ClamAV: Det viktigaste antivirusprogrammet med öppen källkod för Linux och servrar

  • ClamAV är ett gratis antivirusprogram med öppen källkod, perfekt för GNU/Linux, servrar och blandade system.
  • Dess databas uppdateras ständigt tack vare en stor community och professionellt stöd.
  • Det möjliggör schemalagda skanningar, integration med e-postservrar, avancerad administration och anpassning efter behov.
Pablinux

10 minuter

ClamAV

Datorsäkerhet är ett alltmer relevant ämne i dagens digitala miljö. Att skydda mot virus, trojaner och andra hot har blivit en prioritet för både privatpersoner och företag. Att hålla systemen säkra är nyckeln till att undvika dataförlust, säkerhetsintrång eller avbrott i tjänsten. I detta avseende är det viktigt att ha solida och pålitliga verktyg som ClamAV är avgörande för ett effektivt skydd.

Ett av de mest välkända och använda antivirusprogrammen med öppen källkod på Linux- och Unix-system är det tidigare nämnda ClamAV. Även om det har byggt upp ett rykte som den föredragna lösningen för e-postservrar och GNU/Linux-system, är dess räckvidd mycket bredare och sträcker sig till Windows och macOS. Om du vill veta mer om ClamAV, Hur det fungerar, var det utmärker sig och hur du kan dra nytta av detFortsätt läsa för vi berättar ALLT, in i minsta detalj.

Vad är ClamAV och var kommer det ifrån?

ClamAV är en antivirus med öppen källkod, licensierat under GPLv2, syftar till att upptäcka och ta bort virus, trojaner, skadlig kod och annan skadlig programvara. Projektet, som ursprungligen kommer från Polen, startades av Tomasz Kojm år 2001 och har stadigt utvecklats till att bli en riktmärke för skyddet av främst GNU/Linux-baserade servrar och system. År 2007 integrerades utvecklingsteamet i Sourcefire, och senare, 2013, blev det en del av Cisco, där det nu underhålls av deras cybersäkerhetsavdelning, Talos.

Sedan starten har ClamAV anammat en samarbetsinriktad, öppen och transparent filosofi, vilket har gett dem stöd från universitet, företag och en global gemenskap av användare och utvecklare. Denna stora gemenskap säkerställer snabba svar på nya hot och en virusdatabas som ständigt uppdateras..

Tekniska egenskaper: vad gör den speciell?

ClamAV är programmerad huvudsakligen i C och C++Den är officiellt tillgänglig för flera operativsystem, inklusive GNU/Linux, Windows, FreeBSD, OpenBSD, Solaris och macOS, vilket möjliggör användning i en mängd olika miljöer. Det är viktigt att notera att även om det används flitigt i GNU/Linux, finns det också grafiska gränssnitt och varianter anpassade till varje system:

  • KlamAV för KDE-miljöer.
  • ClamXav för macOS.
  • ClamWin för Windows.
  • Kapten, nyare och som syftar till att ta ClamTK:s plats.

Arkitekturen för ClamAV är modulär, skalbar och flexibelDess främsta styrka ligger i dess flertrådad kärna och användningen av en daemon-process (clamav-daemon) som snabbar upp skanningen, vilket underlättar samtidig analys av flera filer och kataloger utan att systemet saktar ner.

Huvudfunktioner och verktyg

ClamAV Den var ursprungligen utformad för att skanna e-postmeddelanden och bilagor, vilket är anledningen till att den används flitigt på e-postservrar för att upptäcka och förhindra spridning av skadlig kod via e-post. Med tiden har dess tillämpningar utökats och den möjliggör för närvarande:

  • Utför skanningar på begäran eller schemalagda av filer, kataloger och till och med hela system
  • Realtidsövervakning (på GNU/Linux) av filåtkomst, omedelbar detektering och karantän av infekterade filer
  • Automatisk uppdatering av virussignaturdatabasen via FreshClam-tjänsten
  • Skanning av filer och komprimerade arkiv i en mängd olika format som ZIP, RAR, ARJ, TAR, GZ, BZ2, MS OLE2, CHM, CAB, BinHex, SIS eller AutoIt, bland andra
  • Stöd för de flesta e-post- och specialfilformat (HTML, RTF, PDF, uuencode, TNEF, etc.)
  • Karantän och hantering av falskt positiva resultat

Dess bredformatskompatibilitet och fokus på hastighet och effektivitet (mer än 850.000 XNUMX listade underskrifter) utgör ClamAV en robust lösning även för affärs- och kritiska miljöer.

Varför använda ClamAV på Linux?

