Installer Clamav sur CentOS 7.6
Category:Antivirus,Linux,SécuritéNote
ClamAV (« Clam AntiVirus »), est un logiciel antivirus pour systèmes UNIX et Linux. Il est souvent utilisé avec les serveurs de courriels pour filtrer les virus transportés par ce vecteur. Les virus ciblés sont majoritairement des virus s’attaquant au système d’exploitation Microsoft Windows, et non pas aux systèmes sur lesquels ClamAV s’installe. Toutefois, UNIX et Linux (Tout comme MacOS…) sont vulnérables à quelques dizaines de souches de virus, et il est important de protéger également les machines fonctionnant dans ces environnements, sans compter sur le fait que si ces serveurs abritent des dossiers utilisateurs, on va y trouver tout et n’importe quoi…Le 1 mars 2017, ClamAV affichait 5 902 241 signatures
Installer ClamAV
Pour installer ClamAV sur CENTOS, nous utilisons le repostory EPEL (Extra Packages for Enterprise Linux).
Installer EPEL
yum install epel-releaseInstaller les composants CLAMAV
yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemdConfigurer SELinux pour ClamAV
Si l’on souhaiter utiliser ClamAV avec CentOS et SELinux activé, il faut rajouter une configuration particulière afin que ClamAV puisse accéder à tous les fichiers du disque, et mettre à jour ses fichiers de définition. Permettre « antivirus_can_scan_system »:
setsebool -P antivirus_can_scan_system 1Configuration du daemon Clam
Créer un lien symbolique sur le chemin de fichier par défaut
ln -s /etc/clamd.d/scan.conf /etc/clamd.confEditer le fichier de configuration installé par le package clamd-scanner:
nano /etc/clamd.d/scan.confCommenter la ligne
#ExampleDé-commenter la ligne LocalSocket pour l’activer
LocalSocket /var/run/clamd.scan/clamd.sockSauver et quitter l’éditeur de texte
Démarrer le service et l’activer au démarrage
Démarrer le service
systemctl start clamd@scanEt l’activer au démarrage…
systemctl enable clamd@scanRedémarrer la machine. Pour vérifier le statut du daemon, taper
systemctl status clamd@scanAu besoin, pour désactiver l’agent, tout de même gourmand en ressources…(Souvent ClamAV n’est utilisé que pour des analyses occasionnelles…
systemctl disable clamd@scanInstaller et configure l’updater ClamAV
Pour bénéficier des mises à jour automatique (Le package doit déjà être installé…)
yum install clamav-updateEditer le fichier de configuration:
nano /etc/freshclam.confCommenter la ligne d’exemple:
#ExampleEditer le second fichier de configuration (dans sysconfig…):
nano /etc/sysconfig/freshclamComment cette ligne pour pouvoir utiliser crontab (Les mises à jour sont désactivées par défaut):
#FRESHCLAM_DELAY=disabled-warnSauver et quitter l’éditeur de texte. Lancer la commande freshclam pour mettre à jour la base d’antivirus. Au besoin vous pouvez créer une tâche crontab pour l’exécuter régulièrement.
freshclamTester votre scanner ClamAV
Il est possible de scanner en utilisant le daemon, avec clamdscan, ou en utilisant le client interactif clamscan. Les deux exemples sont fournis ici. On considère que clamdscan est plus économe en ressource, mais il faut qu’il soit chargé en mémoire, et si ce n’est pas le cas, utilisez donc clamscan.
Toujours utiliser l’option –fdpass pour donner les permissions correctes si vous utilisez le daemon clamdscan.
clamdscan --fdpass /var/log/*Pour scanner tout votre système avec lamscan
clamscan -r /Pour scanner tout votre système en t’ache de fond, mais seulement afficher les fichiers infectés:
clamscan -r -i / &Pour scanner les fichiers dans tous les dossiers utilisateurs “home”
clamscan -r /homePour scanner les fichiers dans le dossier “home” d’un utilisateur et déplacer le fichier infecté dans le dossier =/home/USER/VIRUS
clamscan -r --move=/home/USER/VIRUS /home/USERPour scanner les fichiers dans le dossier “home” d’un utilisateur et supprimer le /les fichier (s) infecté (s). Attention, les fichiers seront vraiment supprimés…
clamscan -r --remove /home/USER
