LINUX.ORG.RU

ClamAV

 , , ,


0

1

Насколько оправдано использовать антивирусник на GNU/Linux системах?

Ставите ли вы его на сервер?

Используете ли на десктопе (домашнего компьютера)?

Речь впервую очередь о ClamAV как GNU GPL. Но если есть конкуренты...

с каждым годом его актуальность всё сильнее снижается т.к. вирусня всё быстрее мутирует и появляется новая каждую минуту если не секунду, не случайно разработчики защитного ПО уже давно запиливают всякие решения с эвристиками, анализом поведения и теперь с хайповыми нейросетями, обычным смертным имхо проще и надежнее юзать фаерволл

BLOBster ★★★
()

Но если есть конкуренты…

Ему нет конкурентов, базы обновляются молниеносно, работает отлично, в умелых руках конечно, как и любое другое ПО и не только для Linux.

На десктопе антивируснику делать не чего, а вот почту на сервере «локалхост» сканит, чтобы локальные юзеры не получали подарки и чтобы сами их не рассылали.

Для ленивых виндовых пользователей можно еще и к squid-у прикрутить и пускать их в сеть только через squid.

Варианты всегда есть - не ставить из бинарей софт.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 3)
Ответ на: комментарий от BLOBster

разработчики защитного ПО уже давно запиливают всякие решения с эвристиками, анализом поведения и теперь с хайповыми нейросетями

Теперь я знаю почему так тормозят коммерческие поделки и почему самые банальные вирусы все-таки через них пролезают иногда :)

Deleted
()

Касперский оне тебе не заменит. А конкуренты конечно есть. Касперский, нод32, дрвеб. Тебе нужны все 3 одновременно, если хочешь хоть каккую-то видимость защиты. Они стабильно пропускают вирусню, реагирует всегда только 1 из 3. Остальные решения ещё больший лохоразвод, так что вариантов у тебя не особо.

anonymous
()
Ответ на: комментарий от anonymous

Кто написал вирус, тот и реагирует. Ну или маскируют от первых двух, а 3 всерьёз не воспринимают (напрасно).

anonymous
()

Используете ли на десктопе (домашнего компьютера)?

Установлен... давно ещё. Но необходимость в нём возникает не часто. Использую для проверки исполняемых файлов, взятых из «ненадёжных» мест. Но в основном для этих целей использую VirusTotal, a ClamAV в основном в отсутствие Интернета.

Amaryllis
()

перезапустил - потербляет 220 MiB. он столько и потреблял вначале. потом увеличил. фиг знает, почему он стал больше потреблять

Alexanderuser
() автор топика

На сервер да. Лучше что-то, чем ничего. Конкурентов для тебя у него нет, иначе бы не спрашивал.

anonymous
()
Ответ на: комментарий от BLOBster

Собственно при правильной настройке системы антивирус может помочь только в одном случае: если на свежую уязвимость у антивируса апдейты прилетели быстрее, чем на систему.

praseodim ★★★★★
()
Ответ на: комментарий от Alexanderuser

var/log/clamav/clamav.log :

Mon Aug 19 05:24:12 2019 -> +++ Started at Mon Aug 19 05:24:12 2019

Mon Aug 19 05:24:12 2019 -> Received 0 file descriptor(s) from systemd.

Mon Aug 19 05:24:12 2019 -> clamd daemon 0.101.3 (OS: linux-gnu, ARCH: i386, CPU: i686)

Mon Aug 19 05:24:12 2019 -> Running as user clamav (UID 113, GID 118)

Mon Aug 19 05:24:12 2019 -> Log file size limited to 4294967295 bytes.

Mon Aug 19 05:24:12 2019 -> Reading databases from /var/lib/clamav

Mon Aug 19 05:24:12 2019 -> Not loading PUA signatures.

Mon Aug 19 05:24:12 2019 -> Bytecode: Security mode set to «TrustSigned».

Mon Aug 19 05:25:34 2019 -> Loaded 6261708 signatures.

