ClamAV: Основният антивирус с отворен код за Linux и сървъри

  • ClamAV е безплатен антивирус с отворен код, идеален за GNU/Linux, сървъри и смесени системи.
  • Базата му данни се актуализира постоянно благодарение на голяма общност и професионална поддръжка.
  • Позволява планирани сканирания, интеграция с пощенски сървъри, разширено администриране и персонализиране според нуждите.
Pablinux

10 Minutos

ClamAV

Компютърната сигурност е все по-актуална тема в днешната дигитална среда. Защитата от вируси, троянски коне и други заплахи се превърна в приоритет както за частните потребители, така и за бизнеса. Поддържането на сигурността на системите е ключово за избягване на загуба на данни, нарушения на сигурността или прекъсвания на услугите. В тази връзка, наличието на солидни и надеждни инструменти, като например... ClamAV е от съществено значение за ефективна защита.

Една от най-известните и широко използвани антивирусни програми с отворен код за Linux и Unix системи е гореспоменатият ClamAV. Въпреки че си е изградила репутация на предпочитано решение за пощенски сървъри и GNU/Linux системи, обхватът ѝ е много по-широк и се простира до Windows и macOS. Ако искате да научите повече за ClamAV, Как работи, къде е най-добрият и как можете да се възползвате от негоПродължете да четете, защото ще ви разкажем ВСИЧКО, до най-малкия детайл.

Какво е ClamAV и откъде идва?

ClamAV е антивирус с отворен код, лицензиран под GPLv2, е насочен към откриване и премахване на вируси, троянски коне, зловреден софтуер и друг зловреден софтуер. Проектът, първоначално създаден в Полша, е стартиран от Томаш Койм през 2001 г. и непрекъснато се развива, за да се превърне в еталон в защитата предимно на сървъри и системи, базирани на GNU/Linux. През 2007 г. екипът за разработка е интегриран в Sourcefire, а по-късно, през 2013 г., става част от Cisco, където сега се поддържа от подразделението за киберсигурност Talos.

От самото си създаване ClamAV възприема философия на сътрудничество, отвореност и прозрачност, което му е спечелило подкрепата на университети, корпорации и глобална общност от потребители и разработчици. Тази голяма общност осигурява бърза реакция на нови заплахи и вирусна база данни, която се актуализира постоянно..

Технически характеристики: какво го прави специален?

ClamAV е програмиран предимно на C и C++Официално е достъпен за множество операционни системи, включително GNU/Linux, Windows, FreeBSD, OpenBSD, Solaris и macOS, което позволява използването му в голямо разнообразие от среди. Важно е да се отбележи, че въпреки че е широко използван в GNU/Linux, съществуват и графични интерфейси и варианти, пригодени за всяка система:

  • KlamAV за KDE среди.
  • ClamXav за macOS.
  • ClamWin за Windows.
  • Капитан, по-нов и който има за цел да замени ClamTK.

Архитектурата на ClamAV е модулен, мащабируем и гъвкавОсновната му сила се крие в многонишково ядро и използването на демоничен процес (clamav-daemon), който ускорява сканирането, улеснявайки едновременния анализ на множество файлове и директории, без да забавя системата.

Основни функции и помощни програми

ClamAV Първоначално е проектиран за сканиране на имейли и прикачени файлове, поради което се използва широко в имейл сървъри за откриване и предотвратяване на разпространението на зловреден софтуер чрез имейл. С течение на времето приложенията му се разшириха и в момента позволява:

  • Извършвайте сканиране при поискване или по график на файлове, директории и дори цели системи
  • Мониторинг в реално време (на GNU/Linux) на достъпа до файлове, незабавно откриване и поставяне под карантина на заразените файлове
  • Автоматично актуализиране на базата данни със сигнатури на вируси чрез услугата FreshClam
  • Сканиране на файлове и компресирани архиви в голямо разнообразие от формати, като ZIP, RAR, ARJ, TAR, GZ, BZ2, MS OLE2, CHM, CAB, BinHex, SIS или AutoIt, между другото
  • Поддръжка за повечето имейл и специални файлови формати (HTML, RTF, PDF, uuencode, TNEF и др.)
  • Карантина и управление на фалшиво положителни резултати

Широката му съвместимост с формати и фокусът върху скорост и ефективност (повече от 850.000 XNUMX регистрирани подписа) правят от ClamAV е надеждно решение дори за бизнес и критични среди.

Защо да използвам ClamAV на Linux?

