfiguracija po meri in priporočene nastavitve

Ko je ClamAV zagnan, je dobro prilagoditi nekaj parametrov, da se izognete napakam in ga kar najbolje izkoristite. Za izboljšanje integracije in lažje upravljanje si lahko preberete več o .

  • Skeniranje kot root in uporaba –fdpassClamAV privzeto uporablja uporabnika 'clamav', ki nima dostopa do vseh datotek. Za celovito skeniranje morate ukaze zagnati kot root ali uporabiti sudo in dodati možnost --fdpass.
  • Izogibajte se opozorilom v posebnih imenikihImeniki, kot so /proc, /sys, /run, /dev, /snap, /var/lib/lxcfs/cgroup, /var/spool/postfix/private|public|dev lahko ustvarijo opozorila, ker vsebujejo vtičnice ali posebne datoteke, ki jih ni mogoče razčleniti. Izključite jih lahko z direktivo IzključiPot en /etc/clamav/clamd.conf.
  • Rekurzija v ugnezdenih imenikihČe ima sistem veliko vgnezdenih imenikov, je lahko dosežena omejitev rekurzije (privzeto 30). Preverite lahko, koliko ravni gnezdenja obstaja, in razširite parameter. MaxDirectoryRecursion če je potrebno.
  • Paralelizacija in hitrost: Privzeto se uporablja samo en proces. Vključuje možnosti --fdpass --multiscan izkoristiti več jeder in pospešiti analizo.

Praktični primeri uporabe

  • Skeniranje določenega imenika ali datoteke: clamscan -r /ruta/del/directorio ('-r' rekurzivno pregleduje)
  • Analiza celotnega sistema: clamscan -r / (lahko traja nekaj časa, odvisno od velikosti diska)
  • Prikaži samo okužene datoteke: clamscan --infected
  • Pošlji okužene datoteke v karanteno: clamscan --move=/ruta/cuarentena

Za okolja z velikimi količinami informacij je priporočljiva uporaba skeniranje z kladivami skupaj z demonom, saj je veliko hitrejši od samostojnega clamscan-a.

Avtomatizacija pregledov in posodobitev

Ena od prednosti ClamAV-a je enostavnost načrtovanja rednih pregledov, da bo vaš sistem vedno čist. Na voljo sta dve glavni možnosti avtomatizacije:

  • CronUstvarite lahko načrtovana opravila, ki izvajajo preglede dnevno, tedensko ali v katerem koli drugem intervalu, rezultate pa shranijo v dnevniško datoteko za kasnejši pregled.
  • Sistemski časovnikiČe uporabljate sodobno distribucijo, lahko za večjo prilagodljivost izkoristite časovnike systemd (tudi pri naključnih zakasnitvah, da se izognete hkratnim porastom porabe virov na več strežnikih).

Na primer, lahko ustvarite storitev po meri, ki tedensko zažene ukaz za popolno skeniranje in konfigurira samodejno e-poštno obvestilo v primeru napake, vse to pa upravlja systemd.

Napredno upravljanje: obvestila o napakah in prilagajanje

Če želite varnost dvigniti na višjo raven, je to mogoče Prejemajte samodejna e-poštna obvestila o težavah s periodičnimi analizamiČe želite to narediti, preprosto ustvarite skript, ki po vsaki izvedbi zabeleži stanje storitve in vas z orodjem za pošiljanje pošte (kot je mailx ali sendmail) obvesti o morebitnih napakah. Sistem storitev in časovnikov Systemd omogoča elegantno in zelo robustno integracijo te funkcionalnosti.

Poleg tega z podrobni dnevniki ki jih ustvari ClamAV, lahko pregledate zgodovino skeniranja, vidite, kdaj so bile grožnje zaznane, in dodatno prilagodite parametre delovanja in izključitve glede na vašo specifično uporabo sistema.

