LINUX:Clamav
→ retour au menu pour contrer les attaques
But
Une protection inévitable actuellement est la mise en oeuvre d'y-un anti-virus. Sous Linux le plus connu est ClamAV.
Il est possible de le placer en mode daemon; dans ce cas, tout fichier accédé est analysé. Il est aussi possible de l'intégrer un un serveur de messagerie.
Nous n'utiliserons pas ce mode. Nous nous contenterons d'une analyse périodique des fichiers hors système.
Installation
Etape inévitable, il faut installer divers paquets:
dnf install clamav clamav-freshclam clamav-unofficial-sigs clamav-doc
Le premier installe ClamAV, le second installe le nécessaire pour récupérer régulièrement les signatures de virus, le troisième permet de récupérer des signatures de virus complémentaires. Le dernier installe la documentation mais n'est pas absolument nécessaire.
Freshclam
Freshclam permet de récupérer les signatures officielles de virus.
Configuration
Le fichier de configuration est "/etc/freshclam.conf". Nous allons y activer une option de façon a avoir une trace de son activité:
UpdateLogFile /var/log/freshclam/freshclam.log
Et en conséquence, il faut créer ce répertoire du journal "freshclam":
mkdir /var/log/freshclam
et donner les droits:
chmod -R 700 /var/log/freshclam chown -R clamupdate:clamupdate /var/log/freshclam
Activation
Cette récupération doit se faire de façon régulière. Pour cette tâche, il existe un service. On l'active et on le lance:
systemctl enable clamav-freshclam-once.timer systemctl start clamav-freshclam-once.timer
Mais on va le lancer une première fois de façon manuelle par cette commande:
freshclam
Sinon il faudra attendre la première exécution du service et vérifier dans le journal que tout s'est bien déroulé.
Signatures de virus non officielles
Ce complément charge les signatures de virus non officielles.
Configuration
Les fichiers de configurations se trouvent dans le répertoire "/etc/clamav-unofficial-sigs". Nous les laissons tels quels.
Firewall
Eventuellement, il faut ajouter une règle en sortie si vous contrôlez le trafic sortant dans le fichier "/etc/sysconfig/iptables":
-A OUTPUT -p tcp -m tcp --dport 873 -m conntrack --ctstate NEW -j ACCEPT
Activation
Son lancement est actif via le service Cron.
Son script de lancement est "/etc/cron.d/clamav-unofficial-sigs". Il se lance toutes les heures.
Le fichier journal est "/var/log/clamav-unofficial-sigs/clamav-unofficial-sigs.log".
On peut le lancer manuellement pour vérification.
/bin/bash /usr/sbin/clamav-unofficial-sigs.sh
Scan
Maintenant que tous les éléments sont en place, on peut passer à l'étape de vérification de la présence de virus.
Nous allons utiliser la commande "clamscan". Nous allons effectuer ce traitement de façon périodique via le service Cron.
Voici un exemple de script que l'on nommera "/produc/cron/clamav/clamscan.bat":
#!/bin/bash # détection de virus - ClamAV CHEMIN="/produc/cron/clamav" # exécution #===================== # # liste des répertoires à analyser # LISTE="/home /web" #===================== echo " " > $CHEMIN/clamscan.log for RACINE in $LISTE do cd $RACINE echo "---------------------------------------------------------------" >> $CHEMIN/clamscan.log echo $RACINE >> $CHEMIN/clamscan.log /usr/bin/ionice -c2 -n7 /usr/bin/nice -n 10 /usr/bin/clamscan --exclude="\\.(jpg|png|tif|jpeg|heic)$" -i -r $RACINE >> $CHEMIN/clamscan.log done cat $CHEMIN/clamscan.log
Dans ce script, on analyse deux répertoires de façon récursive (par exemple "/home" et "/web"). On a spécifié que certains fichiers images ne sont pas scannés. Le résultat est stocké fans le fichier "/produc/cron/clamav/clamscan.log". Il est affiché ("cat ..."); de cette façon, le résultat sera envoyé par mail. Pour ne pas mobiliser trop de ressources, on diminue la priorité de ce processus ("nice" et "ionice").
On ajoute ensuite une entrée dans le fichier "/etc/crontab":
10 2 * * 0 root /produc/cron/clamav/clamscan.bat
Dans cet exemple, il est lancé une fois par semaine, le dimanche.
→ retour au menu pour contrer les attaques