Въпреки че съществува често срещано погрешно схващане, че GNU/Linux системите „нямат вируси“, реалността е, че макар и по-рядко срещани, отколкото в Windows, заплахи съществуват. Ролята на ClamAV в Linux Обикновено е по-свързано с превантивната и защитна работа на други системи:

  • Ако споделяте файлове или изпращате имейли до Windows системи на вашия Linux сървър, ClamAV открива заплахи, които могат да засегнат тези компютри, дори ако вашият Linux не е директно компрометиран.
  • В корпоративна среда, получаването на сертификати за сигурност може да изисква антивирусен слой, независимо от операционната система.
  • Откривайте инфекции в изтеглени, споделени или прехвърлени файлове, като избягвате да бъдете неволен канал за разпространение на зловреден софтуер.

ClamAV помага за спиране на разпространението на злонамерени файлове и гарантира стандарти за сигурност дори в системи, традиционно считани за по-сигурни.

Инсталиране и стартиране на ClamAV

Инсталирането на ClamAV на всяка GNU/Linux дистрибуция е много лесно, тъй като повечето го включват в официалните си хранилища. Debian, Ubuntu, CentOS, RHEL и производните им позволяват инсталиране с една команда:

  • В Ubuntu/Debian: sudo apt-get install clamav clamav-daemon.
  • В CentOS/RHEL: sudo yum install clamav (изисква активирано EPEL хранилище).
  • Арка: sudo pacman -S clamav.

пакет clamav-демон От съществено значение е антивирусната програма да може да функционира като фонова услуга (демон), като по този начин позволява автоматично сканиране в реално време.

Надграждане на база данни

След инсталирането, първата критична стъпка е актуализирайте вирусната база данни с sudo freshclam. Това изтегля и прилага автоматично най-новите подписиПо подразбиране услугата freshclam изпълнява актуализации на всеки час, като по този начин се гарантира, че ClamAV е винаги готов да открива най-новите заплахи.

Стартирайте и активирайте демона

След инсталирането и актуализирането, и ако желаете, трябва активирайте и стартирайте демона ClamAV:

  • Активиране: sudo systemctl enable clamav-daemon
  • Начало: sudo systemctl start clamav-daemon

Важно е да запомните, че въпреки че услугата може да изглежда като „активна“, може би все още се инициализираАко изпълнявате команди като clamdscan твърде бързо след зареждане, може да срещнете временни грешки. За справка как да защитите по-добре системата си вижте инструменти за сигурност в Linux.

Можете да потвърдите, че демонът е готов, като проверите входа в системата. /var/log/clamav/clamav.log или проверка на съществуването на сокета в /var/run/clamav/clamd.ctl.

Персонализирана конфигурация и препоръчителни настройки

След като ClamAV е стартиран и работи, е добре да коригирате някои параметри, за да избегнете грешки и да извлечете максимума от него. За да подобрите интеграцията и да улесните управлението му, можете да научите повече за .

  • Сканиране като root и използване на –fdpassПо подразбиране ClamAV използва потребителя „clamav“, който няма достъп до всички файлове. За цялостно сканиране трябва да изпълните командите като root или да използвате sudo и да добавите опцията --fdpass.
  • Избягвайте предупрежденията в специални директорииДиректории като /proc, /sys, /run, /dev, /snap, /var/lib/lxcfs/cgroup, /var/spool/postfix/private|public|dev може да генерира предупреждения, защото съдържат сокети или специални файлове, които не могат да бъдат анализирани. Можете да ги изключите, използвайки директивата ИзключиПът en /etc/clamav/clamd.conf.
  • Рекурсия във вложени директорииАко системата има много вложени директории, може да е достигнат лимитът за рекурсия (по подразбиране 30). Можете да проверите колко нива на влагане има и да разширите параметъра. MaxDirectoryRecursion ако е необходимо.
  • Паралелизация и скорост: По подразбиране се използва само един процес. Той включва опциите --fdpass --multiscan да се възползвате от множество ядра и да ускорите анализа.

Практически примери за използване

  • Сканиране на конкретна директория или файл: clamscan -r /ruta/del/directorio ('-r' сканира рекурсивно)
  • Анализ на цялата система: clamscan -r / (може да отнеме известно време в зависимост от размера на диска)
  • Показване само на заразени файлове: clamscan --infected
  • Изпращане на заразените файлове под карантина: clamscan --move=/ruta/cuarentena

За среди с големи обеми информация се препоръчва използването на сканиране с миди заедно с демона, тъй като е много по-бърз от самостоятелния clamscan.

Автоматизация на сканиранията и актуализациите

Едно от предимствата на ClamAV е колко лесно е да планирате редовни сканирания, за да поддържате системата си чиста по всяко време. Има две основни опции за автоматизация:

  • CronМожете да създавате планирани задачи, които изпълняват сканирания ежедневно, седмично или през всеки друг интервал, като съхраняват резултатите в лог файл за по-късен преглед.
  • Системни таймериАко използвате модерна дистрибуция, можете да се възползвате от таймерите на systemd за по-голяма гъвкавост (дори при случайни закъснения, за да избегнете едновременни пикове в използването на ресурси на множество сървъри).

