ClamAV: Ang mahalagang open source antivirus para sa Linux at mga server

  • Ang ClamAV ay isang libre at open-source na antivirus, perpekto para sa GNU/Linux, mga server at mixed system.
  • Ang database nito ay patuloy na ina-update salamat sa isang malaking komunidad at propesyonal na suporta.
  • Pinapayagan nito ang mga naka-iskedyul na pag-scan, pagsasama sa mga mail server, advanced na pangangasiwa, at pagpapasadya ayon sa mga pangangailangan.
Pablinux

10 Minutos

ClamAV

Ang seguridad ng computer ay isang lalong nauugnay na paksa sa digital na kapaligiran ngayon. Ang pagprotekta laban sa mga virus, Trojan, at iba pang mga banta ay naging priyoridad para sa parehong mga pribadong user at negosyo. Ang pagpapanatiling secure ng mga system ay susi sa pag-iwas sa pagkawala ng data, mga paglabag sa seguridad, o mga pagkaantala sa serbisyo. Kaugnay nito, ang pagkakaroon ng matatag at maaasahang mga kasangkapan tulad ng ClamAV ay mahalaga para sa epektibong proteksyon.

Isa sa pinakakilala at malawakang ginagamit na open source na antivirus program sa Linux at Unix system ay ang nabanggit na ClamAV. Bagama't nakagawa ito ng reputasyon bilang ang gustong solusyon para sa mga mail server at GNU/Linux system, mas malawak ang abot nito, na umaabot sa Windows at macOS. Kung naghahanap ka upang matuto nang higit pa tungkol sa ClamAV, Paano ito gumagana, kung saan ito mahusay, at kung paano mo ito masusulitPanatilihin ang pagbabasa dahil sasabihin namin sa iyo ang LAHAT, hanggang sa pinakamaliit na detalye.

Ano ang ClamAV at saan ito nanggaling?

Ang ClamAV ay isang open source antivirus, na lisensyado sa ilalim ng GPLv2, ay naglalayong tuklasin at alisin ang mga virus, Trojans, malware, at iba pang malisyosong software. Orihinal na mula sa Poland, ang proyekto ay sinimulan ni Tomasz Kojm noong 2001, at patuloy na umunlad upang maging isang benchmark sa proteksyon ng pangunahing mga server at system na nakabase sa GNU/Linux. Noong 2007, isinama ang development team sa Sourcefire, at nang maglaon, noong 2013, naging bahagi ito ng Cisco, kung saan ito ngayon ay pinananatili ng cybersecurity division nito, ang Talos.

Mula nang magsimula ito, tinanggap ng ClamAV ang isang collaborative, bukas, at transparent na pilosopiya, na nakakuha ng suporta ng mga unibersidad, korporasyon, at isang pandaigdigang komunidad ng mga user at developer. Tinitiyak ng malaking komunidad na ito ang mabilis na pagtugon sa mga bagong banta at database ng virus na patuloy na ina-update..

Mga teknikal na katangian: ano ang ginagawang espesyal?

Ang ClamAV ay pangunahing naka-program sa C at C++. Ito ay opisyal na magagamit para sa maramihang mga operating system, kabilang ang GNU/Linux, Windows, FreeBSD, OpenBSD, Solaris at macOS, kaya pinapayagan ang paggamit nito sa isang malawak na iba't ibang mga kapaligiran. Mahalagang tandaan na, bagama't malawak itong ginagamit sa GNU/Linux, mayroon ding mga graphical na interface at variant na iniayon sa bawat system:

  • KlamAV para sa mga KDE environment.
  • ClamXav para sa macOS.
  • ClamWin para sa Windows.
  • Kapitan, mas bago at naglalayong pumalit sa ClamTK.

Ang arkitektura ng ClamAV ay modular, scalable at flexibleAng pangunahing lakas nito ay nasa kanya multithreaded core at ang paggamit ng proseso ng daemon (clamav-daemon) na nagpapabilis sa pag-scan, na nagpapadali sa sabay-sabay na pagsusuri ng maramihang mga file at direktoryo nang hindi nagpapabagal sa system.

