**背景:** 項目現場有一個伺服器需要作國家二級等保整改,有一個高風險選項是需要安裝防惡意代碼軟體,所以就考慮安裝clamAV來實現。現場使用cnetos7伺服器,且無外網,只能離線安裝。 如果有外網直接執行以下命令就行了。 ``` # ubuntu sudo apt install clamav ...
背景:
項目現場有一個伺服器需要作國家二級等保整改,有一個高風險選項是需要安裝防惡意代碼軟體,所以就考慮安裝clamAV來實現。現場使用cnetos7伺服器,且無外網,只能離線安裝。
如果有外網直接執行以下命令就行了。
# ubuntu
sudo apt install clamav clamav-daemon -y
# centos
sudo yum install clamav clamav-update -y
離線部署實現:
1、去官網下載對應的軟體包,centos就下載 .rpm軟體包。
https://www.clamav.net/downloads
2、將下載的軟體包上傳到伺服器後使用rpm命令進行安裝,軟體包裡面已經將相關依賴這些打包好了,直接安裝就行。
rpm -ivh --prefix=/usr/local/clamav clamav-1.0.3.linux.x86_64.rpm
安裝成功後clamav的相關文件就被放到了/usr/local/clamav下
3、設置PATH變數
echo PATH=/usr/local/clamav/bin:/usr/local/clamav/sbin:$PATH > /etc/profile.d/path.sh
4、使用
clamav常用的命令有以下:
clamscan 命令:通用,不依賴服務,命令參數較多,執行速度稍慢,安裝好clamav服務後就可以直接用。
clamdscan 命令:是一個搭配clamd常駐服務的掃毒工具,功能非常類似clamscan,執行效率較高,可用的參數較少(因為部分功能是由 clamd 控制的)。例如遞歸掃描不用帶 -r ,預設會遞歸掃描子目錄
freshclam:執行這個命令就會根據配置文件將病毒庫下載到指定的位置,預設應該是/usr/local/share/clamav。
直接使用clamscan命令進行測試時,提示缺少相關庫文件,但是clamav的安裝目錄裡面又是存在對應文件的,所以要更新ldconfig
5、更新ldconfig
echo "/usr/local/clamav/lib64/" | sudo tee -a /etc/ld.so.conf.d/clamav.conf
ldconfig
再次測試,提示缺少病毒庫。因為是離線環境。所以就搭建一個有外網的機器,使用freshclam下載病毒庫後拷貝過來。
將病毒庫解壓到指定目錄下,預設是放在/usr/local/share/clamav下的。
再次測試就正常了
因為不需要進行頻繁的掃描或掃描大量文件,只是偶爾執行掃描,那麼 clamscan 可能已經足夠了。
如果是希望進行頻繁的掃描或掃描大量文件,那麼使用 clamdscan 和 clamd 守護進程可能是一個更有效的選擇。
配置clamd守護進程就需要修改clamd的配置文件。
兩個配置文件:
clamd.conf:clamd 守護進程的配置文件。當你使用 clamdscan(而不是 clamscan)命令時,該命令實際上會與後臺運行的 clamd 守護進程進行交互來執行掃描。因此,clamdscan 的行為會受到 clamd.conf 文件中的配置的影響。這個文件包含了與守護進程行為、日誌記錄、掃描選項等相關的設置。
freshclam.conf:ClamAV 病毒資料庫更新工具 freshclam 的配置文件。當你使用 freshclam 命令來更新你的病毒資料庫時,該命令會根據這個配置文件來運行。這個文件包含了與更新源、更新頻率、代理設置、日誌記錄等相關的設置。
clamd配置:
1、先創建存放日誌、socket和pid的文件目錄,並創建對應的日誌文件。
2、/usr/local/clamav/etc這個目錄下有兩個配置文件模板,可以根據這兩個模板創建配置文件。
# 進入/usr/local/clamav/etc目錄
cp -a clamd.conf.sample clamd.conf
cp -a freshclam.conf.sample freshclam.conf
3、修改配置文件
# 註釋掉Example這一行
LogFile /usr/local/clamav/logs/clamd.log
LogFileMaxSize 20M
PidFile /usr/local/clamav/clamd.pid
DatabaseDirectory /var/lib/clamav
LocalSocket /usr/local/clamav/socket/clamd.socket
DatabaseDirectory就是指定病毒庫的存放位置
如果需要實時更新病毒庫,freshclam.conf也需要進行配置
[root@CentOS7 etc]# cat freshclam.conf | grep -Ev '^#|^$'
DatabaseDirectory /var/lib/clamav
UpdateLogFile /usr/local/clamav/logs/freshclam.log
PidFile /usr/local/clamav/pid/freshclam.pid
DatabaseMirror database.clamav.net
Checks 24
Checks 24表示1h檢查一次,一天24h,預設是2h檢查一次病毒庫更新沒,更新了就直接拉取到本地。
