Мануал/Книга Как интегрировать Linux Malware Detection и ClamAV для автоматического обнаружения вредоносных программ на серверах Linux

[DedJhones]

Как интегрировать Linux Malware Detection и ClamAV для автоматического обнаружения вредоносных программ на серверах Linux​

Допустим, вы развернули Linux в качестве сервера в дата центре из-за надежности и безопасности, которые предлагает платформа с открытым исходным кодом. Не дайте себя обмануть, думая, что использование Linux будет завершением всех ваших потребностей в безопасности. Всегда важно помнить, что, пока он подключен к сети, любой компьютер уязвим. На ваших серверах Linux может быть любое количество пользователей, которые входят в систему и сохраняют файлы в многочисленные каталоги. Или, может быть, вы используете Linux в качестве почтового сервера, на котором отправляются и принимаются вложения. Независимо от того, почему вы используете этот сервер Linux, важно принять необходимые меры предосторожности для защиты этих серверов и тех, кто их использует. Один из способов добавить уровень защиты от вредоносных программ – интегрировать Linux Malware Detection (LMD) и ClamAV. Эта комбинация использует LMD в качестве инструмента обнаружения вредоносных программ и ClamAV в качестве антивирусного ядра. После того, как вы установили и настроили эту комбинацию, вы можете быть уверены, что ваши серверы Linux более защищены от таких угроз.

Как установить и настроить LMD​

Первое, что мы сделаем, это установим LMD.

Зайдите на свой сервер и загрузите последнюю версию с помощью команды:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

После завершения загрузки распакуйте файл с помощью команды:

tar xvzf maldetect-current.tar.gz

Установите программное обеспечение с помощью команды:

sudo ./install.sh

После установки maldetect нам нужно настроить его для работы с ClamAV, который мы вскоре установим.

Откройте файл конфигурации с помощью команды:

sudo nano /usr/local/maldetect/conf.maldet

Убедитесь, что в этом файле установлены следующие параметры конфигурации:

email_alert=1
email_addr=EMAIL
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quarantine_hits=1
quarantine_clean=1
quarantine_susp=1
scan_clamscan="1"

Где EMAIL – это адрес электронной почты, на который будут приходить оповещения.

Если вам не нужно получать оповещения по электронной почте, оставьте для параметра email_alert значение 0 и не меняйте запись email_addr.

Сохраните и закройте файл.

Как установить ClamAV​

Теперь установим ClamAV.

Для этого введите команду:

sudo apt-get install clamav clamav-daemon -y

Если вы используете дистрибутив на основе Red Hat, вам необходимо сначала включить репозиторий EPEL с помощью команды:

sudo dnf install epel-release -y

После этого вы можете установить ClamAV с помощью команд:

sudo dnf update sudo dnf install clamd

Как протестировать LDM / ClamAV​

Чтобы протестировать эту систему, мы скачаем на сервер печально известные файлы EICAR.

Перейдите в каталог /srv (с помощью команды: cd /srv) и выполните следующие команды:

sudo wget http://www.eicar.org/download/eicar.com sudo wget http://www.eicar.org/download/eicar.com.txt sudo wget http://www.eicar.org/download/eicar_com.zip sudo wget http://www.eicar.org/download/eicarcom2.zip

После того, как вы скачали файлы, запустите сканирование этого каталога с помощью команды:

sudo maldet --scan-all /srv

Когда сканирование завершится, вы должны увидеть, что система обнаружила файлы и поместила их в карантин.

Все четыре файла EICAR будут удалены из каталога /srv.

Вам не нужно беспокоиться о запуске сканирования вручную – хотя вы можете это сделать в любое время, – потому что maldet будет настроен на ежедневное выполнение (через cron).

И это все, что нужно для развертывания надежной системы обнаружения вредоносных программ/вирусов на ваших серверах Linux.