Pangunahing pag-andar at kagamitan

ClamAV Ito ay orihinal na idinisenyo upang i-scan ang mga email at attachment, kung kaya't malawak itong ginagamit sa mga email server upang matukoy at maiwasan ang pagkalat ng malware sa pamamagitan ng email. Sa paglipas ng panahon, lumawak ang mga application nito, at kasalukuyan itong nagbibigay-daan para sa:

  • Magsagawa ng on-demand o naka-iskedyul na pag-scan sa mga file, direktoryo, at maging sa buong system
  • Real-time na pagsubaybay (sa GNU/Linux) ng pag-access sa file, agarang pagtuklas at pag-quarantine ng mga nahawaang file
  • Awtomatikong pag-update ng database ng lagda ng virus sa pamamagitan ng serbisyo ng FreshClam
  • Pag-scan ng mga file at mga naka-compress na archive sa iba't ibang uri ng mga format tulad ng ZIP, RAR, ARJ, TAR, GZ, BZ2, MS OLE2, CHM, CAB, BinHex, SIS o AutoIt, bukod sa iba pa
  • Suporta para sa karamihan ng email at mga espesyal na format ng file (HTML, RTF, PDF, uuencode, TNEF, atbp.)
  • Quarantine at pamamahala ng mga maling positibo

Ang malawak na format ng compatibility at focus sa bilis at kahusayan (higit sa 850.000 nakalistang lagda) ang gumawa ng ClamAV isang matatag na solusyon kahit para sa negosyo at kritikal na kapaligiran.

Bakit gagamitin ang ClamAV sa Linux?

Bagama't mayroong isang karaniwang maling kuru-kuro na ang mga sistema ng GNU/Linux ay "walang mga virus," ang katotohanan ay, bagama't hindi gaanong madalas kaysa sa Windows, may mga banta. Ang papel ni ClamAV sa Linux Ito ay kadalasang mas nakaugnay sa gawaing pang-iwas at proteksiyon ng ibang mga sistema:

  • Kung nagbabahagi ka ng mga file o nagpapadala ng mga email sa mga Windows system sa iyong Linux server, makikita ng ClamAV ang mga banta na maaaring makaapekto sa mga computer na iyon, kahit na ang iyong Linux ay hindi direktang nakompromiso.
  • Sa kapaligiran ng kumpanya, ang pagkuha ng mga sertipikasyon sa seguridad ay maaaring mangailangan ng isang antivirus layer, anuman ang operating system.
  • Tuklasin ang mga impeksyon sa mga na-download, ibinahagi, o inilipat na mga file, na nag-iwas sa pagiging isang hindi sinasadyang channel para sa pagpapalaganap ng malware.

Tumutulong ang ClamAV na pigilan ang pagkalat ng mga nakakahamak na file at tiyakin ang mga pamantayan sa seguridad kahit na sa mga system na tradisyonal na itinuturing na mas secure.

Pag-install at pagsisimula ng ClamAV

Ang pag-install ng ClamAV sa anumang pamamahagi ng GNU/Linux ay napakasimple, dahil karamihan ay kasama ito sa kanilang mga opisyal na repositoryo. Pinapayagan ng Debian, Ubuntu, CentOS, RHEL at mga derivatives ang isang solong pag-install ng command:

  • Sa Ubuntu/Debian: sudo apt-get install clamav clamav-daemon.
  • Sa CentOS/RHEL: sudo yum install clamav (nangangailangan na pinagana ang repositoryo ng EPEL).
  • Arko: sudo pacman -S clamav.

El paquete clamav-daemon Mahalaga para sa antivirus na gumana bilang isang serbisyo sa background (daemon), kaya pinapayagan ang mga awtomatiko at real-time na pag-scan.

Pag-upgrade ng data base

Kapag na-install, ang unang kritikal na hakbang ay i-update ang database ng virus sa sudo freshclam. Ito awtomatikong nagda-download at naglalapat ng pinakabagong mga lagdaBilang default, gumaganap ang serbisyo ng freshclam mga update bawat oras, tinitiyak na laging handa ang ClamAV na makita ang mga pinakabagong banta.

Simulan at paganahin ang daemon

Pagkatapos ng pag-install at pag-update, at kung ninanais, dapat mong paganahin at simulan ang ClamAV daemon:

  • Paganahin: sudo systemctl enable clamav-daemon
  • Simula: sudo systemctl start clamav-daemon

Mahalagang tandaan na kahit na ang serbisyo ay maaaring lumitaw bilang 'aktibo', maaaring nag-initialize paKung masyadong mabilis kang magpatakbo ng mga command tulad ng clamdscan pagkatapos ng boot, maaari kang makatagpo ng mga pansamantalang error. Para sa isang sanggunian kung paano mas mahusay na protektahan ang iyong system, tingnan mga tool sa seguridad sa Linux.

Maaari mong patunayan na ang daemon ay handa na sa pamamagitan ng pagsuri sa pag-log in /var/log/clamav/clamav.log o pagsuri sa pagkakaroon ng socket in /var/run/clamav/clamd.ctl.

Custom na configuration at inirerekomendang mga setting

Sa sandaling mayroon ka nang ClamAV at gumagana, magandang ideya na ayusin ang ilang parameter upang maiwasan ang mga error at masulit ito. Upang mapabuti ang pagsasama at gawing mas madaling pamahalaan, maaari kang matuto nang higit pa tungkol sa .

