如何安装和使用带有ClamAV的Linux恶意软件检测(LMD)作为防病毒引擎

在本文中,我们将解释如何在RHEL / CentOS 7.0 / 6.x和Fedora 21-12中安装和配置Linux恶意软件检测以及ClamAV(防病毒引擎)。

恶意软件或恶意软件,是赋予任何方案,其目的是破坏的计算系统的正常操作的指定。虽然最知名的恶意软件形式是病毒,间谍软件和广告软件,但它们所造成的危害可能从窃取私人信息到删除个人数据以及其间的一切,而恶意软件的另一个经典用途是控制系统以便使用它在(D)DoS攻击中启动僵尸网络。 Linux恶意软件检测 另请参阅保护Apache的反对蛮力或DDoS攻击 换句话说,你不能认为,“我不需要保护我的系统反对恶意软件,因为我不存储任何敏感或重要的数据”,因为那些不是唯一的恶意软件的目标。 因此,在这篇文章中,我们将介绍如何安装和配置Linux的恶意软件RHEL 7.0 / 6.x的 (其中x是版本号),CentOS的 检测 (又名MalDetLMD简称)与ClamAV的 (防病毒引擎)沿7.0 / 6.xFedora的21-12。 根据GPL v2许可证发布的恶意软件扫描程序,专门用于托管环境。但是,你很快就会意识到,你将从中受益MalDet无论您从事什么样的环境。

在RHEL / CentOS 7.0 / 6.x和Fedora 21-12上安装LMD

LMD不提供在线软件仓库,但分布从该项目的网站上包。包含最新版本的源代码的tarball总是可以在以下链接中找到,它可以通过以下链接下载:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
然后我们需要解压缩tarball并进入提取其内容的目录。由于目前的版本是1.4.2,该目录是maldetect-1.4.2。 在那里,我们会发现安装脚本,install.sh。
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
下载Linux恶意软件检测

下载Linux恶意软件检测

如果我们检查安装脚本,这是只有75行代码(包括评论)中,我们会看到,它不仅安装工具,也是进行预检查,看看是否默认安装目录( 在/ usr /本地/ maldetect )存在。如果不是,则脚本在继续之前创建安装目录。 最后,在安装完成后,通过cron每天执行是通过将cron.daily脚本(参见上面的图像)中/etc/cron.daily调度。这个帮助程序脚本将清除旧的临时数据,检查新的LMD版本,并扫描默认的Apache和Web控制面板(例如,CPanel,DirectAdmin,等等)默认数据目录。 话虽如此,像往常一样运行安装脚本:
# ./install.sh
在Linux中安装Linux恶意软件检测

在Linux中安装Linux恶意软件检测

配置Linux恶意软件检测

LMD的配置是通过/usr/local/maldetect/conf.maldet处理,所有的选项都注释得很好,使配置相当容易的事。 如果您遇到问题,您也可以参考/usr/local/src/maldetect-1.4.2/README的进一步说明。 在配置文件中,您将找到以下部分,括在方括号中:
  1. 电子邮件警报
  2. QUARANTINE选项
  3. 扫描选项
  4. 统计分析
  5. 监视选项
每个部分都包含几个变量,表明LMD将如何表现,哪些功能是可用的。
  1. 如果您希望收到的恶意软件检查结果的电子邮件通知设置email_alert = 1。为了简洁起见,我们只会将邮件转发给本地系统用户,但您可以探索其他选项,例如向外发送邮件提醒。
  2. 如果你以前设置email_alert = 1设置email_subj =“您这儿主题”EMAIL_ADDR =用户名@本地
  3. 随着quar_hits,恶意软件命中(只有0 =报警,1 =移到隔离区与警告),你会告诉LMD检测到恶意软件时,做什么的默认隔离操作。
  4. quar_clean将让你决定是否要清洗基于字符串的恶意软件注入。请记住,根据定义,字符串签名是“可能匹配恶意软件家族的许多变体的连续字节序列”。
  5. quar_susp,默认暂停与命中为用户的行动,将让你禁用其拥有的文件已被确定为命中一个帐户。
  6. clamav_scan = 1会告诉LMD尝试检测ClamAV的二进制的存在,并作为缺省扫描引擎使用。 这产生一个高达四倍更快的扫描性能和优异的十六进制分析。该选项只使用的ClamAV作为扫描器引擎,和LMD签名还是用于检测威胁的基础。
重要提示 :请注意,quar_cleanquar_susp要求quar_hits启用(= 1)。 总结起来,这些变量行应该在/usr/local/maldetect/conf.maldet如下:
email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1