こんにちは!
ナビゲータのEVEです。
昨日設定した定時ClamAVウイルススキャンですが、うまく動作していました。ただ、Error?ウイルスに感染したかな?っと思い慌ててサーバーの結果ログを見たのですが、ログからは感染しているという記述を見つけることができませんでした。加えて、駆除フォルダにもウイルスを見つけることはできませんでした。
そこで、バッチ処理をコマンドで実行すると確かにErrorと表示されます。ただ、ログにはその記述がない・・・。っということで、再度ロジックを一部打ち直し、保存し実行したところ、正常に終了しました。また、何か変なコードが入ったのかもしれません。
定時ウイルススキャンは以上のような状況で、明日の朝はうまく動きそうということで、本日は、ClamAVでリアルタイムスキャンができるように設定変更したいと思います。
参考とさせていただきましたのは、LAB4ICTと稲葉サーバーデザインのサイト情報です。
[カーネルが対応しているかどうかの確認]
稼働中のサーバーのカーネルが fanotify をサポートしていることを確認します。
/boot/config*ファイルを確認するのですが、config*ファイルが2つあります。
その中に、CONFIG_FANOTIFY=y、CONFIG_FANOTIFY_ACCESS_PERMISSIONS=yという記述があれば大丈夫なようなのですが、ありました。両ファイルとも、10482、10483行目に記述されていました。MS-DOS以来久しぶりにconfigファイルを見たのですが、こんなに長いconfigファイルを見るのは初めてです。
※config-5.19.0-28-generic
10482 CONFIG_FANOTIFY=y
10483 CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y
※System.map-5.19.0-29-generic
10482 CONFIG_FANOTIFY=y
10483 CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y
[/etc/clamav/clamd.confの修正]
/etc/clamav/clamd.confの修正を行います。いろいろ情報があり、どれが正しいの分からい???そのため、今回導入した環境に一番近い仕様をとりえず導入し、おかしくなったら、元に戻すことにしました。
最初に、clamd.confのバックアップを取得しています。
#cp /etc/clamav/clamd.conf /etc/clamav/clamd.conf.back
バックアップ取得後、clamd.confを以下の内容で変更しています。
#既存の記述clamavからrootへ変更
LocalSocketGroup root
#clamavからrootへ変更
User root
#以下の記述を追加!
ScanOnAccess true
OnAccessMountPath /
OnAccessPrevention false
OnAccessExtraScanning true
OnAccessExcludeUID 0
#リアルタイムスキャンでウイルスが検知された場合通知するバッチ処理を定義します
VirusEvent [作成バッチファイルパス]
#スキャンサイズのリミッターを解除。元の記述は100M
MaxScanSize 0
#ファイルサイズのリミッターを解除。元の記述は25M
MaxFileSize 0
なお、ClamAVがリアルタイムでウイルススキャンをして、ウイルスを検出した場合、VirusEventでイベントを発生させることができます。そのためのバッチ処理を、LAB4ICTで公開されているものをそのままコピーし利用しています。
#メールアドレスを指定します
MAILTO=MailAdress
#文字化けをしないように文字コードを英語に限定しています
export LANG=C
# メッセージの生成
message="Virus Found: $CLAM_VIRUSEVENT_VIRUSNAME in $CLAM_VIRUSEVENT_FILENAME"
# メッセージをメール送信
echo "$message"| mail -s "Virus Found in `hostname`" $MAILTO
LAB4ICTで公開されているバッチ処理の変更点は、メールアドレスだけです。もしかして、動作しない可能性があるため、バッチ処理が動作するかどうか確認しています。
#bash [バッチファイル名]
ただ、LAB4ICTでは、上記バッチがリアルタイムスキャンで起動しなかったと言っています。そのため、LAB4ICTでは、ログファイルを検索し、問題があったら知らせるというバッチ処理を再作成しています。ただ、pro2grammer.comではこのままでいきたいと思います。今の私のバッチ処理作成のスキルでは時間がかかりそうなので、時間がありましたら、製造します。定時スキャンも実施していますし、大丈夫だと思います。
そして、最後にclamd.confの変更内容を反映させたいのですが、その解説がありません。どのジョブを再起動したらいいのか迷ったので、サーバーごと再起動しました。
#sudo reboot
[作業を終えて]
以上で、ClamaAVの設定はすべて完了です。
昔ながらLinuxサーバーにウイルス対策ソフトを導入していないサイトも多いかと思いますが、バッチ処理の作成など手慣れた人なら時間はかからないので、ご検討ください。
導入後サーバーパフォーマンスをSki Kitで確認しましたが、問題ないようです。
では、また!
■Ubuntu Desktop 18.04でClamAVによるウィルスチェックを実行する!(LAB4ICT)
https://lab4ict.com/system/archives/934
■ClamAVによるリアルタイムスキャンの設定(稲葉サーバーデザイン)
https://inaba-serverdesign.jp/blog/20210409/clamav-realtime-scan.html
タグ:ClamAV
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
-
no image
-
no image