CentOS6:ClamAV(Clam AntiVirus)のインストール及び設定(1)

今日のCentOS6.6にClam AntiVirusのインストール及び詳細設定を紹介します。

ステップ1:インストール用のリポジトリー追加

CentOS6の64ビット版にEPRLをインストールするためのコマンドは以下になります。

ステップ2:Clam AntiVirusをインストールする

以下のコマンドで Clam AntiVirus をインストールします。

以上終わりw

ステップ3:Clam AntiVirus の設定変更

設定ファイルを開きましょう

まずは個々の設定項目を説明します。

・Example
この項目が設定されている場合、clamdはすぐに終了する

・LogFile
指定したファイルにログを記録する (Default: 無効)

・LogFileUnlock
LogFileで指定したログファイルをロックしない (Default: 無効)

・LogFileMaxSize
LogFileで指定したログファイルの容量の上限 (Default: 1M | 0で無制限)

・LogTime
日付と時刻をログの内容に加える (Default: 無効)

・LogClean
ウィルスが検出されなかったファイルについてもログに記録します。

・LogSyslog
syslogへ出力する

・LogVerbose
詳細にログ出力

・LogRotate
ログローテーション

・PidFile
メインthreadのpidを指定したファイルに記録する (Default: 無効)

・TemporaryDirectory
一時的な使い捨てファイルなどを作成するディレクトリを指定

・DatabaseDirectory
VirusDBファイル(main.cvd/daily.cvd/*.db等)のあるディレクトリを明示して指定

・LocalSocket
unixソケットでの通信を行う場合のscoketファイルの場所

・LocalSocketMode
指定されたモードへのUNIXソケットのアクセス許可を設定します。

・FixStaleSocket
前回にclamdが異常終了したなどが原因で残されたままになっているsocketファイルを除去する

・TCPSocket
TCPでの通信を行う場合のポート番号

・TCPAddr
TCPでの通信を行う場合のIPアドレス

・MaxConnectionQueueLength
最大保留接続のキュー数

・StreamMaxLength
STREAMコマンドで送られるデータの容量の上限 (Default: 無制限)

・StreamMinPort
リミットデータポート範囲

・StreamMaxPort
マックスデータポート範囲

・MaxThreads
同時に動くスレッドの数の上限

・ReadTimeout
クライアント側からのアイドル時のタイムアウト時間(秒数) (Default: 120 | 0で無制限)

・CommandReadTimeout
こちらはコマンドのタイムアウトを指定(秒単位)サーバがビジー状態の場合などを考慮

・SendBufTimeout
送信のためのバッファがいっぱいになった場合のタイムアウトの設定(ミリ秒単位)

・MaxQueue
キューに入れられたアイテムの総数MaxThreadsで指定した実行中のものを含む
多く取るとファイルディスクリプタ不足になるため注意
指定することができる最大の数は上記の式で求められる デフォルトは100。

・IdleTimeout
タイムアウト後に新しいプロセスを実行する時間を指定(秒単位)(デフォルトは30秒)

・ExcludePath
正規表現でスキャン対象から外すディレクトリの指定
ディレクトリ単位で指定する場合は行末がスラッシュで終わる点に注意。

・MaxDirectoryRecursion
スキャンするディレクトリの深さ(デフォルト15階層)

・FollowDirectorySymlinks
シンボリックリンクディレクトリの本体を検査の対象にする
この項目を有効にする場合にはMaxDirectoryRecursionの設定に注意すること

・FollowFileSymlinks
シンボリックリンクファイルの本体を検査の対象にする

・CrossFilesystems
他のファイルシステムやディレクトリのスキャン(デフォルト有効)

・SelfCheck
指定された間隔(秒)ごとにDataDirectory内のデータベースファイルの更新を
チェックし、自動的に再読み込みを行う

・VirusEvent
ウイルスが検出されたら指定したコマンドを実行する
コマンドの引数に%v(ウイルス名)と%f(感染したファイル名)を指定できるが、
%fの取り扱いに注意しなければセキュリティ上の問題が発生するので使用しないこと

・User
clamdの実行ユーザーを指定。デフォルトはclamavとなっているが、
この場合実行ユーザーを作成してスキャンするファイルへの権限を与える必要がある

・AllowSupplementaryGroups
補助グループへのアクセスを初期化します(デフォルトNO)

・ExitOnOOM
メモリ不足の場合にデーモンを停止する

・Foreground
backgroundではなくforegroundで稼動させる

・Debug
デバッグモードで稼動させる

・LeaveTemporaryFiles
一時ファイルを削除しない(デフォルトNO)

・AllowAllMatchScan
ALLMATCHSCANコマンドの使用を許可

・DetectPUA
PUAで有効にするカテゴリ DetectPUAが有効になっている場合デフォルトでは全て有効

・ExcludePUA
特定のPUAカテゴリを除外します。この命令は、複数回使用することができます
PUAカテゴリの完全なリストについては、
http://www.clamav.net/support/puaを参照してください。

・IncludePUA
PUAで有効にするカテゴリ。DetectPUAが有効になっている場合デフォルトでは全て有効

・AlgorithmicDetection
PUAでスパム検出にClamAVオリジナルのアルゴリズムを利用する。
(複雑な構造のファイルも検出できる)デフォルトは有効。

