ClamAV: Den essentielle open source-antivirus til Linux og servere

  • ClamAV er et gratis antivirusprogram med open source-funktion, ideelt til GNU/Linux, servere og blandede systemer.
  • Dens database opdateres konstant takket være et stort fællesskab og professionel support.
  • Det muliggør planlagte scanninger, integration i mailservere, avanceret administration og tilpasning efter behov.
Pablinux

10 minutter

ClamAV

Computersikkerhed er et stadig mere relevant emne i dagens digitale miljø. Beskyttelse mod virus, trojanske heste og andre trusler er blevet en prioritet for både private brugere og virksomheder. At holde systemer sikre er nøglen til at undgå datatab, sikkerhedsbrud eller serviceafbrydelser. I den henseende er det vigtigt at have solide og pålidelige værktøjer som f.eks. ClamAV er afgørende for effektiv beskyttelse.

Et af de mest kendte og udbredte open source-antivirusprogrammer på Linux- og Unix-systemer er det førnævnte ClamAV. Selvom det har opbygget et ry som den foretrukne løsning til mailservere og GNU/Linux-systemer, er dets rækkevidde meget bredere og strækker sig til Windows og macOS. Hvis du vil vide mere om ClamAV, Hvordan det fungerer, hvor det udmærker sig, og hvordan du kan drage fordel af detFortsæt med at læse, for vi fortæller dig ALT, ned til mindste detalje.

Hvad er ClamAV, og hvor kommer det fra?

ClamAV er en open source-antivirus, licenseret under GPLv2, har til formål at detektere og fjerne virus, trojanske heste, malware og anden skadelig software. Projektet, der oprindeligt stammer fra Polen, blev startet af Tomasz Kojm i 2001 og har støt udviklet sig til at blive en benchmark inden for beskyttelse af primært GNU/Linux-baserede servere og systemer. I 2007 blev udviklingsteamet integreret i Sourcefire, og senere, i 2013, blev det en del af Cisco, hvor det nu vedligeholdes af deres cybersikkerhedsafdeling, Talos.

Siden starten har ClamAV omfavnet en samarbejdsorienteret, åben og transparent filosofi, hvilket har givet det støtte fra universiteter, virksomheder og et globalt fællesskab af brugere og udviklere. Dette store fællesskab sikrer en hurtig reaktion på nye trusler og en virusdatabase, der konstant opdateres..

Tekniske egenskaber: hvad gør den speciel?

ClamAV er primært programmeret i C og C++Den er officielt tilgængelig til flere operativsystemer, herunder GNU/Linux, Windows, FreeBSD, OpenBSD, Solaris og macOS, hvilket muliggør brug i en bred vifte af miljøer. Det er vigtigt at bemærke, at selvom det er meget udbredt i GNU/Linux, findes der også grafiske grænseflader og varianter, der er skræddersyet til hvert system:

  • KlamAV til KDE-miljøer.
  • ClamXav til macOS.
  • ClamWin til Windows.
  • Kaptajn, nyere og som har til formål at erstatte ClamTK.

Arkitekturen i ClamAV er modulær, skalerbar og fleksibelDens største styrke ligger i dens flertrådet kerne og brugen af ​​en daemon-proces (clamav-daemon), der fremskynder scanningen og muliggør samtidig analyse af flere filer og mapper uden at gøre systemet langsommere.

Hovedfunktioner og værktøjer

ClamAV Det var oprindeligt designet til at scanne e-mails og vedhæftede filer, hvilket er grunden til, at det er meget brugt på e-mailservere til at opdage og forhindre spredning af malware via e-mail. Med tiden er dets applikationer blevet udvidet, og det muliggør i øjeblikket:

  • Udfør scanninger efter behov eller planlagte scanninger af filer, mapper og endda hele systemer
  • Realtidsovervågning (på GNU/Linux) af filadgang, øjeblikkelig detektion og karantæne af inficerede filer
  • Automatisk opdatering af virussignaturdatabasen via FreshClam-tjenesten
  • Scanning af filer og komprimerede arkiver i en bred vifte af formater såsom ZIP, RAR, ARJ, TAR, GZ, BZ2, MS OLE2, CHM, CAB, BinHex, SIS eller AutoIt, blandt andre
  • Understøttelse af de fleste e-mail- og specialfilformater (HTML, RTF, PDF, uuencode, TNEF osv.)
  • Karantæne og håndtering af falsk positive

Dens bredformatkompatibilitet og fokus på hastighed og effektivitet (mere end 850.000 listede underskrifter) udgør ClamAV er en robust løsning, selv til forretnings- og kritiske miljøer.

Hvorfor bruge ClamAV på Linux?

