Tabela de Conteúdos
3.6.1 ClamAV
Após a instalação do pacote anti-vírus ClamAV, este pode ser integrado num sistema de filtragem de emails ou ficheiros.
Instalação
root@server:~# apt-get install clamav clamav-docs clamav-daemon clamav-freshclam
Para que o ClamAV possa verificar ficheiros compactados, devem ser também instalados alguns pacotes para descompactar ficheiros:
root@server:~# apt-get install arc arj bzip2 cabextract lzop nomarch p7zip-full pax tnef unrar-free unzip zoo
Se tiver acesso aos 2.2.4 Repositórios “non-free”, é possível instalar mais alguns pacotes:
root@server:~# apt-get install libclamunrar6 unrar
Configuração
A atualização da base de dados de assinaturas de vírus é descarregada da Internet pelo daemon clamav-freshclam 24 vezes ao dia. No entanto, essa periodicidade pode ser alterada no ficheiro /etc/clamav/freshclam.conf:
- /etc/clamav/freshclam.conf
# [...] # Check for new database 24 times a day Checks 24 # [...]
Caso se pretenda utilizar um servidor proxy para aceder à Internet, deve-se alterar a configuração também em /etc/clamav/freshclam.conf:
- /etc/clamav/freshclam.conf
# [...] # HTTPProxyServer proxy.home.lan HTTPProxyPort 3128
Após a instalação, deve ser feita a atualização da base de dados de assinaturas de vírus.
root@server:~# freshclam ClamAV update process started at Sun Apr 26 15:09:26 2015 main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo) daily.cvd is up to date (version: 20381, sigs: 1378340, f-level: 63, builder: neo) bytecode.cvd is up to date (version: 250, sigs: 42, f-level: 63, builder: neo)
Reiniciar o serviço, para ter em conta as alterações de configuração:
server:~# service clamav-freshclam restart
As futuras atualizações serão feitas automaticamente, várias vezes por dia.
Finalmente reiniciar o daemon clamav-daemon:
server:~# service clamav-daemon restart
Verificação
A distribuição debian disponibiliza um pacote de ficheiros de testes “infectados” com uma assinatura de um falso vírus. O clamAV deverá ser capaz de identificar correctamente os ficheiros de teste “infectados”.
Instalar o pacote de testes:
root@server:~# apt-get install clamav-testfiles
Efectuar os testes:
root@server:~# root@server:~# clamscan /usr/share/clamav-testfiles/ /usr/share/clamav-testfiles/clam.ea05.exe: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.bin-be.cpio: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.impl.zip: ClamAV-Test-File FOUND #[...] /usr/share/clamav-testfiles/clam.mail: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.exe.binhex: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.ppt: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.arj: ClamAV-Test-File FOUND ----------- SCAN SUMMARY ----------- Known viruses: 3797021 Engine version: 0.98.6 Scanned directories: 1 Scanned files: 46 Infected files: 46 Data scanned: 13.20 MB Data read: 6.21 MB (ratio 2.12:1) Time: 7.626 sec (0 m 7 s)
A listarem indica os ficheiros pesquisados e a assinatura do falso “vírus” encontrado (ClamAV-Test-File FOUND
) e o sumário indica que foi encontrada a assinatura de “vírus” nos 46 ficheiros verificados.
Testar também o daemon clamdscan:
root@server:~# clamdscan /usr/share/clamav-testfiles/ /usr/share/clamav-testfiles/clam.bz2.zip: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam_IScab_ext.exe: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam-pespin.exe: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.newc.cpio: ClamAV-Test-File FOUND #[...] /usr/share/clamav-testfiles/clam.odc.cpio: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.7z: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam-nsis.exe: ClamAV-Test-File FOUND /usr/share/clamav-testfiles/clam.zip: ClamAV-Test-File FOUND ----------- SCAN SUMMARY ----------- Infected files: 43 Time: 1.357 sec (0 m 1 s)
O anti-vírus está agora pronto para ser usado manualmente ou integrado noutros sistemas e serviços.
O pacote de testes pode agora ser removido:
root@server:~# apt-get remove clamav-testfiles
Para deteção de vírus, podem ser utilizados os comandos clamscan
e clamdscan
. No entanto, a segunda forma clamdscan
é muito mais rápida, uma vez que sendo um daemon, está já carregada em memória, ao contrário do comando clamscan
, que deve ser lido do disco para a memória cada vez que é invocado. (Ver os tempos de execução de um e de outro nos exemplos acima).