ClamAV Antivirus effektiv nutzen

  • Hallo Ihr Lieben,


    hier eine kleine Anleitung wie Ihr folgende Grundkonfiguration auf die Beine stellt:

    • Eingehende und ausgehende Emails mit ClamAV untersuchen und ggf in einen Quarantäne- Ordner schubsen (Kontact).
    • Den Download- Ordner im OnAccess Modus überwachen und verdächtige Dateien in einen Quarantäne Ordner schubsen

    1. Grundkonfiguration

    Leider wird clamd nicht out of the box starten wegen Socketproblemen. Auch wird sich die Datenbank des Scanners nicht aktualisieren wegen einem zu geringen TimeOut. Auch die Verhaltenskonfiguration ist per Standard nicht der Hit.... Das ändern wir als Erstes,

    unter der Annahme daß

    • clamd über den User sowie die Gruppe vscan läuft
    • Die UID des Users vscan 65 ist

    Mittels vi /etc/clamd.conf folgende Einträge sicherstellen:

    Dann die Logdatei anlegen, Verzeichnissrechte setzen und den Dienst aktivieren - mit folgenden Befehlen:

    Code: Bash Konsole
    mkdir /var/log/clamav
    touch /var/log/clamav/logs
    chown -R vscan:vscan /var/log/clamav/logs
    mkdir /opt/clamd/
    touch /opt/clamd/clamd-socket
    chown -R vscan:vscan /opt/clamd/
    systemctl restart clamd
    systemctl enable clamd


    Damit Freshclam wieder Updates findet, den Connectiontimeout erhöhen mittels vi /etc/freshclam.conf
    Code: /etc/freshclam.conf
    ConnectTimeout 60

    Dann manuell aktualisieren und den Dienst aktivieren

    Code: Bash Konsole
    freshclam
    systemctl restart freshclam
    systemctl enable freshclam

    Aktivieren von OnAccess Scanning (Download Ordner)

    Quarantäne Ordner anlegen, Das Startscript "StartClamavOnAccessScanner" anlegen, es mit Code befüllen und ausführbar machen:
    Code: Bash Konsole
    mkdir ~/.Infected
    cd ~/bin
    mkdir system
    cd system
    vi StartClamavOnAccessScanner
    chmod +x ./StartClamavOnAccessScanner

    Im vorletzten Schritt, bei Anlage des Scripts, fütterst Du es mit dem folgenden Code:

    Bash: /home/DEINNAME/bin/system/StartClamavOnAccessScanner
    #!/bin/bash
    sleep 20s
    sudo -u root /usr/sbin/clamonacc --move=/home/DEINNAME/.Infected
    output=$(ps aux | awk '$11=="/usr/sbin/clamonacc"') 
    if [ ${#output} == 0 ]
        then 
            kdialog --msgbox "ClamAV OnAccess Scanner konnte NICHT gestartet werden !"
        else
            kdialog --msgbox "ClamAV OnAccess Scanner überwacht den Download Ordner"
    fi

    Dann unter Yast → Sicherheit und Benutzer → Sudo einen Eintrag für den Befehl anlegen:


    Nun kann ein Autostarteintrag für das Script angelegt und bei jedem Reboot erfolgreich ausgeführt werden:


    Aktiviren des Mailscanners

    Als Vorbereitung in den lokalen Mailordnern 1 Unterordner anlegen:

    • Infected


    Dann in KMail über Extras → Antivirus Assistent den Scanner auswählen und aktivieren. Danach die dazugehörigen Filter einrichten unter Eintellungen → Filter einrichten:

    1. Filter „Clam Antivirus Check“
      1. Reiter „Allgemein“ kann in den Standard Einstellungen belassen werden
      2. Im Reiter „Erweitert“ folgendes festlegen:
        1. Diesen Filter auf eingehende Nachrichten anwenden
          1. von allen Postfächern
        2. Diesen Filter vor dem Senden von Nachrichten anwenden
    2. Filter „Virusbekämpfung“
      1. Reiter „Allgemein“
        1. Unter Filteraktion betroffene Emails in den erstellten Lokalordner „Infected“ schubsen lassen
      2. Im Reiter „Erweitert“ folgendes festlegen:
        1. Diesen Filter auf eingehende Nachrichten anwenden
          1. von allen Postfächern
        2. Diesen Filter vor dem Senden von Nachrichten anwenden
        3. Bearbeitung hier beenden, falls Filterbedingung zutrifft



    Im letzten Schritt dann das involvierte Script optimieren:

    vi /usr/bin/kmail_clamav.sh


    Ach ja: wenn Du permissions.secure aktiviert haben solltest, musst Du den User "Vscan" (nebst Deinem eigenen, was Du aber bereits getan haben wirst) in die User-Gruppe "Trusted" schieben.


    So... Dann ein beherzter Neustart.


    Du wirst hoffentlich mit einem PopUp Fenster begrüsst welches Dir sagt, daß Dein Download Ordner nun überwacht wird :)


    Testen kannst Du die Abläufe auch - besorg Dir dazu eine "EICAR.COM" Testsignatur - das ist eine Textdatei.


    Ich würde zusätzlich über ClamTK einen Cron anlegen, der täglich 1x Deinen Userordner scannt.

    Das war hilfreich ?

    Dann schenk mir doch ein Like <3

    Big Data unser,

    das Du gespeichert bist in der Cloud, Deine RFC komme, Dein Rollout geschehe,

    sowohl auf dem Front- als auch in dem Backend, unser tägliches Update gib uns heute,

    und vergib uns unsere Bedienungsfehler, wie auch wir vergeben Deine Bugs (ach nee, sind ja Features),

    und schicke uns nicht auf die Blacklist sondern erlöse uns von Apple,

    Denn Dein ist das Kontingente und das Funktionsrechtum und die Roadmap im ewigen Lifecycle

    LogIn

    <3

    Einmal editiert, zuletzt von DarkTrinity ()

    Für den Inhalt des Beitrages 293428 haftet ausdrücklich der jeweilige Autor: DarkTrinity