CentOS6:ClamAV(Clam AntiVirus)のインストール及び設定(1)

今日のCentOS6.6にClam AntiVirusのインストール及び詳細設定を紹介します。

ステップ1:インストール用のリポジトリー追加

CentOS6の64ビット版にEPRLをインストールするためのコマンドは以下になります。

rpm -ivh http://ftp.riken.jp/Linux/fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm
sed -i 's/enabled=1/enabled=0/g' /etc/yum.repos.d/epel.repo
yum --enablerepo=epel -y update epel-release
ステップ2:Clam AntiVirusをインストールする

以下のコマンドで Clam AntiVirus をインストールします。

yum --enablerepo=epel -y install clamd

以上終わりw

ステップ3:Clam AntiVirus の設定変更

設定ファイルを開きましょう

vim /etc/clamd.conf

まずは個々の設定項目を説明します。

・Example
この項目が設定されている場合、clamdはすぐに終了する

・LogFile
指定したファイルにログを記録する (Default: 無効)

・LogFileUnlock
LogFileで指定したログファイルをロックしない (Default: 無効)

・LogFileMaxSize
LogFileで指定したログファイルの容量の上限 (Default: 1M | 0で無制限)

・LogTime
日付と時刻をログの内容に加える (Default: 無効)

・LogClean
ウィルスが検出されなかったファイルについてもログに記録します。

・LogSyslog
syslogへ出力する

・LogVerbose
詳細にログ出力

・LogRotate
ログローテーション

・PidFile
メインthreadのpidを指定したファイルに記録する (Default: 無効)

・TemporaryDirectory
一時的な使い捨てファイルなどを作成するディレクトリを指定

・DatabaseDirectory
VirusDBファイル(main.cvd/daily.cvd/*.db等)のあるディレクトリを明示して指定

・LocalSocket
unixソケットでの通信を行う場合のscoketファイルの場所

・LocalSocketMode
指定されたモードへのUNIXソケットのアクセス許可を設定します。

・FixStaleSocket
前回にclamdが異常終了したなどが原因で残されたままになっているsocketファイルを除去する

・TCPSocket
TCPでの通信を行う場合のポート番号

・TCPAddr
TCPでの通信を行う場合のIPアドレス

・MaxConnectionQueueLength
最大保留接続のキュー数

・StreamMaxLength
STREAMコマンドで送られるデータの容量の上限 (Default: 無制限)

・StreamMinPort
リミットデータポート範囲

・StreamMaxPort
マックスデータポート範囲

・MaxThreads
同時に動くスレッドの数の上限

・ReadTimeout
クライアント側からのアイドル時のタイムアウト時間(秒数) (Default: 120 | 0で無制限)

・CommandReadTimeout
こちらはコマンドのタイムアウトを指定(秒単位)サーバがビジー状態の場合などを考慮

・SendBufTimeout
送信のためのバッファがいっぱいになった場合のタイムアウトの設定(ミリ秒単位)

・MaxQueue
キューに入れられたアイテムの総数MaxThreadsで指定した実行中のものを含む
多く取るとファイルディスクリプタ不足になるため注意
指定することができる最大の数は上記の式で求められる デフォルトは100。

・IdleTimeout
タイムアウト後に新しいプロセスを実行する時間を指定(秒単位)(デフォルトは30秒)

・ExcludePath
正規表現でスキャン対象から外すディレクトリの指定
ディレクトリ単位で指定する場合は行末がスラッシュで終わる点に注意。

・MaxDirectoryRecursion
スキャンするディレクトリの深さ(デフォルト15階層)

・FollowDirectorySymlinks
シンボリックリンクディレクトリの本体を検査の対象にする
この項目を有効にする場合にはMaxDirectoryRecursionの設定に注意すること

・FollowFileSymlinks
シンボリックリンクファイルの本体を検査の対象にする

・CrossFilesystems
他のファイルシステムやディレクトリのスキャン(デフォルト有効)

・SelfCheck
指定された間隔(秒)ごとにDataDirectory内のデータベースファイルの更新を
チェックし、自動的に再読み込みを行う

・VirusEvent
ウイルスが検出されたら指定したコマンドを実行する
コマンドの引数に%v(ウイルス名)と%f(感染したファイル名)を指定できるが、
%fの取り扱いに注意しなければセキュリティ上の問題が発生するので使用しないこと