Även om det finns en vanlig missuppfattning att GNU/Linux-system "inte har virus", är verkligheten att hot existerar, även om de är mindre vanliga än i Windows. ClamAVs roll i Linux Det är vanligtvis mer kopplat till förebyggande och skyddande arbete i andra system:

  • Om du delar filer eller skickar e-postmeddelanden till Windows-system på din Linux-server, upptäcker ClamAV hot som kan påverka dessa datorer, även om din Linux-server inte är direkt komprometterad.
  • I företagsmiljön kan det krävas ett antiviruslager för att erhålla säkerhetscertifieringar, oavsett operativsystem.
  • Upptäck infektioner i nedladdade, delade eller överförda filer och undvik att bli en oavsiktlig kanal för spridning av skadlig kod.

ClamAV hjälper till att stoppa spridningen av skadliga filer och säkerställa säkerhetsstandarder även på system som traditionellt anses vara säkrare.

Installation och uppstart av ClamAV

Att installera ClamAV på vilken GNU/Linux-distribution som helst är mycket enkelt, eftersom de flesta inkluderar det i sina officiella arkiv. Debian, Ubuntu, CentOS, RHEL och derivator tillåter installation med ett enda kommando:

  • På Ubuntu/Debian: sudo apt-get install clamav clamav-daemon.
  • På CentOS/RHEL: sudo yum install clamav (kräver att EPEL-arkivet är aktiverat).
  • Båge: sudo pacman -S clamav.

El paquete clamav-daemon Det är viktigt att antivirusprogrammet kan fungera som en bakgrundstjänst (daemon), vilket möjliggör automatiska skanningar i realtid.

Uppgradering av databas

När installationen är klar är det första kritiska steget uppdatera virusdatabasen med sudo freshclam. Detta laddar ner och tillämpar de senaste signaturerna automatisktSom standard utför freshclam-tjänsten uppdateringar varje timme, vilket säkerställer att ClamAV alltid är redo att upptäcka de senaste hoten.

Starta och aktivera daemonen

Efter installation och uppdatering, och om så önskas, måste du aktivera och starta ClamAV-daemonen:

  • Aktivera: sudo systemctl enable clamav-daemon
  • Start: sudo systemctl start clamav-daemon

Det är viktigt att komma ihåg att även om tjänsten kan visas som "aktiv", kanske fortfarande initialiserasOm du kör kommandon som clamdscan för snabbt efter en start kan du stöta på tillfälliga fel. För en referens om hur du bättre skyddar ditt system, se säkerhetsverktyg i Linux.

Du kan bekräfta att daemonen är redo genom att kontrollera inloggningen /var/log/clamav/clamav.log eller kontrollera förekomsten av uttaget i /var/run/clamav/clamd.ctl.

Anpassad konfiguration och rekommenderade inställningar

När du väl har ClamAV igång är det en bra idé att justera vissa parametrar för att undvika fel och få ut det mesta av det. För att förbättra integrationen och göra det enklare att hantera kan du läsa mer om .

  • Skannar som root och använder –fdpassSom standard använder ClamAV användaren 'clamav', som inte har åtkomst till alla filer. För en omfattande skanning måste du köra kommandona som root eller använda sudo och lägga till alternativet --fdpass.
  • Undvik varningar i specialkatalogerKataloger som /proc, /sys, /run, /dev, /snap, /var/lib/lxcfs/cgroup, /var/spool/postfix/private|public|dev kan generera varningar eftersom de innehåller sockets eller specialfiler som inte kan tolkas. Du kan exkludera dem med hjälp av direktivet Exkludera sökväg en /etc/clamav/clamd.conf.
  • Rekursion i kapslade katalogerOm systemet har många kapslade kataloger kan rekursionsgränsen (standard 30) nås. Du kan kontrollera hur många kapslingsnivåer det finns och utöka parametern. MaxDirectoryRecursion vid behov.
  • Parallellisering och hastighet: Som standard används endast en process. Den inkluderar alternativen --fdpass --multiscan för att dra nytta av flera kärnor och snabba upp analysen.

Praktiska exempel på användning

  • Skanna en specifik katalog eller fil: clamscan -r /ruta/del/directorio ('-r' skannar rekursivt)
  • Analys av hela systemet: clamscan -r / (det kan ta ett tag beroende på skivans storlek)
  • Visa endast infekterade filer: clamscan --infected
  • Skicka infekterade filer till karantän: clamscan --move=/ruta/cuarentena

För miljöer med stora informationsvolymer rekommenderas att använda clamdscan tillsammans med daemonen, eftersom den är mycket snabbare än fristående clamscan.

Automatisering av skanningar och uppdateringar

En av fördelarna med ClamAV är hur enkelt det är att schemalägga regelbundna skanningar för att hålla systemet rent hela tiden. Det finns två huvudsakliga automatiseringsalternativ:

  • CronDu kan skapa schemalagda uppgifter som kör skanningar dagligen, veckovis eller med valfritt annat intervall, och lagra resultaten i en loggfil för senare granskning.
  • Systemd-timersOm du använder en modern distribution kan du dra nytta av systemd-timers för mer flexibilitet (även med slumpmässiga fördröjningar för att undvika samtidiga resursanvändningstoppar på flera servrar).