Mon Aug 19 05:25:36 2019 -> LOCAL: Unix socket file /var/run/clamav/clamd.ctl

Mon Aug 19 05:25:36 2019 -> LOCAL: Setting connection queue length to 15

Mon Aug 19 05:25:36 2019 -> Limits: Global size limit set to 104857600 bytes.

Mon Aug 19 05:25:36 2019 -> Limits: File size limit set to 26214400 bytes.

Mon Aug 19 05:25:36 2019 -> Limits: Recursion level limit set to 16.

Mon Aug 19 05:25:36 2019 -> Limits: Files limit set to 10000.

Mon Aug 19 05:25:36 2019 -> Limits: MaxEmbeddedPE limit set to 10485760 bytes.

Mon Aug 19 05:25:36 2019 -> Limits: MaxHTMLNormalize limit set to 10485760 bytes.

Mon Aug 19 05:25:36 2019 -> Limits: MaxHTMLNoTags limit set to 2097152 bytes.

Mon Aug 19 05:25:36 2019 -> Limits: MaxScriptNormalize limit set to 5242880 bytes.

Mon Aug 19 05:25:36 2019 -> Limits: MaxZipTypeRcg limit set to 1048576 bytes.

Mon Aug 19 05:25:36 2019 -> Limits: MaxPartitions limit set to 50.

Mon Aug 19 05:25:36 2019 -> Limits: MaxIconsPE limit set to 100.

Mon Aug 19 05:25:36 2019 -> Limits: MaxRecHWP3 limit set to 16.

Mon Aug 19 05:25:36 2019 -> Limits: PCREMatchLimit limit set to 10000.

Mon Aug 19 05:25:36 2019 -> Limits: PCRERecMatchLimit limit set to 5000.

Mon Aug 19 05:25:36 2019 -> Limits: PCREMaxFileSize limit set to 26214400.

Mon Aug 19 05:25:36 2019 -> Archive support enabled.

Mon Aug 19 05:25:36 2019 -> AlertExceedsMax heuristic detection disabled.

Mon Aug 19 05:25:36 2019 -> Heuristic alerts enabled.

Mon Aug 19 05:25:36 2019 -> Portable Executable support enabled.

Mon Aug 19 05:25:36 2019 -> ELF support enabled.

Mon Aug 19 05:25:36 2019 -> Mail files support enabled.

Mon Aug 19 05:25:36 2019 -> OLE2 support enabled.

Mon Aug 19 05:25:36 2019 -> PDF support enabled.

Mon Aug 19 05:25:36 2019 -> SWF support enabled.

Mon Aug 19 05:25:36 2019 -> HTML support enabled.

Mon Aug 19 05:25:36 2019 -> XMLDOCS support enabled.

Mon Aug 19 05:25:36 2019 -> HWP3 support enabled.

Mon Aug 19 05:25:36 2019 -> Self checking every 3600 seconds.

Mon Aug 19 06:22:05 2019 -> --- Stopped at Mon Aug 19 06:22:05 2019

Mon Aug 19 06:22:05 2019 -> Socket file removed.

User_of_the_Kali
()
Ответ на: комментарий от User_of_the_Kali

#service clamav-daemon restart

что отвечает?

#top

в списке есть 'clamd' и 'freshclam' ?

странно, а как вы решаете, что не можете запустить?

и какой объём RAM на машине?

Alexanderuser
() автор топика
Ответ на: комментарий от Alexanderuser

1. Отвечает: bash: service: команда не найдена

2. В списке top не нахожу clamd и freshclam

3. В меню не вижу clamtk

4. free дает такой результат:

total used free shared buff/cache available Mem: 3980912 933976 1752884 115356 1294052 2573860

Swap: 4103164 0 4103164

User_of_the_Kali
()

Чтобы не повторяться читаем этот раздел и настраиваемый обновление неофициальных баз: Как добавить сигнатуры в ClamAV для сканирования виндовых файлов? (комментарий)

Для нормальной работы ClamAV, только для него надо 2Гб оперативной памяти! Да, много но такая цена за антивирусные базы.

