ClamAV: Базовый антивирус с открытым исходным кодом для Linux и серверов

  • ClamAV — бесплатный антивирус с открытым исходным кодом, идеально подходящий для GNU/Linux, серверов и смешанных систем.
  • База данных постоянно пополняется благодаря большому сообществу и профессиональной поддержке.
  • Он обеспечивает запланированное сканирование, интеграцию с почтовыми серверами, расширенное администрирование и настройку в соответствии с потребностями.
Pablinux

10 минут

ClamAV

Компьютерная безопасность становится все более актуальной темой в современной цифровой среде. Защита от вирусов, троянов и других угроз стала приоритетом как для частных пользователей, так и для предприятий. Обеспечение безопасности систем является ключом к предотвращению потери данных, нарушений безопасности или перерывов в обслуживании. В этой связи наличие надежных и надежных инструментов, таких как ClamAV имеет важное значение для эффективной защиты.

Одной из самых известных и широко используемых антивирусных программ с открытым исходным кодом на системах Linux и Unix является вышеупомянутый ClamAV. Хотя он заслужил репутацию предпочтительного решения для почтовых серверов и систем GNU/Linux, его сфера применения гораздо шире, распространяясь на Windows и macOS. Если вы хотите узнать больше о ClamAV, Как это работает, в чем его преимущества и как вы можете этим воспользоватьсяПродолжайте читать, потому что мы расскажем вам ВСЕ, вплоть до мельчайших деталей.

Что такое ClamAV и откуда он взялся?

ClamAV — это антивирус с открытым исходным кодом, лицензированный по GPLv2, нацелен на обнаружение и удаление вирусов, троянов, вредоносных программ и другого вредоносного программного обеспечения. Первоначально из Польши, проект был начат Томашем Коймом в 2001 году и неуклонно развивался, чтобы стать эталоном в защите в первую очередь серверов и систем на базе GNU/Linux. В 2007 году команда разработчиков была интегрирована в Sourcefire, а позже, в 2013 году, она стала частью Cisco, где теперь ее поддерживает ее подразделение кибербезопасности Talos.

С момента своего создания компания ClamAV придерживается философии сотрудничества, открытости и прозрачности, что принесло ей поддержку университетов, корпораций и мирового сообщества пользователей и разработчиков. Это большое сообщество обеспечивает быстрое реагирование на новые угрозы и постоянно обновляемую базу данных вирусов..

Технические характеристики: что делает его особенным?

ClamAV — это программируется в основном на C и C++. Он официально доступен для нескольких операционных систем, включая GNU/Linux, Windows, FreeBSD, OpenBSD, Solaris и macOS, что позволяет использовать его в самых разных средах. Важно отметить, что, хотя он широко используется в GNU/Linux, существуют также графические интерфейсы и варианты, адаптированные для каждой системы:

  • KlamAV для сред KDE.
  • ClamXav для macOS.
  • ClamWin для Windows.
  • Капитано, более новый и призванный заменить ClamTK.

Архитектура ClamAV модульный, масштабируемый и гибкийЕго главная сила заключается в его многопоточное ядро и использование процесса-демона (clamav-daemon), который ускоряет сканирование, облегчая одновременный анализ нескольких файлов и каталогов без замедления работы системы.

Основные функции и утилиты

ClamAV Первоначально он был разработан для сканирования электронных писем и вложений., поэтому он широко используется на серверах электронной почты для обнаружения и предотвращения распространения вредоносных программ через электронную почту. Со временем его приложения расширились, и в настоящее время он позволяет:

  • Выполняйте сканирование по требованию или по расписанию файлов, каталогов и даже целых систем.
  • Мониторинг доступа к файлам в режиме реального времени (на GNU/Linux), немедленное обнаружение и помещение в карантин зараженных файлов
  • Автоматическое обновление базы данных вирусных сигнатур через сервис FreshClam
  • Сканирование файлов и сжатых архивов в самых разных форматах, таких как ZIP, RAR, ARJ, TAR, GZ, BZ2, MS OLE2, CHM, CAB, BinHex, SIS или AutoIt и т. д.
  • Поддержка большинства форматов электронной почты и специальных файлов (HTML, RTF, PDF, uuencode, TNEF и т. д.)
  • Карантин и управление ложноположительными результатами

Совместимость с широким форматом и ориентация на скорость и эффективность (более 850.000 XNUMX зарегистрированных подписей) составляют ClamAV — надежное решение даже для бизнес-сред и критически важных сред.

Зачем использовать ClamAV в Linux?