DatabaseDirectory指定使用freshman命令下載的病毒庫存放位置。
創建clamav用戶
groupadd clamav
useradd -g clamav -s /bin/false -c "Clam Antivirus" clamav
更改目錄許可權:
chown -R clamav:clamav /usr/local/clamav
全部配置好後進行測試:
提示配置文件是在/usr/local/etc下麵找的,所以需要將配置文件軟鏈接到這個下麵。
軟連接:
[root@CentOS7 ~]# # 軟鏈接源文件要使用絕對路徑
[root@CentOS7 ~]# ln -s /usr/local/clamav/etc/freshclam.conf /usr/local/etc/
[root@CentOS7 ~]# ln -s /usr/local/clamav/etc/clamd.conf /usr/local/etc/
再次進行測試:
提示沒有病毒庫,就需要先使用 生成病毒庫或者將離線的病毒庫拷貝到這個目錄下
線上生成病毒庫:
再次進行測試:
clamd正常運行,再打開一個視窗測試clamdscan。
最後將freshclam和clamd交給systemd進行托管,freshclam用於定時更新病毒庫,當 clamd 守護進程啟動併在後臺運行時,它會載入病毒簽名資料庫到記憶體中。這使得病毒掃描請求(如通過 clamdscan 命令)能夠迅速地與這些記憶體中的簽名進行比較,大大提高了掃描效率。
clamd的systemd文件:
# centos7的systemd文件是放在/usr/lib/systemd/system/
# ubuntu的systemd文件時放在/lib/systemd/system/
vim /usr/lib/systemd/system/clamd.service
[Unit]
Description=Clam AntiVirus userspace daemon
Documentation=man:clamd(8) man:clamd.conf(5) https://docs.clamav.net/
# Check for database existence
ConditionPathExistsGlob=/var/lib/clamav/main.{c[vl]d,inc}
ConditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc}
[Service]
type=simple
ExecStart=/usr/local/clamav/sbin/clamd --foreground=true
# Reload the database
ExecReload=/bin/kill -USR2 $MAINPID
StandardOutput=syslog
TimeoutStartSec=420
[Install]
WantedBy=multi-user.target
測試是否能正常啟動,啟動成功
freshclam的systemd文件
vim /usr/lib/systemd/system/freshclam.service
[Unit]
Description=ClamAV virus database updater
Documentation=man:freshclam(1) man:freshclam.conf(5) https://docs.clamav.net/
# If user wants it run from cron, don't start the daemon.
# ConditionPathExists=!/etc/cron.d/clamav-update
Wants=network-online.target
After=network-online.target
[Service]
ExecStart=/usr/local/clamav/bin/freshclam -d --foreground=true
[Install]
WantedBy=multi-user.target
啟動檢查:
clamscan和clamdscan區別說明:
clamscan 和 clamdscan 都是 ClamAV 的掃描工具,但它們的工作方式略有不同:
clamscan:
獨立運行: clamscan 是一個獨立的命令行掃描工具,每次執行都會啟動一個新的進程。
效率: 由於它每次運行時都需要載入病毒資料庫,所以相對較慢,特別是在掃描大量文件或多次掃描時。
配置: clamscan 不依賴 clamd.conf,所有的配置都是基於命令行參數。
clamdscan:
依賴守護進程: clamdscan 與後臺運行的 clamd 守護進程進行交互來執行掃描。這意味著病毒資料庫已經被 clamd 載入並保持在記憶體中。
效率: 由於不需要每次都重新載入病毒資料庫,clamdscan 的掃描速度通常更快。
配置: clamdscan 的行為會受到 clamd.conf 文件中的配置的影響。
總的來說,如果你需要進行頻繁的掃描或掃描大量文件,那麼使用 clamdscan 和 clamd 守護進程可能是一個更有效的選擇。但如果你只是偶爾執行掃描,那麼 clamscan 可能已經足夠了。
https://blog.csdn.net/leiwuhen92/article/details/125934412
https://blog.ncyupu.com/os/centos/2023/06/06/213.html