На серваках ClamAV необходим для сканирования всего трафика на вирусы, организация MitM для расшифровки ssl есть необходима. Почтовый антивирус. On-access сканирования шар с доступом на запись. ...

На рабочих станциях, кроме выше перечисленного надо настраивать On-access сканирования всех каталогов доступных на запись: /home, /tmp, /var/tmp.

ClamAV - не единственный антивирус, даже среди сканеров под GPL для Линукс есть альтернативы. ClamAV - важная вещь в комплексной антивирусной защите.

Заметьте, что ClamAV проверяет изменяемые пользователем файлы, письма, http & https трафик, ... Все бинарники в системе и неизменяемые файлы настроек проверяются системой IDS, и не только в режиме сканирования по запросу, но и в режиме On-access при загрузки системы, начиная с init. Загрузчик отдельно имеет свою IDS и проверяет свои модули, настройки, ядро и инитрамфс.

Кроме того есть куча мелких антивирусного выполняющих разные проверки.

Даже мне пришлось свой написать - может сканировать на вирусы не только файлы на диске, но и процессы в памяти, поддерживает потоки ПОСИКС и легковесные нити ядра. Да, файл на диске может вирусом не бить, а загрузившись в оперативу себя расшифровать/изменить и стать известным вирусом.

anonymous
()
Ответ на: комментарий от anonymous

Добавлю важность криптографии для верификации целостности системы и обновлений, это тоже входит в анивирусную защиту.

anonymous
()

Насколько оправдано использовать антивирусник на GNU/Linux системах?

При правильно настроенных правах на папки никакие антивирусяки не нужны.
Тем более, кроме использования ценного процессорного времени они ничего не делают.
Вывод - в 2к19 антивирусы не нужны

anonymous
()
Ответ на: комментарий от User_of_the_Kali

#systemctl start clamav-freshclam

#top

показывает его?

всё работает у тебя. просто по логам ты его как-будто сам остановил через час.

Alexanderuser
() автор топика
Ответ на: комментарий от User_of_the_Kali

в файле конфигурации предлагаю выставить настройки:

SelfCheck 28200 #самопроверка каждые 28'200 секунд, т.е. четыре раза в день а не каждый час как по умолчанию.

DetectPUA true #детектирует потенциально нежелательные приложения.

LogFile /var/log/clamav/clamav.log

описание опций настроек: #man clamd.conf

Alexanderuser
() автор топика
Ответ на: комментарий от User_of_the_Kali

возможно там ещё что-то «вкралось» из-за чего программа могла не работать

Alexanderuser
() автор топика
Ответ на: комментарий от Alexanderuser

SelfCheck 28200 #самопроверка каждые 28'200 секунд, т.е. четыре раза в день, а не каждый час как по умолчанию.

Это будет ослабление безопасности.

User_of_the_Kali
()
Ответ на: комментарий от Alexanderuser

для редактирования файла настроек набери в терминале

#nano /etc/clamav/clamd.conf

после внесения изменений Ctrl+X потом Y потом Enter.

изменённые настройки втсупят в силу после перезапуска сервиса:

#systemctl restart clamav-daemon

тоже относится и к clamav-freshclam процессу.

Alexanderuser
() автор топика
Ответ на: комментарий от User_of_the_Kali

это уже на твоё усмотрение (там кстати не 4 раза а даже реже если 28200 секунд; 4 раза это параметр для freshclam запроса обновлений у меня).

Alexanderuser
() автор топика
Ответ на: комментарий от User_of_the_Kali

это содержимое, выводимое на экран по команде #man clamd только запощеное в интернете. тут тоже как удобнее. #man clamd первична, эта страница - копия. ты можешь вообще из терминала в текстовы редактор скопировать.

Alexanderuser
() автор топика

На всякий случай напомню, что после установки полезно проверить работу ClamAV на тестовом файле: http://2016.eicar.org/85-0-Download.html

Если всё настроено правильно, антивирус должен среагировать на него.

Astyanax
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.