Хотя существует распространенное заблуждение, что системы GNU/Linux «не имеют вирусов», реальность такова, что, хотя и реже, чем в Windows, угрозы существуют. Роль ClamAV в Linux Обычно это больше связано с профилактической и защитной работой других систем.:

  • Если вы обмениваетесь файлами или отправляете электронные письма на системы Windows на вашем сервере Linux, ClamAV обнаруживает угрозы, которые могут повлиять на эти компьютеры, даже если ваш Linux не скомпрометирован напрямую.
  • В корпоративной среде получение сертификатов безопасности может потребовать наличия антивирусного уровня независимо от операционной системы.
  • Выявляйте заражения в загруженных, переданных или общих файлах, избегая непреднамеренного использования в качестве канала распространения вредоносного ПО.

ClamAV помогает остановить распространение вредоносных файлов и обеспечить стандарты безопасности даже в системах, которые традиционно считаются более безопасными.

Установка и запуск ClamAV

Установить ClamAV на любой дистрибутив GNU/Linux очень просто, поскольку большинство из них включают его в свои официальные репозитории. Debian, Ubuntu, CentOS, RHEL и производные от них допускают установку одной командой:

  • В Ubuntu/Debian: sudo apt-get install clamav clamav-daemon.
  • В CentOS/RHEL: sudo yum install clamav (требуется включение репозитория EPEL).
  • Arch: sudo pacman -S clamav.

Эль Пакет clamav-демон Важно, чтобы антивирус мог работать в фоновом режиме (демон), обеспечивая автоматическое сканирование в режиме реального времени.

Обновление базы данных

После установки первым важным шагом является обновить вирусную базу con sudo freshclam, это автоматически загружает и применяет последние сигнатурыПо умолчанию служба freshclam выполняет обновления каждый час, гарантируя, что ClamAV всегда готов обнаружить новейшие угрозы.

Запустить и включить демон

После установки и обновления, а также при желании, необходимо включить и запустить демон ClamAV:

  • Включить: sudo systemctl enable clamav-daemon
  • Начало: sudo systemctl start clamav-daemon

Важно помнить, что хотя служба может выглядеть как «активная», возможно, все еще инициализируетсяЕсли вы запускаете команды типа clamdscan слишком быстро после загрузки, вы можете столкнуться с временными ошибками. Для справки о том, как лучше защитить свою систему, см. инструменты безопасности в Linux.

Вы можете убедиться, что демон готов, проверив вход в систему. /var/log/clamav/clamav.log или проверка наличия сокета в /var/run/clamav/clamd.ctl.

Пользовательская конфигурация и рекомендуемые настройки

После того, как вы запустите ClamAV, хорошей идеей будет настроить некоторые параметры, чтобы избежать ошибок и получить от него максимальную отдачу. Чтобы улучшить интеграцию и упростить управление, вы можете узнать больше о .

  • Сканирование с правами root и использованием –fdpassПо умолчанию ClamAV использует пользователя 'clamav', который не имеет доступа ко всем файлам. Для комплексного сканирования необходимо запустить команды как root или использовать sudo и добавить опцию --fdpass.
  • Избегайте предупреждений в специальных каталогах: Каталоги вроде /proc, /sys, /run, /dev, /snap, /var/lib/lxcfs/cgroup, /var/spool/postfix/private|public|dev могут генерировать предупреждения, поскольку содержат сокеты или специальные файлы, которые невозможно проанализировать. Вы можете исключить их с помощью директивы ИсключитьПуть en /etc/clamav/clamd.conf.
  • Рекурсия во вложенных каталогахЕсли в системе много вложенных каталогов, может быть достигнут предел рекурсии (по умолчанию 30). Вы можете проверить, сколько уровней вложенности существует, и расширить параметр. МаксДиректориРекурсия если необходимо.
  • Распараллеливание и скорость: По умолчанию используется только один процесс. Он включает в себя параметры --fdpass --multiscan чтобы воспользоваться преимуществами нескольких ядер и ускорить анализ.

Практические примеры использования

  • Сканирование определенного каталога или файла: clamscan -r /ruta/del/directorio ('-r' сканирует рекурсивно)
  • Анализ всей системы: clamscan -r / (это может занять некоторое время в зависимости от размера диска)
  • Показывать только зараженные файлы: clamscan --infected
  • Отправить зараженные файлы в карантин: clamscan --move=/ruta/cuarentena

Для сред с большими объемами информации рекомендуется использовать моллюск вместе с демоном, так как он намного быстрее, чем автономный clamscan.

Автоматизация сканирования и обновлений

Одним из преимуществ ClamAV является то, насколько легко запланировать регулярные сканирования, чтобы ваша система всегда была чистой. Существует два основных варианта автоматизации:

  • Крон: Вы можете создавать запланированные задачи, которые будут запускать сканирование ежедневно, еженедельно или с любым другим интервалом, сохраняя результаты в файле журнала для последующего просмотра.
  • Системные таймерыЕсли вы используете современный дистрибутив, вы можете воспользоваться таймерами systemd для большей гибкости (даже со случайными задержками, чтобы избежать одновременных скачков использования ресурсов на нескольких серверах).

