admin管理员组文章数量:1531692
2024年5月25日发(作者:)
盎任编辚:赵卷远 投稿姣箍:m ta{{mt哪365 nas豫 。 n 信息安全I Security
在Linux系统中清剿病毒
■河南郭建伟
在大家的印
vI编辑器,打开
象中,Windows
“/etc/clamd.
中的病毒数
conf”文件,将其
量繁多, 活动
由“LocalSocket
很猖獗。 同
/tmp/clamd.
Windows布目比,Linux系统
安装ClamAV
socket”行的内容修改为
的安全性较高,不适合病毒
打开网址“http://
‘‘LocalSocket/var/run/
的活动。实际情况并不尽然,
pkgS.rep0f0rge.org/
clamav/clamd.sock”。 执
Linux并非病毒的禁地,一
clamav/”,可以看到支持各
行“service clamd start”命
些针对Ljnux的病毒完全可
个Linix版本的ClamAV
令,启动Clamd服务。执行
以对其构成相当大的威胁。
“
安装包。例如在Red Hat
chkconfig clamd on”命令,
对付病毒最好的办
Enterprise Linux 5.X版
可以让该服务自动运行。为
法就是使用杀毒软件,在
本下,依次执行“rlom—ivh
了获得最新的病毒库,可以
Windows中可选择的杀
clamav—db一0.98.4—1.
执行“/usr/bin/freshclam
软种类不少,世界上公认
el5.rf.i386.rlom”.“rlom
deamon”来实现。将该
的比较著名的杀毒软件有
ivh clamav--0.98.4—1.
行命令添加到“/etc/rc.d/
卡巴斯基、F—SECURE、
el5.rf.i386.rlom”.‘‘rlom
rc.1ocal”文件中,可以实现
MAcFEE、诺顿、趋势科
ivh clamd——0.98.4——1.
开机自动升级病毒库操作。
技、熊猫、NOD32、AVG和
el5.rf.i386.rlom”命令,执行
Clamav主要包括扫描
F—PoRT等等。安装配置和
“
clamav-devel-0.98.4—1.
程序,服务程序,扫描守护
使用都比较方便。
el5.rf.i386.rolm”命令,完成
程序,更新程序,特征库添
在Linux中同样也可
ClamAV防毒软件的安装操
加程序等部分组成。其中
以运行杀软清除病毒,例如
作。
Clamscan程序主要功能是
ClamAV、Avast、Avria、
扫描病毒,当其对目标文件
AVG以及F—PRoT等等,
配置ClamAV
扫描时,会将其和病毒库进
都可以保护Linux免受病
执行“setsebool
行比对,来发现染毒文件,这
毒威胁。这里以最常用的
P clamddisable trans=1’’
是一个独立的程序,不需要
ClamAV为例,来说明其使
命令,让Clamav摆脱
守护进程。
用方法,以及如何保护Linux
SELinux的控制,避免在启
Clamdscan也是一个病
中的各种服务程序。
动系统时出现错误。使用
毒扫描程序,不过其必须配
Security-信息安全
合Clamd服务程序运作。
告音,在扫描结束会显示存
在问题的文件信息。执行
“
添 加“0 6十
root
{
Freshclam程序的作用是更
新病毒库,例如,打开其配
置文件“/etc/freshclam.
/usr/bin【/freshclam
clamscan—r —remove/
quiet—l/var/log/
home”命令,对“/home”中
的所有文件进行扫描,并将
发现的病毒文件删除。执行
“clamscan r一一move一/
clamav/clamav.1og”行,可
conf”,在其中添加“checks
以在每天凌晨6点升级病
毒库。利用ClamAV,还可
10”,可以每隔10个小时升
级一次病毒库。对于没有被
ClamAV扫描到病毒文件,
通过Sigtool程序可以将其
特征添加到病毒库中。
以扫描数据流。例如执行
“
tmp/virus/home”命令,
将发现的病毒文件移动到
“/tmp/virus”目录中。
执行“clamscan—r/
cat/bin/sh I clamscan
”“
,
cat /etc/services l
clamscan一”等命令,可以
扫描指定的数据流。仅仅
使用ClamAV扫描和删除
病毒文件是远远不够的,在
使用ClamAV扫描病毒
使用Clamscan命令,可
以对指定的文件或者目录进
home~一exclude—dit=/
home ̄eny”命令,对“/
home”目录进行递归扫描,
Linux中通常还运行有各
种服务程序,同样可以使用
ClamAV对其进行保护。
行扫描,其语法为“clamscan
[一n,】[一l<扫描记录文
件>][一一move<目录>]
但是排除“/home/jeny”目
录。执行“clamscan r/
home exclude=” .txt’
[一一remove】【<目录>l<文
件>】”。其中的“r”参数
可以递归扫描指定目录下
的所有文件,“一v”表示表
log=/tmp/clamscan.
