Introducción.
Acerca de ClamAV.
- ClamAV es un conjunto de herramientas antivirus, libre y de código fuente abierto, que tiene las siguiente características:
- Distribuido bajo los términos de la Licencia Publica General GNU versión 2.
- Cumple con las especificaciones de familia de estándares POSIX (Portable Operating System Interface for UNIX o interfaz portable de sistema operativo para Unix).
- Exploración rápida.
- Detecta más de 720 mil virus, gusanos, troyanos y otros programas maliciosos.
- Capacidad para examinar contenido de archivos ZIP, RAR, Tar, Gzip, Bzip2, MS OLE2, MS Cabinet, MS CHM y MS SZDD.
- Soporte para explorar archivos comprimidos con UPX, FSG y Petite.
- Avanzada herramienta de actualización con soporte para firmas digitales y consultas basadas sobre DNS.
Equipamiento lógico necesario.
Creación del usuario para ClamAV.
De modo predeterminado, en los paquetes RPM basados sobre los disponibles para Fedora™, el usuario para ClamAV se asigna a través de los mandatos fedora-groupadd y fedora-useradd el UID y GID 4 en el sistema. A fin de prevenir un conflicto de UID/GID con otros usuarios y grupos de sistema, se recomienda crear previamente al grupo y usuario correspondientes para ClamAV.
Primero genere el grupo clamav:
groupadd -r clamav
Luego genere el usuario clamav:
useradd -r -s /sbin/nologin -M -d /var/lib/clamav -c 'Clamav Antivirus' -g clamav clamav
Si utiliza CentOS o Red Hat™ Enterprise Linux, puede utilizar el el almacén YUM de Alcance Libre para servidores en producción, descargando el archivo http://www.alcancelibre.org/al/server/AL-Server.repo dentro del directorio/etc/yum.repos.d/:
wget -N http://www.alcancelibre.org/al/server/AL-Server.repo -O /etc/yum.repos.d/AL-Server.repo
Examine el contenido del archivo /etc/yum.repos.d/AL-Server.repo:
vi /etc/yum.repos.d/AL-Server.repo
El contenido debe ser el siguiente:
[AL-Server] name=AL Server para Enterprise Linux $releasever mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server gpgcheck=1 gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY
Salga del editor de texto y ejecute lo siguiente para instalar lo necesario:
yum -y install clamav clamav-update
SELinux y ClamAV.
ALDOS, CentOS 6 y Red Hat™ Enterprise Linux 6 y versiones posteriores de éstos.
Se requiere habilitar dos políticas para permitir un funcionamiento normal. Ejecute lo siguiente:
setsebool -P antivirus_use_jit 1
setsebool -P antivirus_can_scan_system 1
La política antivirus_use_jit permite a ClamAV utilizar el compilador JIT basado sobre LLVM (Low Level Virtual Machine), el cual es utilizado para extender las capacidades de detección de virus al compilar Bytecode.
La política antivirus_can_scan_system permite a ClamAV poder realizar la verificación todo lo que se encuentre en el sistema de archivos.
CentOS 5 y Red Hat™ Enterprise Linux 5.
Para que SELinux permita al mandato clamscan funcionar normalmente para verificar archivos, ejecute lo siguiente:
setsebool -P clamscan_disable_trans 1
setsebool -P freshclam_disable_trans 1
Configuración de Freshclam.
Freshclam es el programa utilizado para descargar y mantener actualizada la base de datos de virus y otros programas malignos.
El archivo /etc/freshclam.conf de los paquetes distribuidos por Alcance Libre ya incluye las modificaciones necesarias para permitir el funcionamiento del mandato freshclam. Sin embargo, si se utilizan paquetes para Fedora, es necesario editar este archivo y comentar o eliminar la línea 9, que incluye simplemente la palabra inglesa Example y que de otro mod impediría utilizar el mandato freshclam:
## ## Example config file for freshclam ## Please read the freshclam.conf(5) manual before editing this file.
## # Comment or remove the line below.
# Example
### !!!!! REMOVE ME !!!!!! ### REMOVE ME: By default, the freshclam update is disabled to avoid ### REMOVE ME: network access without prior activation # FRESHCLAM_DELAY=disabled-warn # REMOVE ME
freshclam
Antes de realizar los ejemplos, cambie a un usuario regular. Ejemplo:
su -l fulano
mkdir -p ~/Descargas/
wget http://www.alcancelibre.org/linux/secrets/test2.zip -P ~/Descargas/
clamscan ~/Descargas/test2.zip
/home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND ----------- SCAN SUMMARY ----------- Known viruses: 3019169 Engine version: 0.97.8 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 0.00 MB Data read: 0.00 MB (ratio 0.00:1) Time: 6.438 sec (0 m 6 s)
clamscan -r ~/Descargas
/home/fulano/Descargas/Pantallazo-2.png: OK /home/fulano/Descargas/es1.pdf: OK /home/fulano/Descargas/Pantallazo.png: OK /home/fulano/Descargas/Pantallazo-3.png: OK /home/fulano/Descargas/Pantallazo-1.png: OK /home/fulano/Descargas/es_mx.zip: OK /home/fulano/Descargas/aletras.oxt: OK /home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND /home/fulano/Descargas/amonedamx.oxt: OK ----------- SCAN SUMMARY ----------- Known viruses: 3019169 Engine version: 0.97.8 Scanned directories: 1 Scanned files: 9 Infected files: 1 Data scanned: 127.01 MB Data read: 190.76 MB (ratio 0.67:1) Time: 40.026 sec (0 m 40 s)
mkdir -p ~/.clamav/viruses
clamscan --move=/home/fulano/.clamav/viruses -r ~/Descargas
/home/fulano/Descargas/Pantallazo-2.png: OK /home/fulano/Descargas/es1.pdf: OK /home/fulano/Descargas/Pantallazo.png: OK /home/fulano/Descargas/Pantallazo-3.png: OK /home/fulano/Descargas/Pantallazo-1.png: OK /home/fulano/Descargas/es_mx.zip: OK /home/fulano/Descargas/aletras.oxt: OK /home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND /home/fulano/Descargas/test2.zip: moved to '/home/jbarrios/.clamav/viruses/test2.zip' /home/fulano/Descargas/amonedamx.oxt: OK ----------- SCAN SUMMARY ----------- Known viruses: 3019169 Engine version: 0.97.8 Scanned directories: 1 Scanned files: 9 Infected files: 1 Data scanned: 127.01 MB Data read: 190.76 MB (ratio 0.67:1) Time: 40.026 sec (0 m 40 s)
wget http://www.alcancelibre.org/linux/secrets/test2.zip ~/Descargas
clamscan --remove=yes -r ~/Descargas
/home/fulano/Descargas/Pantallazo-2.png: OK /home/fulano/Descargas/es1.pdf: OK /home/fulano/Descargas/Pantallazo.png: OK /home/fulano/Descargas/Pantallazo-3.png: OK /home/fulano/Descargas/Pantallazo-1.png: OK /home/fulano/Descargas/es_mx.zip: OK /home/fulano/Descargas/aletras.oxt: OK /home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND /home/fulano/Descargas/test2.zip: Removed. /home/fulano/Descargas/amonedamx.oxt: OK ----------- SCAN SUMMARY ----------- Known viruses: 3019169 Engine version: 0.97.8 Scanned directories: 1 Scanned files: 9 Infected files: 1 Data scanned: 127.01 MB Data read: 190.76 MB (ratio 0.67:1) Time: 40.026 sec (0 m 40 s)
wget http://www.alcancelibre.org/linux/secrets/test2.zip ~/Descargas
clamscan --infected -r ~/Descargas
/home/fulano/Descargas/test2.zip: ClamAV-Test-Signature FOUND ----------- SCAN SUMMARY ----------- Known viruses: 3019169 Engine version: 0.97.8 Scanned directories: 1 Scanned files: 9 Infected files: 1 Data scanned: 127.01 MB Data read: 190.76 MB (ratio 0.67:1) Time: 40.026 sec (0 m 40 s)
clamscan --log=/home/usuario/clamscan.log --infected --remove=yes -r ~/Descargas