clamfsでリアルタイムウイルススキャン

/ Linux/Unix / Comment[0]
Linuxをターゲットとするウイルスは少ないが、SambaでHDDをWindowsと共有しているとなるとウイルスの問題は無視できなくなる
ってかHDDにゴミファイルが存在するのはなんか気持ち悪い
というわけで、リアルタイムウイルススキャンが有効なファイルシステム「clamfs」を導入してみた

$ sudo apt-get update
$ sudo apt-get clamfs clamav

/usr/share/doc/clamfsのREADME.Debianによると、
/usr/share/doc/clamfs/clamfs-sample.xml.gzっていうテンプレxmlファイルを編集して、/etc/clamfs.xml、
/etc/clamfs/filesyste_name.xmlまたは、~/.clamfs.xmlにコピーしろと書いてある

テンプレを解凍
$ gunzip /usr/share/doc/clamfs/clamfs-sample.xml.gz

/etc/clamfs.xmlにコピー
$ cp /usr/share/doc/clamfs/clamfs-sample.xml /etc/clamfs.xml

clamfs.xmlを編集
$ vi /etc/clamfs.xml
:
<filesystem root="/storage" mountpoint="/clamfs/storage" public="yes" />
:
まず編集すべきところはfilesystemのとこ
あとはお好みでfile maximal-sizeとかホワイトリスト、ブラックリストなどを編集する

マウントポイントを作成
$ mkdir -p /clamfs/storage

システム起動時に開始
$ sudo vi /etc/rc.local
clamfs /etc/clamfs.xml


元ディレクトリは保護されないので、sambaのエクスポートディレクトリを/storageから/clamfs/storageに変更
$ sudo vi /etc/samba/smb.conf
[Storage]
comment = ディスクスペース
browseable = yes
writable = yes
path = /clamfs/storage
$ sudo service smbd restart

設定完了


clamfsを起動してみる
$ sudo clamfs /etc/clamfs.xml
11:31:24 (clamfs.cxx:963) ClamFS v1.0.1
11:31:24 (clamfs.cxx:964) Copyright (c) 2007,2008 Krzysztof Burghardt <krzysztof@burghardt.pl>
11:31:24 (clamfs.cxx:965) http://clamfs.sourceforge.net/
11:31:24 (clamfs.cxx:1050) chdir to our 'root' (/storage)
11:31:24 (clamfs.cxx:1091) ScanCache initialized, 16384 entries will be kept for 10800000 ms max.
11:31:24 (clamfs.cxx:1102) Statistics module initialized
11:31:24 (rlog.cxx:84) logs goes to syslog
おk

$ tail -f /var/log/syslog
Sep 13 11:38:24 Phantom0 clamfs: logs goes to syslog
Sep 13 11:38:24 Phantom0 clamfs: extension ACL size is 47 entries

EICARテストファイルをclamfsに落っことしてみる
$ wget -O /clamfs/storage/eicar.com http://www.eicar.org/download/eicar.com
/clamfs/storage/eicar.com: 許可されていない操作です

smbclientでテストファイルを送ってみる
$ smbclient //phantom0/Storage
smb: \> put eicar.com
NT_STATUS_ACCESS_DENIED opening remote file \eicar.com

syslogの方は
$ tail -f /var/log/syslog
:
Sep 13 11:41:36 Phantom0 clamfs: (phtm:5890) (phtm:1000) /eicar.com: forced anti-virus scan because extension blacklisted

完璧

ブラウザのダウンロードディレクトリやキャッシュディレクトリとかにも設定したら最高だね
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可