・User
clamdの実行ユーザーを指定。デフォルトはclamavとなっているが、
この場合実行ユーザーを作成してスキャンするファイルへの権限を与える必要がある

・AllowSupplementaryGroups
補助グループへのアクセスを初期化します(デフォルトNO)

・ExitOnOOM
メモリ不足の場合にデーモンを停止する

・Foreground
backgroundではなくforegroundで稼動させる

・Debug
デバッグモードで稼動させる

・LeaveTemporaryFiles
一時ファイルを削除しない(デフォルトNO)

・AllowAllMatchScan
ALLMATCHSCANコマンドの使用を許可

・DetectPUA
PUAで有効にするカテゴリ DetectPUAが有効になっている場合デフォルトでは全て有効

・ExcludePUA
特定のPUAカテゴリを除外します。この命令は、複数回使用することができます
PUAカテゴリの完全なリストについては、
http://www.clamav.net/support/puaを参照してください。

・IncludePUA
PUAで有効にするカテゴリ。DetectPUAが有効になっている場合デフォルトでは全て有効

・AlgorithmicDetection
PUAでスパム検出にClamAVオリジナルのアルゴリズムを利用する。
(複雑な構造のファイルも検出できる)デフォルトは有効。

・ForceToDisk
このオプションはディスクへのコンテンツをダンプするメモリまたはネストされたマップをスキャンする。このオプションをオンにするとより多くのデータがディスクに書き込まれる
使用時は オプションLeaveTemporaryFilesがオンにする

・DisableCache
このオプションでは、エンジンのキャッシュ機能を無効にすることができます

・ScanPE
Windowsで使用される圧縮された実行ファイルをスキャンするか指定(デフォルト有効)

・ScanELF
「.elf」ファイルのスキャン(デフォルト有効)

・DetectBrokenExecutables
壊れた実行ファイル(PEとELFの両方)を検出する(デフォルト無効)

・ScanOLE2
MS OfficeのファイルフォーマットであるOLE2をスキャンする(デフォルト有効)

・OLE2BlockMacros
OLE2の内VBAマクロをスキャンする

・ScanPDF
PDFファイルをスキャンする(デフォルト有効)

・ScanSWF
SWFファイルをスキャンする(デフォルト有効)

・ScanMail
ローカルメールのスキャンをする(デフォルト有効)

・ScanPartialMessages
メール規格RFC1341で分割されたメールのスキャン

・PhishingSignatures
ClamAVでフィッシング攻撃の察知

・PhishingScanURLs
フィッシング攻撃で使われるURLの察知。ヒューリスティックエンジンによる照合

・PhishingAlwaysBlockSSLMismatch
データベースにない場合でも、SSLで証明書と適合しないURLの場合、ブロックする

・PhishingAlwaysBlockCloak
データベースにない場合でも、クローキングURLの場合はブロックする

・PartitionIntersection
ヒューリスティックを使用して、生のディスクイメージ内のパーティションの交点を検出する

・HeuristicScanPrecedence
ヒューリスティックエンジンによる照合でウイルスと判定された場合、スキャンを中止する。CPUリソースの節約になる。 # データベース(シグネチャベース)によるウイルスを発見した場合はこのオプションに関わらずスキャンを中止する

・StructuredDataDetection
DLPモジュールを有効にする

・StructuredMinCreditCardCount
DLPモジュールで保護するクレジットカード番号に一致する桁数の最小値を指定

・StructuredMinSSNCount
DLPモジュールで保護する社会保障番号

・StructuredSSNFormatNormal
社会保障番号のフォーマットに一致する

・StructuredSSNFormatStripped
社会保障番号のフォーマット一致の別バージョン

・ScanHTML
HTMLの正規化とMS Script Encoderを復号化して内容をチェックする

・ScanArchive
圧縮ファイルのスキャンを有効にする

・ArchiveBlockEncrypted
ウイルスの見つかった圧縮ファイルにマーキングする

・MaxScanSize
スキャンされるデータの最大量、アーカイブなどこの値より大きなファイルの場合、
展開して指定したサイズまでスキャンする。0を指定すると無制限。