Например, вы можете создать пользовательскую службу, которая еженедельно запускает команду полного сканирования и настраивает автоматическое уведомление по электронной почте в случае сбоя, и все это под управлением systemd.

Расширенное управление: уведомления об ошибках и настройка

Если вы хотите вывести безопасность на новый уровень, это возможно Получайте автоматические уведомления по электронной почте о проблемах с периодическими анализамиДля этого просто создайте скрипт, который записывает состояние службы после каждого выполнения и использует почтовый инструмент (такой как mailx или sendmail) для уведомления о любых сбоях. Службы и система таймеров Systemd позволяют элегантно и очень надежно интегрировать эту функциональность.

Кроме того, с подробные журналы С помощью ClamAV вы можете просматривать историю сканирования, видеть, когда были обнаружены угрозы, а также дополнительно настраивать рабочие параметры и параметры исключения в зависимости от особенностей использования вашей системы.

Лицензия и взносы

ClamAV пользуется Лицензия GPLv2, что означает, что его использование абсолютно бесплатно как на личном, так и на профессиональном уровне. Его открытая разработка позволяет любому желающему вносить свой код, улучшения или документацию.. Кроме того, он включает исключительные компоненты под совместимыми лицензиями, такими как Apache, MIT, BSD и LGPL, что обеспечивает ему большую гибкость и надежность. Например, он включает такие модули, как Yara (для пользовательских правил), zlib, bzip2, libmspack и другие, все из которых необходимы для анализа сжатых файлов и сложных типов вредоносных программ.

Сообщество ClamAV очень активно. Вы можете получить доступ к руководствам, руководствам по написанию пользовательских подписей, участвовать в почтовых рассылках, чатах Discord и вносить вклад в улучшение проекта через такие платформы, как GitHub.

Версия и эволюция

Цикл релизов ClamAV очень активен. Стабильные и бета-версии выпускаются регулярно, исправляя ошибки и добавляя новые функции. База данных вредоносных программ обновляется несколько раз в день, а все новые функции анонсируются в официальном блоге и других каналах сообщества. Последние релизы включают улучшенную совместимость с современными архитектурами (x86_64, ARM64), интеграцию Docker и простоту установки с использованием пакетов, специфичных для операционной системы.

ClamAV стал фактическим стандартом на многих серверах Linux и в корпоративной сетевой инфраструктуре по всему миру., благодаря этой постоянной эволюции и быстрому реагированию на новые угрозы.

ClamAV для разработчиков и администраторов: интеграция и поддержка

Помимо своего прямого использования в качестве антивируса, ClamAV также является настраиваемый и адаптируемый аналитический движок Docker можно легко интегрировать в корпоративные решения или собственные инструменты. Техническая документация и онлайн-руководства охватывают все: от базовой установки и настройки до создания пользовательских подписей и расширенного анализа. Существуют специальные утилиты для работы с Docker, упакованные для всех систем, и API, который позволяет программно взаимодействовать с движком.

Поддержка разработчиков и администраторов превосходна: от форумов, списков рассылки и чатов сообщества до обширной базы данных документации и даже системы отслеживания ошибок и запросов.

Преимущества и возможные ограничения ClamAV

Сильные стороны:

  • 100% открытый исходный код, бесплатно и без рекламы
  • Мультиплатформенность и легкая интеграция
  • Отличное сообщество, постоянные обновления и очень быстрая реакция на новые угрозы.
  • Возможность сканирования самых разных форматов, включая сложные сжатые файлы
  • Идеально подходит для криминалистики, почтовых серверов, обмена файлами и многого другого.

Возможные ограничения:

  • По умолчанию он не включает расширенные функции, типичные для коммерческих решений (веб-защита, брандмауэр, песочница и т. д.)
  • Его обнаружение, хотя и эффективное, может быть превзойдено другими решениями в сегменте настольных ПК для домашних пользователей, если вам нужна полная проактивная защита в реальном времени (в Linux защита при доступе является необязательной и требует дополнительной настройки).

В любом случае, ClamAV — очень эффективный инструмент для быстрого обнаружения вредоносных программ, особенно на серверах и в общих средах..

ClamAV Это надежное антивирусное решение., гибкий и с активным сообществом за ним. Его способность адаптироваться практически к любой среде и скорость, с которой сообщество обновляет свои сигнатуры, делают его одним из лучших вариантов для защиты систем Linux, почтовых серверов и общих файлов. Если вы ищете бесплатный, мощный и всегда актуальный инструмент, ClamAV — отличный союзник, которого стоит рассмотреть.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.