Установка ClamAV.

Установка и настройка антивируса ClamAV c большим функционалом.

Автор: admin.


Установка ClamAV с расширенными возможностями  Любой мало-мальский пользователь Linux, да и Windows наверное тоже, знает об антивирусном сканере ClamAV. Мнения по-поводу этого антивирусника весьма разнятся, одни утверждают, что он достаточно хорош, другие же наоборот, всячески хаят его из-за, якобы маленького процента обнаружения угроз. Так как же его расценивать? А дело здесь вот в чем, где вы берете ту или иную информацию, конечно же в интернете. А где берут информацию те, кто пишет для вас эту информацию - правильно, тоже в интернете. Вот и получается, что написав таким образом нелестный отзыв в году, этак девяносто пятом, этот негативный шлейф, так и тянется до нашего настоящего времени, вместо того, что бы взять и самостоятельно проверить все на практике. Оно и понятно, для этого нужно поднапряться.

  Мое личное мнение в отношении ClamAV, исключая навязчивость, каждый выбирает сам, очень даже благополучное и причиной тому, послужила проверка, всех представленных на этом сайте антивирусов, на процент обнаружения заражений, обычным сканированием, довольно внушительного количества, собранных воедино настоящих реальных вирусов. Так вот, результат был очень впечатляющим и ClamAV показал, точно сейчас не помню, но толи первую, толи вторую результативность. Поэтому, что бы мне не говорили и как бы меня не убеждали, а я знаю только то, что я знаю и не из источников, берущих свое начало с каких-нибудь девяностых годов. Не в коем случае не стоит воспринимать всю эту информацию, как эталон абсолютной истины, просто, если вы решили для себя выяснить реальное положение дел, то нужно взять и сделать и тогда ваше мнение, будет только вашим.

  По-началу, ClamAV предстает перед нами, как допотопный, примитивный сканер. В действительности же, это совсем не так и его возможности могут быть значительно расширены до уровня полнофункционального антивируса, примерно такого же плана, как и Comodo Antivirus for Linux.

На что вообще, он способен:

1) Сканирование по требованию.
2) Сканирование директорий и системы по расписанию.
3) Сканирование устройств.
4) Ручное и автоматическое обновление.
5) Сканирование файлов при обращении.
6) Проверка HTTP трафика на лету (линк сканер).
7) Проверка FTP трафика.
8) Проверка почты.
9) Автопроверка подключаемых устройств.

  Рассмотрим, как его установить и настроить на более ли менее, приличное использование в Ubuntu, для обычных, домашних компьютеров.

Нам понадобится:

1) ClamTK - графический интерфейс вместе с самим ClamAV.
2) Clam Unrar - дополнительный модуль для сканирования RAR-архивов.
3) HAVP - HTTP Antivirus Proxy, проверка сайтов на лету.
4) ClamFS - вирт. файл. система FUSE для авт. проверки закаченных файлов.

  Этого набора, вполне будет хватать для безопасности домашнего "компа", с установленной Ubuntu, можно еще конечно добавить протокол FTP, проверку почты и устройств, но это будет уже другая история.

1. Установка и первоначальная настройка антивируса.

Можно установить через "центр приложений" или через терминал:

sudo apt-get install clamtk

Находим антивирусник в меню Dash и запускаем его:

Рабочее состояние антивируса ClamAV

В верхнем меню: Дополнительно → Параметры и выставляем все галочки:

Окно глобальных настроке ClamAV

  В верхнем меню: Дополнительно → Перезапустить мастер настройки антивируса и выcтавляем на «Автоматически» → Применить.

Выбор режима обновлений в ClamAV

  Закрываем антивирусник и перезагружаем компьютер. После загрузки, запускаем антивирусник и убеждаемся, что произошло обновление. Теперь антивирусник будет обновляться самостоятельно, при запуске системы и запуске самого антивирусника. Как правило, позиция «Обновление графической оболочки», никогда не обновляется. Что бы это устранить, а мне лишний раз не повторяться, читайте здесь ( спойлер № 51):  http://www.linux-info.ru/vopros-otvet3.html.

  Кроме того, если зайти в верхнем меню опять-таки: Дополнительно → Планировщик, то можно настроить сканирование системы или папок по расписанию, а также, время обновления для этого сканирования. Сканировать всю систему в Linux нет необходимости, лучше настроить сканирование домашней папки, а за десять-пятнадцать минут до начала сканирования, установить время обновления.

 

2. Модуль для сканирования RAR-архивов.