Selvom der er en almindelig misforståelse om, at GNU/Linux-systemer "ikke har virus", er realiteten, at trusler findes, selvom de er mindre hyppige end i Windows. ClamAVs rolle i Linux Det er normalt mere knyttet til forebyggende og beskyttende arbejde i andre systemer:

  • Hvis du deler filer eller sender e-mails til Windows-systemer på din Linux-server, registrerer ClamAV trusler, der kan påvirke disse computere, selvom din Linux ikke er direkte kompromitteret.
  • I virksomhedsmiljøet kan det kræve et antiviruslag at opnå sikkerhedscertificeringer, uanset operativsystemet.
  • Opdag infektioner i downloadede, delte eller overførte filer, og undgå at være en ubevidst kanal for spredning af malware.

ClamAV hjælper med at stoppe spredningen af ​​ondsindede filer og sikre sikkerhedsstandarder, selv på systemer, der traditionelt anses for at være mere sikre.

Installation og opstart af ClamAV

Det er meget simpelt at installere ClamAV på enhver GNU/Linux-distribution, da de fleste inkluderer det i deres officielle arkiver. Debian, Ubuntu, CentOS, RHEL og derivater tillader installation med én kommando:

  • På Ubuntu/Debian: sudo apt-get install clamav clamav-daemon.
  • På CentOS/RHEL: sudo yum install clamav (kræver at EPEL-arkivet er aktiveret).
  • Bue: sudo pacman -S clamav.

El paquete clamav-daemon Det er vigtigt for antivirusprogrammet at kunne fungere som en baggrundstjeneste (daemon), hvilket muliggør automatiske scanninger i realtid.

Opgradering af database

Når den er installeret, er det første kritiske trin opdater virusdatabasen med sudo freshclam. Dette downloader og anvender automatisk de nyeste signaturerSom standard udfører freshclam-tjenesten opdateringer hver time, hvilket sikrer, at ClamAV altid er klar til at opdage de nyeste trusler.

Start og aktiver dæmonen

Efter installation og opdatering, og hvis det ønskes, skal du aktiver og start ClamAV-dæmonen:

  • Aktivér: sudo systemctl enable clamav-daemon
  • Start: sudo systemctl start clamav-daemon

Det er vigtigt at huske, at selvom tjenesten kan fremstå som 'aktiv', initialiserer muligvis stadigHvis du kører kommandoer som clamdscan for hurtigt efter en opstart, kan du støde på midlertidige fejl. For en reference til, hvordan du bedre beskytter dit system, se sikkerhedsværktøjer i Linux.

Du kan bekræfte, at dæmonen er klar, ved at tjekke login-indstillingerne /var/log/clamav/clamav.log eller kontrollere eksistensen af ​​​​socket i /var/run/clamav/clamd.ctl.

Brugerdefineret konfiguration og anbefalede indstillinger

Når du har ClamAV oppe at køre, er det en god idé at justere nogle parametre for at undgå fejl og få mest muligt ud af det. For at forbedre integrationen og gøre det nemmere at administrere, kan du læse mere om .

  • Scanning som root og brug af –fdpassSom standard bruger ClamAV brugeren 'clamav', som ikke har adgang til alle filer. For en omfattende scanning skal du køre kommandoerne som root eller bruge sudo og tilføje indstillingen --fdpass.
  • Undgå advarsler i særlige mapperKataloger som /proc, /sys, /run, /dev, /snap, /var/lib/lxcfs/cgroup, /var/spool/postfix/private|public|dev kan generere advarsler, fordi de indeholder sockets eller specialfiler, der ikke kan parses. Du kan udelade dem ved hjælp af direktivet Udelukkelsessti en /etc/clamav/clamd.conf.
  • Rekursion i indlejrede mapperHvis systemet har mange indlejrede mapper, kan rekursionsgrænsen (standard 30) være nået. Du kan kontrollere, hvor mange indlejringsniveauer der er, og udvide parameteren. MaxDirectoryRecursion om nødvendigt.
  • Parallelisering og hastighed: Som standard bruges kun én proces. Den inkluderer indstillingerne --fdpass --multiscan for at udnytte flere kerner og fremskynde analysen.

Praktiske eksempler på brug

  • Scanning af en specifik mappe eller fil: clamscan -r /ruta/del/directorio ('-r' scanner rekursivt)
  • Analyse af hele systemet: clamscan -r / (det kan tage et stykke tid afhængigt af diskens størrelse)
  • Vis kun inficerede filer: clamscan --infected
  • Send inficerede filer i karantæne: clamscan --move=/ruta/cuarentena

I miljøer med store mængder information anbefales det at bruge clamdscan sammen med dæmonen, da den er meget hurtigere end en standalone clamscan.

Automatisering af scanninger og opdateringer

En af fordelene ved ClamAV er, hvor nemt det er at planlægge regelmæssige scanninger for at holde dit system rent hele tiden. Der er to primære automatiseringsmuligheder:

  • CronDu kan oprette planlagte opgaver, der kører scanninger dagligt, ugentligt eller med et hvilket som helst andet interval, og gemmer resultaterne i en logfil til senere gennemgang.
  • Systemd-timereHvis du bruger en moderne distribution, kan du udnytte systemd-timere for at få mere fleksibilitet (selv med tilfældige forsinkelser for at undgå samtidige stigninger i ressourceforbruget på flere servere).