  • Nag-scan bilang ugat at gumagamit ng –fdpassBilang default, ginagamit ng ClamAV ang user na 'clamav', na walang access sa lahat ng file. Para sa isang komprehensibong pag-scan, dapat mong patakbuhin ang mga command bilang root o gamitin ang sudo at idagdag ang opsyon --fdpass.
  • Iwasan ang mga babala sa mga espesyal na direktoryo: Mga direktoryo tulad ng /proc, /sys, /run, /dev, /snap, /var/lib/lxcfs/cgroup, /var/spool/postfix/private|public|dev maaaring makabuo ng mga babala dahil naglalaman ang mga ito ng mga socket o mga espesyal na file na hindi ma-parse. Maaari mong ibukod ang mga ito gamit ang direktiba ExcludePath en /etc/clamav/clamd.conf.
  • Recursion sa mga nested na direktoryoKung ang system ay maraming naka-nest na direktoryo, maaaring maabot ang limitasyon ng recursion (default 30). Maaari mong suriin kung gaano karaming mga antas ng nesting ang mayroon at palawigin ang parameter. MaxDirectoryRecursion kung kinakailangan.
  • Parallelization at bilis: Bilang default, isang proseso lamang ang ginagamit. Kasama dito ang mga pagpipilian --fdpass --multiscan upang samantalahin ang maramihang mga core at mapabilis ang pagsusuri.

Mga praktikal na halimbawa ng paggamit

  • Pag-scan ng isang partikular na direktoryo o file: clamscan -r /ruta/del/directorio (Paulit-ulit na nag-scan ang '-r')
  • Pagsusuri ng buong sistema: clamscan -r / (maaaring tumagal ito ng ilang sandali depende sa laki ng disk)
  • Ipakita lamang ang mga nahawaang file: clamscan --infected
  • Ipadala ang mga nahawaang file sa quarantine: clamscan --move=/ruta/cuarentena

Para sa mga kapaligiran na may malalaking volume ng impormasyon, inirerekomendang gamitin clamdscan kasama ang daemon, dahil ito ay mas mabilis kaysa sa standalone clamscan.

Automation ng mga pag-scan at pag-update

Ang isa sa mga bentahe ng ClamAV ay kung gaano kadali ang pag-iskedyul ng mga regular na pag-scan upang mapanatiling malinis ang iyong system sa lahat ng oras. Mayroong dalawang pangunahing mga pagpipilian sa automation:

  • Cron: Maaari kang lumikha ng mga naka-iskedyul na gawain na nagpapatakbo ng mga pag-scan araw-araw, lingguhan, o sa anumang iba pang agwat, na nag-iimbak ng mga resulta sa isang log file para sa pagsusuri sa ibang pagkakataon.
  • Systemd TimerKung gumagamit ka ng modernong pamamahagi, maaari mong samantalahin ang mga systemd timer para sa higit na kakayahang umangkop (kahit na may mga random na pagkaantala upang maiwasan ang sabay-sabay na pagtaas ng paggamit ng mapagkukunan sa maraming server).

Halimbawa, maaari kang lumikha ng isang pasadyang serbisyo na nagpapatakbo ng buong utos ng pag-scan linggu-linggo at nagko-configure ng isang awtomatikong abiso sa email kung sakaling mabigo, lahat ay pinamamahalaan ng systemd.

Advanced na pamamahala: mga abiso ng error at pag-customize

Kung gusto mong dalhin ang seguridad sa susunod na antas, posible Makatanggap ng mga awtomatikong abiso sa email tungkol sa mga problema sa pana-panahong pagsusuriUpang gawin ito, gumawa lang ng script na nagtatala ng katayuan ng serbisyo pagkatapos ng bawat pagpapatupad at gumagamit ng tool sa pag-mail (tulad ng mailx o sendmail) upang ipaalam sa iyo ang anumang mga pagkabigo. Nagbibigay-daan ang mga serbisyo at sistema ng timer ng Systemd para sa elegante at lubos na matatag na pagsasama ng functionality na ito.

Higit pa rito, kasama ang detalyadong mga tala na nabuo ng ClamAV, maaari mong i-audit ang kasaysayan ng pag-scan, tingnan kung kailan natukoy ang mga pagbabanta, at higit pang isaayos ang mga parameter ng pagpapatakbo at pagbubukod batay sa iyong partikular na paggamit ng system.