ClamAV保护Apache服务
在Linux中利用Apache 1og”命令,对“/home”目
录进行扫描,但是排斥其中
的“.txt”文件,并且产生名
为“clamscan.1og”的日志
文件。也可以利用Linux
可以提供Web服务,为了防
止病毒攻击Apache,可以
从网址“http://software.
othello.ch/mod_clamav/
mod clamav--O.23.tar.gz’’
示执行快速扫描动作。参
数“1<扫描记录文件>”
将扫描报告写入指定文件。
“
一~
计划任务功能,自动执行
病毒扫描操作。例如执行
“
move”参数用于将病
下载针对Apache的防毒插
件,并依靠ClamAV病毒库
来保护Apache的安全。执
行“yum y install http
毒文件移动到指定的目录
中。“一一remove”参数表示
删除病毒文件。例如,执行
“clamscan--r”命令,可以扫
service crond start” 命
令,启动定时执行服务,编
辑“/etc/crontab”文件,在
其中添加“0 3
/usr/bin/clamscan
root
——r
deve1.i ”命令,来安装相
描当前目录。执行“clamscan
关的软件包。执行“tar
zxvf mod
clamav--0.23.
r—beU—i/”命令,可以
remove/var”行,可以
扫描系统中的所有文件,在
发现病毒文件时会发出警
在每天凌晨3点对指定目录
进行病毒扫描。
ar.tgz”命令,对插件包
进行解压处理。执行
责任编辑:赵志远 救耥信箱:n计admin 36q.mas£e ∞m 信息安全I Security
零
/var/
/var/
“
cd rood
.
clamav—O.23”,
“Cd Smaba一3.0.3 3/
source”
, .
“
将其中的“clamd
“
/COnfigUre—with—
/configure”,
SOCket name一
apxs=usr/sbin/apxs”,
make headers”命令,编
run/clamd”修改为“clamd
SOCket name一
“make”,“make install”命
译该版本的Samba服务器
源码包。从网址“http://
www.openantivirus.org/
令,执行对该插件的编译安
装动作。之后执行“service
httpd restart”命令,重启
Apache服务即可。
run/clamav/clamd.sock”,
将Clamav的Socket目录
download/samba—vscan一
0.3.6c--beta5.tar.gz” 下
设置为正确值。将“infected
file acton:nothing”修
改为“inlectd feile acton— 载Samba-vscan源码包。
ClamAV保护Samba服务
在Linux中使用Samba
执行“tar~Z)(、rf samba-- delete”,即发现病毒文件后
就将其删除,而原来的设置
vscan--O.3.6c—beta5.tar.
服务,可以实现文件共享功
能。但是,如何保护Samba
服务的安全,避免病毒侵入
文件共享空间呢?可以使
用Samba--vscan模块,利
gz”命令,执行包解压处理。
之后执行,“my samba--
VSCa1"1—0.3.6C—beta 5
是对病毒文件不采取任何处
理方式。
当然,在该文件中有很
多配置信息,例如将“scan
on open=”的值设置为
“
samba--3.033/examples/
VFS”命令,将其移动
到Samba源码目录下的
“examples/VFS”目录下。
用ClamAV病毒库,来禁止
病毒文件侵入到文件服务器
中。
yes”,可以在每次打开文
件时都执行扫描操作。将
“send warning message=”
执
行“yum Y install
行“cd samba-3.0.33/
执
examples/VFS/samba——
vscan-O.3.6c--beta5”,“./
的值设置为“yes”,可以在
Windows客户端向Samba
pcre-deve1.i gmp-deve1.