Например, можете да създадете персонализирана услуга, която изпълнява командата за пълно сканиране всяка седмица и конфигурира автоматично известяване по имейл в случай на неуспех, като всичко това се управлява от systemd.

Разширено управление: известия за грешки и персонализиране

Ако искате да изведете сигурността на следващото ниво, това е възможно Получавайте автоматични имейл известия за проблеми с периодичните анализиЗа да направите това, просто създайте скрипт, който записва състоянието на услугата след всяко изпълнение и използва инструмент за изпращане на поща (като mailx или sendmail), за да ви уведоми за евентуални неуспехи. Системата за услуги и таймери на Systemd позволява елегантна и изключително стабилна интеграция на тази функционалност.

Освен това, с подробни логове които ClamAV генерира, можете да одитирате историята на сканирането, да видите кога са открити заплахи и допълнително да коригирате параметрите за работа и изключване въз основа на специфичното използване на системата.

Лиценз и приноси

ClamAV се радва на Лиценз за GPLv2, което означава, че използването му е напълно безплатно, както на лично, така и на професионално ниво. Отворената му разработка позволява на всеки да допринесе с код, подобрения или документация.В допълнение, той включва изключителни компоненти под съвместими лицензи като Apache, MIT, BSD и LGPL, което му осигурява голяма гъвкавост и стабилност. Например, той включва модули като Yara (за персонализирани правила), zlib, bzip2, libmspack и други, всички от които са от съществено значение за анализ на компресирани файлове и сложни типове зловреден софтуер.

Общността на ClamAV е много активна. Можете да получите достъп до ръководства и наръчници за писане на персонализирани подписи, да участвате в пощенски списъци, чатове в Discord и да допринесете за подобряването на проекта чрез платформи като GitHub.

Версия и еволюция

Цикълът на издания на ClamAV е много активен. Редовно се пускат стабилни и бета версии, които отстраняват грешки и добавят нови функции. Базата данни за злонамерен софтуер се актуализира няколко пъти на ден, а всички нови функции се обявяват в официалния блог и други канали на общността. Последните издания включват подобрена съвместимост със съвременни архитектури (x86_64, ARM64), интеграция с Docker и лекота на инсталиране с помощта на специфични за операционната система пакети.

ClamAV се превърна в де факто стандарт за много Linux сървъри и корпоративна мрежова инфраструктура по целия свят., благодарение на тази постоянна еволюция и бърза реакция на нови заплахи.

ClamAV за разработчици и администратори: Интеграция и поддръжка

В допълнение към директното си използване като антивирус, ClamAV е и... персонализируем и адаптивен аналитичен механизъм Docker може лесно да се интегрира в корпоративни решения или във ваши собствени инструменти. Техническата документация и онлайн ръководствата обхващат всичко - от основна инсталация и конфигурация до създаване на персонализирани сигнатури и разширен анализ. Има специфични помощни програми за работа с Docker, пакетирани за всички системи, и API, който позволява програмно взаимодействие с двигателя.

Поддръжката за разработчици и администратори е отлична, от форуми, пощенски списъци и чатове в общността до обширна база данни с документация и дори система за проследяване на грешки и заявки.

Предимства и възможни ограничения на ClamAV

Силни страни:

  • 100% отворен код, безплатно и без реклама
  • Многоплатформен и лесно интегрируем
  • Страхотна общност, постоянни актуализации и много бърза реакция на нови заплахи
  • Възможност за сканиране на голямо разнообразие от формати, включително сложни компресирани файлове
  • Перфектен за криминалистика, пощенски сървъри, споделяне на файлове и други

Възможни ограничения:

  • По подразбиране не включва разширени функции, типични за търговски решения (уеб защита, защитна стена, пясъчник и др.).
  • Въпреки че е ефективно, откриването му може да бъде надминато от други решения в сегмента на настолните компютри за домашни потребители, ако търсите пълна проактивна защита в реално време (в Linux защитата при достъп е опционална и изисква допълнителна конфигурация).

Във всеки случай, ClamAV е много ефективен инструмент за бързо откриване на зловреден софтуер, особено на сървъри и споделени среди..

ClamAV Това е надеждно антивирусно решение, гъвкав и с динамична общност зад него. Способността му да се адаптира към почти всяка среда и скоростта, с която общността актуализира своите сигнатури, го правят един от най-добрите варианти за защита на Linux системи, имейл сървъри и споделени файлове. Ако търсите безплатен, мощен и винаги актуален инструмент, ClamAV е чудесен съюзник, който да обмислите.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорник за данните: AB Internet Networks 2008 SL
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.