・MaxFileSize
通常のファイルと、アーカイブから展開されたファイルの最大サイズを指定。
これ以上のサイズのファイルは展開しても検査されない。0を指定すると無制限

・MaxRecursion
再帰的に解凍・展開する際の深度の上限

・MaxFiles
解凍・展開する圧縮ファイルが内包するファイル数の上限

・MaxEmbeddedPE
EmbeddedPファイルのサイズの最大指定
設定値よりも大きいファイルは、追加の分析ステップをスキップします。

・MaxHTMLNormalize
HTMLを正規化するためのHTMLファイルの最大サイズ指定
設定値よりも大きいファイルは正規化しないまたはスキャンしない

・MaxHTMLNoTags
スキャンする正規化HTMLファイルの最大サイズ設定

・MaxScriptNormalize
スクリプトファイルの最大サイズ設定

・MaxZipTypeRcg
分析するZIPファイルの最大サイズ設定

・MaxPartitions
ディスクイメージのパーティションの最大数設定

・MaxIconsPE
PE内のアイコンの最大スキャン数設定

・ScanOnAccess
オンアクセススキャンの有効

・OnAccessMaxFileSize
オンアクセススキャンの最大サイズ設定

・OnAccessIncludePath
オンアクセススキャンのディレクトリ設定

・OnAccessExcludePath
オンアクセススキャンのディレクトリ除外設定

・OnAccessExcludeUID
特定のUIDをホワイトリストに登録することができます
関連性を持つ子プロセスも全てのファイルにアクセスすることができます
このオプションは複数回使用することが可能

・Bytecode
バイトコードをデータベースから読み込むか設定

・BytecodeSecurity
バイトコードで指定可能な値
None – デバックのための指定。ウイルスに対して何もしない
TrustSigned – 署名されたデータベースのものは信頼する。署名のないものは実行時にチェックする
Paranoid – 全てのバイトコードを安全性チェックする

・BytecodeTimeout
バイトコードのタイムアウトをミリ秒単位で指定する

・StatsEnabled
統計データの有効設定

・StatsPEDisabled
PEセクション統計データの無効設定

・StatsHostID
統計情報を提出する際UUIDの形式でホストIDを使用します

・StatsTimeout
統計サーバのタイムアウト設定

設定ファイル例:

##
## Example config file for the Clam AV daemon
## Please read the clamd.conf(5) manual before editing this file.
##


# Comment or remove the line below.
#Example

# Uncomment this option to enable logging.
# LogFile must be writable for the user running daemon.
# A full path is required.
# Default: disabled
LogFile /var/log/clamav/clamd.log

# By default the log file is locked for writing - the lock protects against
# running clamd multiple times (if want to run another clamd, please
# copy the configuration file, change the LogFile variable, and run
# the daemon with --config-file option).
# This option disables log file locking.
# Default: no
#LogFileUnlock yes

# Maximum size of the log file.
# Value of 0 disables the limit.
# You may use 'M' or 'm' for megabytes (1M = 1m = 1048576 bytes)
# and 'K' or 'k' for kilobytes (1K = 1k = 1024 bytes). To specify the size
# in bytes just don't use modifiers. If LogFileMaxSize is enabled, log
# rotation (the LogRotate option) will always be enabled.
# Default: 1M
LogFileMaxSize 0

# Log time with each message.
# Default: no
LogTime yes

# Also log clean files. Useful in debugging but drastically increases the
# log size.
# Default: no
#LogClean yes

# Use system logger (can work together with LogFile).
# Default: no
# LogSyslog yes

# Specify the type of syslog messages - please refer to 'man syslog'
# for facility names.
# Default: LOG_LOCAL6
#LogFacility LOG_MAIL

# Enable verbose logging.
# Default: no
LogVerbose yes

# Enable log rotation. Always enabled when LogFileMaxSize is enabled.
# Default: no
# LogRotate yes

# Log additional information about the infected file, such as its
# size and hash, together with the virus name.
#ExtendedDetectionInfo yes