i ”命令,安装相关的软件
包。之后产看当前系统的
Samba服务器版本,再下
configure”,“make”命令,
对Samba--vscan进行编
服务器发送文件时,如果检
测到病毒,就会向客户端发
送报警信息。在“quarntion
directory=”栏中可以设置
辑处理。执行“cp vscan--
clamav.so/USr/lib/
载对应的服务器源码包。
例如针对Samba3.033版
本,可以从网址“ftp://
ftp.hkmirror.org/pub/
samba/sambaftp/Old—
versions/samba一3.0.33.
amba/vfs/”,‘s‘cp clamav/
vscan--clamav.conf/etc/
隔离区目录。当发现病毒文
件后,就将其发送到隔离区
中。
各项配置信息可以根
amba/”命令,将病毒扫 s
描配置文件复制到“etc/
amba”目录 s
据自己的实际需要进行调
整。 修改“/etc/samba/
tar.gz”下载所需的源码包。
执 行“t a r x v z f
smaba一3.0.33.tar.gz”.
然后使用VI等编辑
器,来修改“/etc/samba/
vscan--clamav.conf”文件。
stub.conf”文件,在其中的
“
global”框体中添加“vfS
Security I信息安全 责任编辑: 志远 投稿信箱:f eladmin《3∞] ̄last。“。m
object—vscan-clamav”和
“
HAVP是Squid的父代理,
false” 和“FoRWARDED—
vscan--clamav:config--
支持杀毒功能,当内网用户
的代理连接请求到达Squid
之前,就必须经过HAVP的
安全检测。
执 行“W g e t —c
IP ture” 两行,使之
file--/etc/samba/vscan——
可
代
以成为Squid的
输
父
clamav.conf” IN行,让 理。 入“BIND—
Samba服务器可以正确的
调用Samba--vscan模块扫
描病毒。之后执行“service
smb restart”,命令重启
Samba服务,执行“service
clamd restart”命令,重启
ADDRESS 127.0.0.1”
行,为其绑定IP地址。将
“E N A B L E C L A M L I B
http://www.server—
side.de/download/havp一
false” 行 修 改 为
LIB
0.92a.tar.gz”命令,下载
HAVP安装包。执行“tar
“ENABLE CLAM
true”,让其可以读取
Clamd服务。
之后可以测试防毒效
果,在Windows客户端访
问Samba服务器,在认证窗
口中输入Samba用户名和
zxvf havp一0.92a.tar.
ClamAV杀毒软件的病毒
库。 输入“CLAMDBDIR
置
gz”,“cd havp--0.92a”,
“
.
/configure”,‘‘make”,
/var/clamav”行,设
“
make install”命令,编译 ClamAV病毒库路径。输入
“SERVERNUMBER 40”
HAVP模块。使用VIM
等工具修改其配置文件
‘‘/usr/loca1/etc/havp/
密码,打开目标共享文件夹,
和“MAXSERVERS 200”
将向其中存储的文件包含
病毒时,Samba服务器就会
项客户端发送提示信息,警
告发现病毒文件,并将病毒
文件删除。当然,前提是在
Windows客户端必须开启
Messager信息服务。
两行,设置扫描线程的数量。
havp.config”,将其中
输入“LOGLEVEL 0”行,只
记录错误的日志信息。输入
“SCANIMAGES false”行,
的“REMoVETH ISLINE
deleteme”一行删除,在其
后输入“USER clamav”,
“GRoUP clamav”两行,
禁止扫描图片文件。当然,
上述各项在原配置文件中都
设置HAVP运行的账户和
组信息。注意,必须使用
处于注释状态,这里选择单
独输入,您也可以将对应行
的注释标记“#”去除,之后
对其进行修改即可。
因为HAVP代理需要
独立的磁盘空间,可以采取
在磁盘上划分一个独立的
ClarnAV保护Squid服务
利用Squid代理服务,
可以在局域网和外网之间
Clamav的账户信息,否则将
无法启动HAVP程序。
输入“LoG—oKS flase”
开启防护屏障。Squid代
行,表示只记录病毒检测
日志。输入“PoRT 8080”
行,设置其监听端口。输
入“TEMPDIR/var/tmp”