Здесь все легко, просто устанавливаем его через "центр приложений" или терминал:

sudo apt-get install clam unrar

 

3. HTTP Antivirus Proxy, проверка сайтов на лету.

Установка через "центр приложений" или терминал:

sudo apt-get install havp

  Что он вообще нам дает? Если сайт заражен, распространяет вирусы или вы решили скачать инфицированный файл, по протоколу HTTP, то данный прибамбас заблокирует все эти действия и предупредит вас об этом, перенаправив на специальную страницу с указанием причины и найденного заражения. HAVP - умеет работать не только с ClamAV, но и с такими антивирусами как: F-Prot, Kaspersky, NOD32, Sophos, AVG, Dr.Web и др., в этом его универсальность и именно поэтому, мы выбрали этот вариант, хотя существуют еще несколько других, для выполнения такой задачи.

  Практически, после установки HAVP уже готов работать, но кое что, мы все-таки подправим. Нужно с правами администратора открыть в редакторе "gedit" следующий файл: /etc/havp/havp.config Открыть файл с соответствующими правами можно многими способами, самый быстрый через терминал:

sudo gedit /etc/havp/havp.config

  Дальше, что бы было удобней и быстрее, можно воспользоваться поиском в самом "gedit(e)", находите строчку: 

#TEMPLATEPATH /usr/local/etc/havp/templates/en

  Раскоментируйте ее, т.е. уберите значок (#) в начале строки и поменяйте (en) на (ru), вот так:

TEMPLATEPATH /usr/local/etc/havp/templates/ru

  Когда обнаруживается заражение и вас перенаправляет на страницу оповещения, по-умолчанию она будет на английском языке. Эта настройка изменит язык страницы на русский (активируется после перезагрузки компьютера). Дальше по той же схеме:

Находите: # FAILSCANERROR true
Меняете на: FAILSCANERROR false

Находите: # SCANIMAGES true
Меняете на: SCANIMAGES false

Находите: # WHITELIST /etc/havp/whitelist
Меняете на: WHITELIST /etc/havp/whitelist

Находите: # MAXSCANSIZE 5000000
Меняете на: MAXSCANSIZE 5000000

Находите: # STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS
Меняете на: STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS

  Все, с конфигурационными настройками покончили, сохраняете изменения и закрываете файл. Также, открываете файл "whitelist" (белый список).

sudo gedit /etc/havp/whitelist

И в конце добавляете:

*/*.gif
*/*.png
*/*.jpg
*.google.com/*
*.yandex.ru/*

  Все, что здесь указано, не будет сканироваться антивирусом, для облегчения нагрузки так сказать. Можно добавить какие-нибудь свои сайты, после чего сохранить изменения и закрыть файл. Есть еще "blacklist" (черный лист), туда можно добавить все то, что наоборот, будет проверяться антивирусом в обязательном порядке, но тогда, главное не забыть в конфигурационном файле раскоментировтаь строчку: # BLACKLIST /etc/havp/blacklist

  Все, настройки сделали, изменения сохранили, файлы закрыли, открываем браузер и прописываем соединение с сервером. Так как, мы в конфигурационном файле нечего этого не меняли, то HTTP-прокси будет: 127.0.0.1 порт 8080. Рассмотрим на примере браузера Firefox. Открываем браузер, в меню: Правка → Настройки → Дополнительно. В позиции «Соединение» → Настроить. Активируем «Ручная настройка сервиса прокси» и прописываем в HTTP прокси: 127.0.0.1 порт: 8080 и нажимаем "ОК".

Настройка прокси сервера в Firefox

Заходим на сайт по адресу: http://www.eicar.org/85-0-Download.html и находим такое:

Фрагмент сайта с таблицей и расположенными в ней тестовыми вирусами для скачивания

  В верхнем ряду (отмечено стрелкой) находятся файлы для протокола HTTP, попробуйте их скачать, если вы все правильно сделали, то вам это не удастся, а взамен вы получите вот такое:

Пример срабатывания ClamAV при проверке сайта по протоколу HTTP

  Таким образом мы получили, как бы линк-сканер, контролирующий весь HTTP-трафик на отсутствие заражений. Но, как видно из предыдущего скриншота, имеются еще файлы для протокола HTTPS в нижем ряду. ClamAV, да не только он, не умеют работать с этим типом протокола, следовательно эти файлы можно без труда скачать. Вопрос, что делать нам в этом случае, если мы случайно, от куда-нибудь, закачаем к себе зараженные файлы, не протоколу HTTP? Вот здесь, нам на помощь придет ClamFS, обеспечивающий мгновенную проверку файлов при попытке их открыть.