Licenca in prispevki

ClamAV uživa Licenca GPLv2, kar pomeni, da je njegova uporaba popolnoma brezplačna, tako na osebni kot profesionalni ravni. Njegov odprti razvoj omogoča vsakomur, da prispeva kodo, izboljšave ali dokumentacijo.Poleg tega vključuje izjemne komponente pod združljivimi licencami, kot so Apache, MIT, BSD in LGPL, kar mu daje veliko prilagodljivost in robustnost. Vključuje na primer module, kot so Yara (za pravila po meri), zlib, bzip2, libmspack in druge, ki so vsi bistveni za analizo stisnjenih datotek in kompleksnih vrst zlonamerne programske opreme.

Skupnost ClamAV je zelo aktivna. Dostopate lahko do priročnikov in vodnikov za pisanje podpisov po meri, sodelujete v poštnih seznamih, klepetih Discord in prispevate k izboljšanju projekta prek platform, kot je GitHub.

Različica in razvoj

Izdajni cikel ClamAV je zelo aktiven. Redno se izdajajo stabilne in beta različice, ki odpravljajo napake in dodajajo nove funkcije. Baza podatkov o zlonamerni programski opremi se posodablja večkrat na dan, vse nove funkcije pa so objavljene na uradnem blogu in drugih kanalih skupnosti. Nedavne izdaje vključujejo izboljšano združljivost s sodobnimi arhitekturami (x86_64, ARM64), integracijo z Dockerjem in enostavno namestitev z uporabo paketov, specifičnih za operacijski sistem.

ClamAV je postal dejanski standard na številnih strežnikih Linux in omrežni infrastrukturi podjetij po vsem svetu., zahvaljujoč temu nenehnemu razvoju in hitremu odzivanju na nove grožnje.

ClamAV za razvijalce in skrbnike: Integracija in podpora

Poleg neposredne uporabe kot protivirusni program je ClamAV tudi prilagodljiv in prilagodljiv analitični mehanizem Docker je mogoče enostavno integrirati v korporativne rešitve ali vaša lastna orodja. Tehnična dokumentacija in spletni priročniki zajemajo vse od osnovne namestitve in konfiguracije do ustvarjanja podpisov po meri in napredne analize. Na voljo so posebni pripomočki za delo z Dockerjem, pakirani za vse sisteme, in API, ki omogoča programsko interakcijo z mehanizmom.

Podpora za razvijalce in skrbnike je odlična, od forumov, poštnih seznamov in klepetov skupnosti do obsežne baze podatkov z dokumentacijo in celo sistema za sledenje napakam in zahtevam.

Prednosti in morebitne omejitve ClamAV-a

Moč:

  • 100 % odprtokodno, brezplačno in brez oglaševanja
  • Večplatformski in enostavno integriran
  • Odlična skupnost, stalne posodobitve in zelo hiter odziv na nove grožnje
  • Zmožnost skeniranja najrazličnejših formatov, vključno s kompleksnimi stisnjenimi datotekami
  • Idealno za forenziko, poštne strežnike, deljenje datotek in še več

Možne omejitve:

  • Privzeto ne vključuje naprednih funkcij, značilnih za komercialne rešitve (spletna zaščita, požarni zid, peskovnik itd.).
  • Čeprav je njegovo zaznavanje učinkovito, ga lahko presežejo druge rešitve v segmentu namiznih računalnikov za domače uporabnike, če iščete popolno proaktivno zaščito v realnem času (v Linuxu je zaščita ob dostopu neobvezna in zahteva dodatno konfiguracijo).

Vsekakor oz. ClamAV je zelo učinkovito orodje za hitro odkrivanje zlonamerne programske opreme, zlasti na strežnikih in v skupnih okoljih..

ClamAV Je robustna protivirusna rešitev, prilagodljiv in z živahno skupnostjo, ki stoji za njim. Zaradi svoje sposobnosti prilagajanja skoraj vsakemu okolju in hitrosti, s katero skupnost posodablja svoje podpise, je to ena najboljših možnosti za zaščito sistemov Linux, e-poštnih strežnikov in datotek v skupni rabi. Če iščete brezplačno, zmogljivo in vedno posodobljeno orodje, je ClamAV odličen zaveznik, ki ga je vredno razmisliti.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.