・ForceToDisk
このオプションはディスクへのコンテンツをダンプするメモリまたはネストされたマップをスキャンする。このオプションをオンにするとより多くのデータがディスクに書き込まれる
使用時は オプションLeaveTemporaryFilesがオンにする

・DisableCache
このオプションでは、エンジンのキャッシュ機能を無効にすることができます

・ScanPE
Windowsで使用される圧縮された実行ファイルをスキャンするか指定(デフォルト有効)

・ScanELF
「.elf」ファイルのスキャン(デフォルト有効)

・DetectBrokenExecutables
壊れた実行ファイル(PEとELFの両方)を検出する(デフォルト無効)

・ScanOLE2
MS OfficeのファイルフォーマットであるOLE2をスキャンする(デフォルト有効)

・OLE2BlockMacros
OLE2の内VBAマクロをスキャンする

・ScanPDF
PDFファイルをスキャンする(デフォルト有効)

・ScanSWF
SWFファイルをスキャンする(デフォルト有効)

・ScanMail
ローカルメールのスキャンをする(デフォルト有効)

・ScanPartialMessages
メール規格RFC1341で分割されたメールのスキャン

・PhishingSignatures
ClamAVでフィッシング攻撃の察知

・PhishingScanURLs
フィッシング攻撃で使われるURLの察知。ヒューリスティックエンジンによる照合

・PhishingAlwaysBlockSSLMismatch
データベースにない場合でも、SSLで証明書と適合しないURLの場合、ブロックする

・PhishingAlwaysBlockCloak
データベースにない場合でも、クローキングURLの場合はブロックする

・PartitionIntersection
ヒューリスティックを使用して、生のディスクイメージ内のパーティションの交点を検出する

・HeuristicScanPrecedence
ヒューリスティックエンジンによる照合でウイルスと判定された場合、スキャンを中止する。CPUリソースの節約になる。 # データベース(シグネチャベース)によるウイルスを発見した場合はこのオプションに関わらずスキャンを中止する

・StructuredDataDetection
DLPモジュールを有効にする

・StructuredMinCreditCardCount
DLPモジュールで保護するクレジットカード番号に一致する桁数の最小値を指定

・StructuredMinSSNCount
DLPモジュールで保護する社会保障番号

・StructuredSSNFormatNormal
社会保障番号のフォーマットに一致する

・StructuredSSNFormatStripped
社会保障番号のフォーマット一致の別バージョン

・ScanHTML
HTMLの正規化とMS Script Encoderを復号化して内容をチェックする

・ScanArchive
圧縮ファイルのスキャンを有効にする

・ArchiveBlockEncrypted
ウイルスの見つかった圧縮ファイルにマーキングする

・MaxScanSize
スキャンされるデータの最大量、アーカイブなどこの値より大きなファイルの場合、
展開して指定したサイズまでスキャンする。0を指定すると無制限。

・MaxFileSize
通常のファイルと、アーカイブから展開されたファイルの最大サイズを指定。
これ以上のサイズのファイルは展開しても検査されない。0を指定すると無制限

・MaxRecursion
再帰的に解凍・展開する際の深度の上限

・MaxFiles
解凍・展開する圧縮ファイルが内包するファイル数の上限

・MaxEmbeddedPE
EmbeddedPファイルのサイズの最大指定
設定値よりも大きいファイルは、追加の分析ステップをスキップします。

・MaxHTMLNormalize
HTMLを正規化するためのHTMLファイルの最大サイズ指定
設定値よりも大きいファイルは正規化しないまたはスキャンしない

・MaxHTMLNoTags
スキャンする正規化HTMLファイルの最大サイズ設定

・MaxScriptNormalize
スクリプトファイルの最大サイズ設定

・MaxZipTypeRcg
分析するZIPファイルの最大サイズ設定

・MaxPartitions
ディスクイメージのパーティションの最大数設定

・MaxIconsPE
PE内のアイコンの最大スキャン数設定

・ScanOnAccess
オンアクセススキャンの有効

・OnAccessMaxFileSize
オンアクセススキャンの最大サイズ設定

・OnAccessIncludePath
オンアクセススキャンのディレクトリ設定

・OnAccessExcludePath
オンアクセススキャンのディレクトリ除外設定

・OnAccessExcludeUID
特定のUIDをホワイトリストに登録することができます
関連性を持つ子プロセスも全てのファイルにアクセスすることができます
このオプションは複数回使用することが可能

・Bytecode
バイトコードをデータベースから読み込むか設定

・BytecodeSecurity
バイトコードで指定可能な値
None – デバックのための指定。ウイルスに対して何もしない
TrustSigned – 署名されたデータベースのものは信頼する。署名のないものは実行時にチェックする
Paranoid – 全てのバイトコードを安全性チェックする

・BytecodeTimeout
バイトコードのタイムアウトをミリ秒単位で指定する

・StatsEnabled
統計データの有効設定

・StatsPEDisabled
PEセクション統計データの無効設定

・StatsHostID
統計情報を提出する際UUIDの形式でホストIDを使用します

・StatsTimeout
統計サーバのタイムアウト設定

設定ファイル例:

次回はこちらです↓
CentOS6:ClamAV(Clam AntiVirus)のインストール及び設定(2)

– PR –
– PR –