 

4. ClamFS - проверка файлов при открытие.

  Установка ClamFS, как и в предыдущих случаях, выполняется аналогично, т.е. через "центр приложений" или терминал:

sudo apt-get install clamfs

  Теперь нам надо распаковать архив и достать из него конфигурационный файл и делать это нужно с правами суперпользователя. Вариантов выполнения есть несколько, мы выбирем самый простой для понимания. Окрываем терминал и запускаем "Nautilus" с правами суперпользователя.

sudo nautilus

  Заходим по следующему пути: /usr/share/doc/clamfs/. Находим архив: clamfs-sample.xml.gz и распаковываем его сюда же. Полученный файл "clamfs-sample.xml" нужно скопировать на рабочий стол, а оставшийся файл можно удалить, что бы не разводить лишнюю грязь. Закрываем "Nautilus", переходим к рабочему столу и перемещаем или копируем этот файл в домашнюю директорию. Открываем файл текстовым редактором - "gedit(oм)" и находим там строчку:

<filesystem root="/tmp" mountpoint="/clamfs/tmp" public="yes" />

Заменяем эту строчку на:

<filesystem root="/home/user name/.ClamFS" mountpoint="/home/user name/Downloads" public="yes" />

  В этой записи: "user name" - ваш ник в системе, ".ClamFS" - папка, которую мы еще не создали, "Downloads" - папка для загрузок в домашней директории, может иметь имя "Загрузки", если у вас русская Ubuntu, у меня тоже русская, но папка, все-равно называется "Dowloads".

  Сохраняем изменения, закрываем файл и переименовываем его в: .clamfs.xml (начинается с точки, скрытый файл). Далее, создаем в домашней директории недостающую скрытую папку: ".ClamFS" (тоже, начинается с точки). Открываем терминал и запускаем виртуалку:

sudo clamfs ~/.clamfs.xml

Результат должен быть таким:

Отображаемая информация в терминале при запуске ClamFS

  Это говорит о том, что у вас все сделано правильно, т.е. все записи, как бы начинаются с зеленого цвета, никаких других выделений. Впрочем, если будет что-то неправильно, то все предупреждения выведутся другим цветом. Если открыть домашнюю папку, то мы увидим следующее:

Защищенная папка антивирусом ClamAV при работающей виртуальной файловой системы ClamFS

  Как видно на снимке, папка для закачек "Downloads" отмечена теперь значком, это говорит о том, что она защищена антивирусом, а в левой колонке появилась примонтированная директория со своей меткой. Осталось сделать еще один последний шаг, а именно, обеспечить автомонтирование нашей виртуальной системы. Открываем файл с привелегированными правами:

sudo gedit /etc/rc.local

В самом конце, перед "exit 0" прописываем:

clamfs /home/user name/.clamfs.xml

  Сохраняем изменения, закрываем файл и перезагружаем компьютер, что бы убедиться, что все работает. После перезагрузки, запускаем браузер, заходим на сайт: http://www.eicar.org/85-0-Download.html и скачиваем файлы и архивы, как мы это делали в первом случае, только теперь уже с нижней колонки, по протоколу HTTPS. Все, что мы скачаем, появится в нашей папке для закачек, зайдите в нее и попробуйте открыть файл или архив. При попытке открытия, вы получите сообщение об ошибке, кроме того, скопировать эти файлы, с целью перенести их в другое место, тоже не получится, будет выводится ошибка, но при этом, копировать файлы и переносить их в эту папку можно.

  На этом можно было бы и закончить, но остается маленький нюанс. Иногда случается так, что вам просто позарез нужно достать из зараженного архива какой-нибудь файл. Вы заведомо знаете о зараженности, но вот вам жизненно необходим конкретный файл. Как это сделать? А вот для этого у нас есть вторая, скрытая папка, которую мы создавали ".ClamFS" и намеренно ее сделали скрытой. Все файлы, которые закачиваются в нашу папку для загрузок и тут же проверяются антивирусом, паралельно будут находиться и в папке ".ClamFS". Эти папки между собой синхронизированы, только ".ClamFS" не проверяется антивирусом и не блокируется в случае заражения.

 

5. Смотрите видео о том, как работает ClamAV.

 
 

Положительные характеристики ClamAV:

  • Полноценный антивирусник, если знать, что и как.


Отрицательные характеристики ClamAV:

  • Да собственно их и нет.


Параметры:

Язык интерфейса:  русский.  
Лицензия:  GNU GPL
Домашняя страница ClamAV:  http://www.clamav.net/lang/en/
Домашняя страница ClamTK:  http://clamtk.sourceforge.net/

Проверялось на «Ubuntu» 12.10 Unity (32-bit.).

 

 

 

Антивирусы для Linux (2)

 

Более старые статьи:

Copyright 2011-2016 Установка ClamAV с расширенными возможностями. All Rights Reserved.
Joomla theme by hostgator coupons