For eksempel kan du oprette en brugerdefineret tjeneste, der kører kommandoen "fuld scanning" ugentligt og konfigurerer en automatisk e-mail-notifikation i tilfælde af fejl, alt administreret af systemd.

Avanceret administration: fejlmeddelelser og tilpasning

Hvis du vil tage sikkerhed til det næste niveau, er det muligt Modtag automatiske e-mail-notifikationer om problemer med periodiske analyserFor at gøre dette skal du blot oprette et script, der registrerer servicestatus efter hver udførelse og bruger et mailingværktøj (f.eks. mailx eller sendmail) til at underrette dig om eventuelle fejl. Systemds service- og timersystem muliggør elegant og yderst robust integration af denne funktionalitet.

Desuden med detaljerede logfiler som ClamAV genererer, kan du revidere scanningshistorikken, se, hvornår trusler blev registreret, og yderligere justere drifts- og udelukkelsesparametre baseret på din specifikke systembrug.

Licens og bidrag

ClamAV nyder godt af en GPLv2 licens, hvilket betyder, at brugen er fuldstændig gratis, både på et personligt og professionelt plan. Dens åbne udvikling giver alle mulighed for at bidrage med kode, forbedringer eller dokumentation.Derudover inkluderer den exceptionelle komponenter under kompatible licenser som Apache, MIT, BSD og LGPL, hvilket giver den stor fleksibilitet og robusthed. For eksempel inkluderer den moduler som Yara (til brugerdefinerede regler), zlib, bzip2, libmspack og andre, som alle er essentielle til at analysere komprimerede filer og komplekse malwaretyper.

ClamAV-fællesskabet er meget aktivt. Du kan få adgang til manualer, vejledninger til at skrive brugerdefinerede signaturer, deltage i mailinglister, Discord-chats og bidrage til at forbedre projektet gennem platforme som GitHub.

Version og udvikling

ClamAVs udgivelsescyklus er meget aktiv. Stabile og betaversioner udgives regelmæssigt, hvor fejl rettes og nye funktioner tilføjes. Malware-databasen opdateres flere gange om dagen, og alle nye funktioner annonceres på den officielle blog og andre community-kanaler. Nylige udgivelser inkluderer forbedret kompatibilitet med moderne arkitekturer (x86_64, ARM64), Docker-integration og nem installation ved hjælp af operativsystemspecifikke pakker.

ClamAV er blevet en de facto standard på mange Linux-servere og virksomhedsnetværksinfrastrukturer verden over., takket være denne konstante udvikling og hurtige reaktion på nye trusler.

ClamAV til udviklere og administratorer: Integration og support

Udover sin direkte anvendelse som antivirus er ClamAV også en brugerdefineret og tilpasningsdygtig analysemotor Docker kan nemt integreres i virksomhedsløsninger eller dine egne værktøjer. Teknisk dokumentation og onlinemanualer dækker alt fra grundlæggende installation og konfiguration til oprettelse af brugerdefinerede signaturer og avanceret analyse. Der er specifikke værktøjer til at arbejde med Docker, pakket til alle systemer, og en API, der tillader programmatisk interaktion med motoren.

Support til udviklere og administratorer er fremragende, lige fra fora, mailinglister og community-chats til en omfattende dokumentationsdatabase og endda et system til sporing af fejl og anmodninger.

Fordele og mulige begrænsninger ved ClamAV

Styrker:

  • 100% open source, gratis og uden reklamer
  • Multiplatform og let integrerbar
  • Fantastisk fællesskab, konstante opdateringer og meget hurtig reaktion på nye trusler
  • Mulighed for at scanne en bred vifte af formater, herunder komplekse komprimerede filer
  • Perfekt til retsmedicin, mailservere, fildeling og meget mere

Mulige begrænsninger:

  • Den inkluderer som standard ikke avancerede funktioner, der er typiske for kommercielle løsninger (webbeskyttelse, firewall, sandboxing osv.)
  • Dens detektion, selvom den er effektiv, kan blive overgået af andre løsninger i desktopsegmentet til hjemmebrugere, hvis du leder efter fuld, proaktiv beskyttelse i realtid (på Linux er adgangsbeskyttelse valgfri og kræver ekstra konfiguration).

Under alle omstændigheder ClamAV er et meget effektivt værktøj til hurtig malware-detektion, især på servere og delte miljøer..

ClamAV Det er en robust antivirusløsning, fleksibel og med et levende fællesskab bag sig. Dets evne til at tilpasse sig næsten ethvert miljø og den hastighed, hvormed fællesskabet opdaterer sine signaturer, gør det til en af ​​de bedste muligheder for at beskytte Linux-systemer, e-mailservere og delte filer. Hvis du leder efter et gratis, kraftfuldt og altid opdateret værktøj, er ClamAV en god allieret at overveje.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for data: AB Internet Networks 2008 SL
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.