Lisensya at mga kontribusyon

Tinatangkilik ng ClamAV ang isang Lisensya ng GPLv2, na nangangahulugan na ang paggamit nito ay ganap na libre, parehong sa personal at propesyonal na antas. Ang bukas na pag-unlad nito ay nagbibigay-daan sa sinuman na mag-ambag ng code, mga pagpapabuti o dokumentasyon.. Bilang karagdagan, kabilang dito ang mga pambihirang bahagi sa ilalim ng mga katugmang lisensya tulad ng Apache, MIT, BSD, at LGPL, na nagbibigay dito ng mahusay na kakayahang umangkop at katatagan. Halimbawa, kabilang dito ang mga module gaya ng Yara (para sa mga custom na panuntunan), zlib, bzip2, libmspack, at iba pa, na lahat ay mahalaga para sa pagsusuri ng mga naka-compress na file at kumplikadong mga uri ng malware.

Ang komunidad ng ClamAV ay napaka-aktibo. Maaari mong i-access ang mga manual, gabay para sa pagsulat ng mga custom na lagda, lumahok sa mga mailing list, Discord chat, at mag-ambag sa pagpapabuti ng proyekto sa pamamagitan ng mga platform tulad ng GitHub.

Bersyon at ebolusyon

Napakaaktibo ng ikot ng paglabas ng ClamAV. Regular na inilalabas ang mga stable at beta na bersyon, nag-aayos ng mga bug at nagdaragdag ng mga bagong feature. Ang database ng malware ay ina-update nang maraming beses sa isang araw, at lahat ng mga bagong feature ay inaanunsyo sa opisyal na blog at iba pang mga channel ng komunidad. Kasama sa mga kamakailang release ang pinahusay na compatibility sa mga modernong arkitektura (x86_64, ARM64), pagsasama ng Docker, at kadalian ng pag-install gamit ang mga operating system-specific na package.

Ang ClamAV ay naging de facto na pamantayan sa maraming mga server ng Linux at imprastraktura ng network ng enterprise sa buong mundo., salamat sa patuloy na ebolusyong ito at mabilis na pagtugon sa mga bagong banta.

ClamAV para sa Mga Developer at Administrator: Pagsasama at Suporta

Bilang karagdagan sa direktang paggamit nito bilang isang antivirus, ang ClamAV ay isa ring nako-customize at madaling ibagay sa pagsusuri ng makina Ang Docker ay madaling maisama sa mga solusyon sa korporasyon o sa iyong sariling mga tool. Sinasaklaw ng teknikal na dokumentasyon at mga online na manual ang lahat mula sa pangunahing pag-install at pagsasaayos hanggang sa paggawa ng mga custom na lagda at advanced na pagsusuri. May mga partikular na utility para sa pagtatrabaho sa Docker, naka-package para sa lahat ng system, at isang API na nagbibigay-daan sa programmatic na pakikipag-ugnayan sa engine.

Napakahusay ng suporta para sa mga developer at administrator, mula sa mga forum, mailing list, at mga pakikipag-chat sa komunidad hanggang sa isang komprehensibong database ng dokumentasyon at maging sa isang sistema ng pagsubaybay sa bug at kahilingan.

Mga kalamangan at posibleng limitasyon ng ClamAV

Mga lakas:

  • 100% open source, walang bayad at walang advertising
  • Multiplatform at madaling maisama
  • Mahusay na komunidad, patuloy na pag-update, at napakabilis na pagtugon sa mga bagong banta
  • Kakayahang mag-scan ng maraming uri ng mga format, kabilang ang mga kumplikadong naka-compress na file
  • Perpekto para sa forensics, mail server, pagbabahagi ng file, at higit pa

Mga posibleng limitasyon:

  • Hindi kasama dito, bilang default, ang mga advanced na feature na tipikal ng mga komersyal na solusyon (proteksyon sa web, firewall, sandboxing, atbp.)
  • Ang pagtuklas nito, bagama't epektibo, ay maaaring malampasan ng iba pang mga solusyon sa desktop segment para sa mga user sa bahay kung naghahanap ka ng ganap, real-time na proactive na proteksyon (sa Linux, ang on-access na proteksyon ay opsyonal at nangangailangan ng karagdagang configuration).

Sa anumang kaso, Ang ClamAV ay isang napaka-epektibong tool para sa mabilis na pagtuklas ng malware, lalo na sa mga server at nakabahaging kapaligiran..

ClamAV Ito ay isang matatag na solusyon sa antivirus, flexible, at may masiglang komunidad sa likod nito. Ang kakayahang umangkop sa halos anumang kapaligiran at ang bilis ng pag-update ng komunidad sa mga lagda nito ay ginagawa itong isa sa mga pinakamahusay na opsyon para sa pagprotekta sa mga system ng Linux, mga email server, at mga nakabahaging file. Kung naghahanap ka ng libre, makapangyarihan, at laging-up-to-date na tool, ang ClamAV ay isang mahusay na kaalyado upang isaalang-alang.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.