# This option allows you to save a process identifier of the listening
# daemon (main thread).
# Default: disabled
PidFile /var/run/clamav/clamd.pid

# Optional path to the global temporary directory.
# Default: system specific (usually /tmp or /var/tmp).
TemporaryDirectory /var/tmp

# Path to the database directory.
# Default: hardcoded (depends on installation options)
DatabaseDirectory /var/clamav

# Only load the official signatures published by the ClamAV project.
# Default: no
#OfficialDatabaseOnly no

# The daemon can work in local mode, network mode or both. 
# Due to security reasons we recommend the local mode.

# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
LocalSocket /var/run/clamav/clamd.sock

# Sets the group ownership on the unix socket.
# Default: disabled (the primary group of the user running clamd)
#LocalSocketGroup virusgroup

# Sets the permissions on the unix socket to the specified mode.
# Default: disabled (socket is world accessible)
#LocalSocketMode 660

# Remove stale socket after unclean shutdown.
# Default: yes
FixStaleSocket yes

# TCP port address.
# Default: no
# TCPSocket 3310

# TCP address.
# By default we bind to INADDR_ANY, probably not wise.
# Enable the following to provide some degree of protection
# from the outside world. This option can be specified multiple
# times if you want to listen on multiple IPs. IPv6 is now supported.
# Default: no
# TCPAddr 127.0.0.1

# Maximum length the queue of pending connections may grow to.
# Default: 200
MaxConnectionQueueLength 25

# Clamd uses FTP-like protocol to receive data from remote clients.
# If you are using clamav-milter to balance load between remote clamd daemons
# on firewall servers you may need to tune the options below.

# Close the connection when the data size limit is exceeded.
# The value should match your MTA's limit for a maximum attachment size.
# Default: 25M
#StreamMaxLength 10M

# Limit port range.
# Default: 1024
#StreamMinPort 30000
# Default: 2048
#StreamMaxPort 32000

# Maximum number of threads running at the same time.
# Default: 10
MaxThreads 2

# Waiting for data from a client socket will timeout after this time (seconds).
# Default: 120
ReadTimeout 300

# This option specifies the time (in seconds) after which clamd should
# timeout if a client doesn't provide any initial command after connecting.
# Default: 5
#CommandReadTimeout 5

# This option specifies how long to wait (in miliseconds) if the send buffer is full.
# Keep this value low to prevent clamd hanging
#
# Default: 500
#SendBufTimeout 200

# Maximum number of queued items (including those being processed by MaxThreads threads)
# It is recommended to have this value at least twice MaxThreads if possible.
# WARNING: you shouldn't increase this too much to avoid running out  of file descriptors,
# the following condition should hold:
# MaxThreads*MaxRecursion + (MaxQueue - MaxThreads) + 6< RLIMIT_NOFILE (usual max is 1024)
#
# Default: 100
#MaxQueue 200

# Waiting for a new job will timeout after this time (seconds).
# Default: 30
#IdleTimeout 60

# Don't scan files and directories matching regex
# This directive can be used multiple times
# Default: scan all
#ExcludePath ^/proc/
#ExcludePath ^/sys/

# Maximum depth directories are scanned at.
# Default: 15
#MaxDirectoryRecursion 20

# Follow directory symlinks.
# Default: no
#FollowDirectorySymlinks yes

# Follow regular file symlinks.
# Default: no
#FollowFileSymlinks yes

# Scan files and directories on other filesystems.
# Default: yes
#CrossFilesystems yes

# Perform a database check.
# Default: 600 (10 min)
#SelfCheck 600

# Execute a command when virus is found. In the command string %v will
# be replaced with the virus name.
# Default: no
#VirusEvent /usr/local/bin/send_sms 123456789 "VIRUS ALERT: %v"

# Run as another user (clamd must be started by root for this option to work)
# Default: don't drop privileges
#User clamav

# Initialize supplementary group access (clamd must be started by root).
# Default: no
AllowSupplementaryGroups yes

# Stop daemon when libclamav reports out of memory condition.
ExitOnOOM yes

# Don't fork into background.
# Default: no
#Foreground yes

# Enable debug messages in libclamav.
# Default: no
#Debug yes

# Do not remove temporary files (for debug purposes).
# Default: no
#LeaveTemporaryFiles yes

# Permit use of the ALLMATCHSCAN command. If set to no, clamd will reject
# any ALLMATCHSCAN command as invalid.
# Default: yes
#AllowAllMatchScan no