理服务虽然功能强大,但是
并没有提供防病毒功能,
使用HAVP模块,可以使
用ClamAV病毒库来保
护Squid代理服务安全。
分区,作为数据扫描的分
区。iS_里就利用现有分区的
空闲区域建立一个独立的
虚拟分区,提供给HAVP使
行,设置病毒扫描临时目录。
输 入“TRANSPARENT
责任编辅:赵志远 投稿倍籀: 。tadmjn@365mas}ej (,m 信息安全_Security
用。执行“cd/root”,“dd
if=/dev/zero of=/root/
havp_part.img bs=l 28K
——
R clamav.clamav/var/
为了让Squid绑定
run/havp/”命令,可以
HAVP作为父代理,需要输
入“cache—peer 127.0.0.1
parent 8080 0 no--query
让ClamAV扫描这几个文
件夹。“chmod—R 700/
var/log/havp/”,‘‘chmod
count=1 seek=1024”命令,
在“/root”目录下创建一个
名为“harp_part.img”的镜
no——digest no——netdb——
exchange default”,“cache
R 700/va r/tmP/
像文件,其容量为128MB,并
将其虚拟为独立分区。执行
“mkfs.ext3/root/havp_
havp/”.“chmod—R 700
peer_access 127.0.0.1
allow all”,“acl Scan
/var/run/havp/”等命令,
修改这几个目录的权限,使
其所有者才拥有读和写以及
执行的权限。
HTTP ProtO HTTP”.
“
part.img”命令,对其进行格
式化处理。
执行“echo”/root/
never
direct allow Scan
HTTP”等行。保存该文件
后,执行“/usr/local/sbin/
havp”命令,启动HAVP程
序。 执行“service squid
之后对Squid代理服务
的配置文件“/etc/squid/
squid.conf”进
在其中添
行修改,
havp_part.img /var/
tmp/havp ext3 defaults,
loop.mand 0 0 ’>>/etc/
加“dns_name restart”命令,重启Squid代
理服务。
之后可以在客户端设
fstab”命令,将该虚拟盘信息
添加到“/etc/fstab”文件中,
seryers 202.103.29.69
202.103.0.197”之类的信
该文件负责在开始时处理磁
盘挂载操作。这样,在开机
后就可以自动挂载该虚拟分
区了。执行“mount--a”命
息,为其设置DNS服务器地
址,当然的地址为假设的IP。
添 加“visible_hOst
name 192.168.0.19” 之
置代理服务器信息,例如在
Windows打开IE设置界面,
在局域网设置窗口中输入代
理服务器的IP和端口,这里
的端口应为Squid的代理端
口3128。之后当在IE中访
令,挂载该虚拟分区。
因为对HAVP的运
类的信息,设置其主机地
址。输入“cache_mere 200
行文件进行了修改,而且
ClamAV需要读取HAVP
的缓存文件分区,所以需
要修改其文件存取权限,让
ClamAV可以读取HAvP
MB”之类的信息,设置缓
存容量。可以设置允许访
问本代理服务器的网段,例
如输入“acl lancHent src
192.168.0.0/20”.“http
问的网站包含病毒时,就会
显示HAVP的拦截界面,提
示其中发现了病毒信息。
如果想得到更好的拦截
界面,可以使用VIM等编
的缓存目录。执行“chown
access allow lancHent”之
辑器,对“/usr/local/etc/
havp/templates/en/virus. R clamav.clamav/var/
类的信息,让指定的网段可
log/havp/”,‘‘chown
R clamav.clamav/var/
以访问本服务器,当然,这只
是Squid代理服务的简单设
置。
html”文件进行修改,在这
里面修改病毒拦截的提示信
trap/havp/”, “chown
息。仁:】
、vn I365master.c ̄)m 2{rt6 i)8 1 1 1
版权声明:本文标题:在Lmux系统中清剿病毒 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1716638393a512391.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论