Du kan till exempel skapa en anpassad tjänst som kör kommandot full scan varje vecka och konfigurerar ett automatiskt e-postmeddelande vid fel, allt hanterat av systemd.

Avancerad hantering: felmeddelanden och anpassning

Om du vill ta säkerheten till nästa nivå är det möjligt Få automatiska e-postmeddelanden om problem med periodiska analyserFör att göra detta, skapa helt enkelt ett skript som registrerar tjänstens status efter varje körning och använder ett utskickningsverktyg (som mailx eller sendmail) för att meddela dig om eventuella fel. Systemds tjänster och timersystem möjliggör elegant och mycket robust integration av denna funktionalitet.

Dessutom med detaljerade loggar som ClamAV genererar kan du granska skanningshistoriken, se när hot upptäcktes och ytterligare justera drifts- och undantagsparametrar baserat på din specifika systemanvändning.

Licens och bidrag

ClamAV har en GPLv2-licens, vilket innebär att dess användning är helt gratis, både på personlig och professionell nivå. Dess öppna utveckling gör det möjligt för vem som helst att bidra med kod, förbättringar eller dokumentation.Dessutom inkluderar den exceptionella komponenter under kompatibla licenser som Apache, MIT, BSD och LGPL, vilket ger den stor flexibilitet och robusthet. Till exempel inkluderar den moduler som Yara (för anpassade regler), zlib, bzip2, libmspack och andra, vilka alla är viktiga för att analysera komprimerade filer och komplexa typer av skadlig kod.

ClamAV-communityn är mycket aktiv. Du kan få tillgång till manualer, guider för att skriva anpassade signaturer, delta i e-postlistor, Discord-chattar och bidra till att förbättra projektet via plattformar som GitHub.

Version och utveckling

ClamAVs utgivningscykel är mycket aktiv. Stabila versioner och betaversioner släpps regelbundet, där buggar åtgärdas och nya funktioner läggs till. Databasen över skadlig kod uppdateras flera gånger om dagen, och alla nya funktioner tillkännages på den officiella bloggen och andra communitykanaler. Nyligen publicerade versioner inkluderar förbättrad kompatibilitet med moderna arkitekturer (x86_64, ARM64), Docker-integration och enkel installation med operativsystemspecifika paket.

ClamAV har blivit en de facto-standard på många Linux-servrar och företagsnätverksinfrastrukturer runt om i världen., tack vare denna ständiga utveckling och snabba reaktion på nya hot.

ClamAV för utvecklare och administratörer: Integration och support

Förutom sin direkta användning som antivirusprogram är ClamAV också ett anpassningsbar och flexibel analysmotor Docker kan enkelt integreras i företagslösningar eller dina egna verktyg. Teknisk dokumentation och onlinemanualer täcker allt från grundläggande installation och konfiguration till att skapa anpassade signaturer och avancerad analys. Det finns specifika verktyg för att arbeta med Docker, paketerade för alla system, och ett API som möjliggör programmatisk interaktion med motorn.

Supporten för utvecklare och administratörer är utmärkt, från forum, e-postlistor och communitychattar till en omfattande dokumentationsdatabas och till och med ett system för bugg- och förfrågningsspårning.

Fördelar och möjliga begränsningar med ClamAV

Styrkor:

  • 100 % öppen källkod, gratis och utan reklam
  • Multiplattform och lättintegrerbar
  • Bra community, ständiga uppdateringar och mycket snabb respons på nya hot
  • Möjlighet att skanna en mängd olika format, inklusive komplexa komprimerade filer
  • Perfekt för kriminalteknik, e-postservrar, fildelning och mer

Möjliga begränsningar:

  • Den inkluderar inte som standard avancerade funktioner som är typiska för kommersiella lösningar (webbskydd, brandvägg, sandlådefunktion etc.)
  • Dess detektering, även om den är effektiv, kan överträffas av andra lösningar inom skrivbordssegmentet för hemanvändare om du letar efter ett fullständigt, proaktivt skydd i realtid (på Linux är åtkomstskydd valfritt och kräver extra konfiguration).

I vilket fall som helst ClamAV är ett mycket effektivt verktyg för snabb upptäckt av skadlig kod, särskilt på servrar och delade miljöer..

ClamAV Det är en robust antiviruslösning, flexibel och med en livlig community bakom sig. Dess förmåga att anpassa sig till nästan alla miljöer och den hastighet med vilken communityn uppdaterar sina signaturer gör det till ett av de bästa alternativen för att skydda Linux-system, e-postservrar och delade filer. Om du letar efter ett gratis, kraftfullt och alltid uppdaterat verktyg är ClamAV en utmärkt allierad att överväga.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.