やればできる@clamav
clamavではできないと思っている人もいるようなので
書いておきます。
/home サブディレクトリを含めた再帰的スキャンの例
まずはパターンファイルを更新
sudo freshclam
1 感染ファイルを作成したディレクトリに隔離
sudo mkdir /usr/local/virus
sudo chown hogehoge:hogehoge /usr/local/virus
clamscan -r /home –move=/usr/local/virus | grep FOUND
* 隔離用ディレクトリはスキャン対象にしないこと
* 所有者をrootのままでアクセス権を変更(707等)しても可能だが、
セキュリティ的には所有者をユーザーに変更がお薦めです。
2 感染ファイルを削除
clamscan -r /home –remove | grep FOUND
* | grep FOUND は感染ファイルを検出した行のみ表示
* –move= と –remove は ーではなくー ー (2本)です。
エディタの都合で1本に表示しちゃいます。(コピペ不可)
上記のコマンドはGUIフロントエンドのClamTKでも同様な
ことができます。
オンアクセス(リアルタイム)スキャン
/etc/clamav/clamd.conf をrootで編集。
#ScanOnAccess false ←ディフォルト
ScanOnAccess yes ←変更
リアルタイムスキャンしたいディレクトリを列記
以下列記例
OnAccessIncludePath /home/mainte/DownLoads
OnAccessIncludePath /home/mainte/.cache/mozilla/firefox/30vnu03k.default-1445351765224/cache2/entries ← 1行です
clamavは感染ファイルの修復はできません。
またclamavは検出率が低いという評価があるようですが、
その調査では有名ベンダー製品の検出率が100%またはそれに近い
となっています。
実は調査のサンプルファイルはそのベンダーが持っているもの
だったりして、だとしたら100%検出は当たり前ですよね。
逆にclamavの開発プロジェクトの所有するサンプルのなかで、
有名ベンダー製品では検出できなかったものもあり、
100%という検出率には懐疑的にならざるを得ません。
ちなみにIPAへの感染報告は、セキュリティソフトがWindowsOSほど
充実していないLinuxディストリにおいて、Windowsの1%にも満たず、
攻撃のターゲットになっていないことが伺えます。
またファイル改変や予期しない動作に対する検知や阻止能力は
カーネル自体に備わっていたり、他の手段もあるので、windowsで
ない限りclamavで十分であると言えます。
セキュリティキーワード
・Tripwire 強力な改竄検知
・chkrootkit ルートキット検出ツール
・ufw・gufw ファイヤーウォール(iptables)の設定ツール
最近のコメント