Linuxに悪意のあるソフトウェア検出ツールLMDおよびウイルス対策エンジンClamAVをインストールして使用
2764 ワード
Linux悪意ソフトウェア検出ツール(MalDet、またはLMDと略称する)とClamAV(アンチウイルスエンジン)である.GPL v 2ライセンスを用いて発表された悪意のあるソフトウェアスキャンツールであり、ホスト管理環境のために設計されている.
インストール
EMAIL ALERTS(メールリマインダ) QUARANTINE OPTIONS(アイソレーションオプション) SCAN OPTIONS(スキャンオプション) STATISTICAL ANALYSIS(統計解析) MONITORING OPTIONS(モニタオプション) 各部分には、LMDがどのように動作するか、どのような機能特性が使用できるかを示すいくつかの変数が含まれている. email_alert検出結果を通知するメール、email_が設定されている場合alert=1、email_を設定subj="Your subject here"とemail_addr=username@localhost. quar_hitsの悪意のあるソフトウェア襲撃に対するデフォルトの隔離操作(0:注意のみ、1:隔離して注意する). quar_cleanが文字列に基づく悪意のあるソフトウェア注入をクリーンアップするかどうか(quar_hitsが有効になる必要がある). quar_suspは、襲撃されたユーザに対するデフォルトの一時停止操作を行い、所属ファイルが襲撃されたと確認されたアカウントを無効にすることができる(quar_hitsが有効になる必要がある). clamav_scan=1は、LMDがClamAVのバイナリコードの有無を検出しようとすることを伝える、デフォルトスキャナエンジンとして機能する.これにより、最大4倍のスキャン性能と優れた16進数分析を得ることができる.このオプションはClamAVのみをスキャナエンジンとして使用する、LMDの特徴は脅威を検出する基礎である.
ClamAVのインストール
インストール
LMDはオンラインソフトウェアライブラリから入手できず、パッケージファイルとしてプロジェクト公式サイトから配布される.パッケージファイルには最新バージョンのソースコードが含まれています.# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.3/
# ./install.sh
インストールが完了したら、cron.dailyスクリプトを/etc/cron.dailyに入れるだけで、cron(計画タスク)による毎日の実行をスケジュールできます.
コンフィギュレーション
LDMのプロファイルは/usr/local/maldete.にあります.選択肢はすべて十分な注釈を行った.不明な点があれば/usr/local/src/maldetect-1.4.2/READMEを参照してください.
プロファイルでは、次のセクションが表示されます.
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
# cd maldetect-1.6.3/
# ./install.sh
LDMのプロファイルは/usr/local/maldete.にあります.選択肢はすべて十分な注釈を行った.不明な点があれば/usr/local/src/maldetect-1.4.2/READMEを参照してください.
プロファイルでは、次のセクションが表示されます.
ClamAVのインストール # yum -y install clamav clamav-devel
clamAVはEpelリポジトリにあり、見つからない場合は、次のコマンドを実行します.# yum -y install epel-release
ウイルスライブラリの更新# freshclam
けんしゅつ
EICARテストファイル(http://www.eicar.org/86-0-Intended-use.htmlEICARのWebサイトからダウンロード可能# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar_com.zip
# wget http://www.eicar.org/download/eicarcom2.zip
手動でmaldetを実行する# maldet --scan-all /var/www/
LMDではワイルドカードも使用できます.zipファイルなど、何らかのタイプのファイルをスキャンしたい場合は、次のようにできます.# maldet --scan-all /var/www/*.zip
スキャンが完了すると、LMDから送信されたEメールを確認したり、次のコマンドでレポートを表示したりできます.# maldet --report 021015-1051.3559
すべての独立ファイルを削除# rm -rf /usr/local/maldetect/quarantine/*
# maldet --clean SCANID
maldetはcronと統合する必要があるため、rootのcrontabに次の変数(rootユーザーとしてcrontab–eを入力し、リターンキーを押す)を設定する必要があります.これにより、必要なデバッグ情報を提供できます.PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash
# yum -y install clamav clamav-devel
# yum -y install epel-release
# freshclam
EICARテストファイル(http://www.eicar.org/86-0-Intended-use.htmlEICARのWebサイトからダウンロード可能
# cd /var/www/html
# wget http://www.eicar.org/download/eicar.com
# wget http://www.eicar.org/download/eicar.com.txt
# wget http://www.eicar.org/download/eicar_com.zip
# wget http://www.eicar.org/download/eicarcom2.zip
手動でmaldetを実行する
# maldet --scan-all /var/www/
LMDではワイルドカードも使用できます.zipファイルなど、何らかのタイプのファイルをスキャンしたい場合は、次のようにできます.
# maldet --scan-all /var/www/*.zip
スキャンが完了すると、LMDから送信されたEメールを確認したり、次のコマンドでレポートを表示したりできます.
# maldet --report 021015-1051.3559
すべての独立ファイルを削除
# rm -rf /usr/local/maldetect/quarantine/*
# maldet --clean SCANID
maldetはcronと統合する必要があるため、rootのcrontabに次の変数(rootユーザーとしてcrontab–eを入力し、リターンキーを押す)を設定する必要があります.これにより、必要なデバッグ情報を提供できます.
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
SHELL=/bin/bash