メモ > サーバ > 構築: 攻撃からの防御 > ClamAV(アンチウィルスソフト)導入(昔試したときのメモ)
■ClamAV(アンチウィルスソフト)導入(昔試したときのメモ)
アンチウイルスソフト導入(Clam AntiVirus)
http://centossrv.com/clamav.shtml
ログから”SelfCheck: Database status OK”を消すの巻
http://blog.trippyboy.com/2011/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/%E3%83%AD%E3%8...
Linuxでの効果的なAntivirus の設定と運用
https://oss.sios.com/security/antivirus-security-20161108
デフォルトでは /var/log/messages に対して、10分ごとに「SelfCheck: Database status OK.」というログが書き出されるのを無効に。
(ここには、もっと重要なログが出力されるべき)
# vi /etc/freshclam.conf … 設定ファイルを編集
※Clamはfreshclam.confを読み込んだあとにclamd.confを読む。
freshclam.confで設定されていない内容はclamd.confの内容が反映されると思われる。(要検証)
#LogSyslog yes … コメントアウトする
# vi /etc/clamd.conf … 設定ファイルを編集
#LogSyslog yes … コメントアウトする
# service clamd restart … Clam AntiVirus を再起動
(EC2 では service clamd.scan restart としないと再起動できない?)
■負荷対策に試したこと
ウイルススキャンはCPUやメモリなどの消費が大きいので、Zabbixなどで監視している場合は警告が頻繁に来る
「CentOSで自宅サーバー構築」で紹介されているスクリプトを使っている場合、
以下のようにするとスキャン対象から除外できる(負荷の問題で、この2つは除外しておいた方がいいみたい)
が、それでも負荷が高い
echo "/proc/" >> clamscan.exclude
echo "/sys/" >> clamscan.exclude
以下を clamscan.exclude に設定するといいかも
つまり /home/ と /var/www/ のみチェック(EC2の場合)。必要に応じてチェック対象は追加
(シェルスクリプトを編集するよりは、設定ファイルの編集に留めた方が安全)
それでもZabbixのアラームが飛ぶサーバがある
/bin/
/boot/
/cgroup/
/dev/
/etc/
/lib/
/lib64/
/local/
/lost+found/
/media/
/mnt/
/opt/
/proc/
/root/
/run/
/sbin/
/selinux/
/srv/
/sys/
/tmp/
/usr/
/var/account/
/var/cache/
/var/crash/
/var/cvs/
/var/db/
/var/empty/
/var/games/
/var/kerberos/
/var/lib/
/var/local/
/var/lock/
/var/log/
/var/nis/
/var/opt/
/var/preserve/
/var/run/
/var/spool/
/var/tmp/
/var/yp/
CPU使用率を抑えて実行する方法はあるらしい?要勉強
http://dev.classmethod.jp/cloud/aws/clamav-process-controled-by-cgroup/
一般ユーザにファイルアップロードを許可していないのなら、
ウイルスチェックは普段停止させておいて、自動起動もOFFにしておく方がいいかも
月に一回など、定期的にウイルスチェックを行うなどで十分かも
# service clamd.scan stop
# chkconfig clamd off
# cd /etc/cron.daily/
# rm virusscan