# Detect Possibly Unwanted Applications.
# Default: no
#DetectPUA yes

# Exclude a specific PUA category. This directive can be used multiple times.
# See https://github.com/vrtadmin/clamav-faq/blob/master/faq/faq-pua.md for 
# the complete list of PUA categories.
# Default: Load all categories (if DetectPUA is activated)
#ExcludePUA NetTool
#ExcludePUA PWTool

# Only include a specific PUA category. This directive can be used multiple
# times.
# Default: Load all categories (if DetectPUA is activated)
#IncludePUA Spy
#IncludePUA Scanner
#IncludePUA RAT

# In some cases (eg. complex malware, exploits in graphic files, and others),
# ClamAV uses special algorithms to provide accurate detection. This option
# controls the algorithmic detection.
# Default: yes
#AlgorithmicDetection yes

# This option causes memory or nested map scans to dump the content to disk.
# If you turn on this option, more data is written to disk and is available
# when the LeaveTemporaryFiles option is enabled.
#ForceToDisk yes

# This option allows you to disable the caching feature of the engine. By
# default, the engine will store an MD5 in a cache of any files that are
# not flagged as virus or that hit limits checks. Disabling the cache will
# have a negative performance impact on large scans.
# Default: no
#DisableCache yes

##
## Executable files
##

# PE stands for Portable Executable - it's an executable file format used
# in all 32 and 64-bit versions of Windows operating systems. This option allows
# ClamAV to perform a deeper analysis of executable files and it's also
# required for decompression of popular executable packers such as UPX, FSG,
# and Petite. If you turn off this option, the original files will still be
# scanned, but without additional processing.
# Default: yes
ScanPE yes

# Certain PE files contain an authenticode signature. By default, we check
# the signature chain in the PE file against a database of trusted and
# revoked certificates if the file being scanned is marked as a virus.
# If any certificate in the chain validates against any trusted root, but
# does not match any revoked certificate, the file is marked as whitelisted.
# If the file does match a revoked certificate, the file is marked as virus.
# The following setting completely turns off authenticode verification.
# Default: no
#DisableCertCheck yes

# Executable and Linking Format is a standard format for UN*X executables.
# This option allows you to control the scanning of ELF files.
# If you turn off this option, the original files will still be scanned, but
# without additional processing.
# Default: yes
ScanELF yes

# With this option clamav will try to detect broken executables (both PE and
# ELF) and mark them as Broken.Executable.
# Default: no
DetectBrokenExecutables yes


##
## Documents
##

# This option enables scanning of OLE2 files, such as Microsoft Office
# documents and .msi files.
# If you turn off this option, the original files will still be scanned, but
# without additional processing.
# Default: yes
ScanOLE2 yes

# With this option enabled OLE2 files with VBA macros, which were not
# detected by signatures will be marked as "Heuristics.OLE2.ContainsMacros".
# Default: no
#OLE2BlockMacros no

# This option enables scanning within PDF files.
# If you turn off this option, the original files will still be scanned, but
# without decoding and additional processing.
# Default: yes
#ScanPDF yes

# This option enables scanning within SWF files.
# If you turn off this option, the original files will still be scanned, but
# without decoding and additional processing.
# Default: yes
#ScanSWF yes


##
## Mail files
##

# Enable internal e-mail scanner.
# If you turn off this option, the original files will still be scanned, but
# without parsing individual messages/attachments.
# Default: yes
ScanMail yes

# Scan RFC1341 messages split over many emails.
# You will need to periodically clean up $TemporaryDirectory/clamav-partial directory.
# WARNING: This option may open your system to a DoS attack.
#     Never use it on loaded servers.
# Default: no
#ScanPartialMessages yes

# With this option enabled ClamAV will try to detect phishing attempts by using
# signatures.
# Default: yes
#PhishingSignatures yes

# Scan URLs found in mails for phishing attempts using heuristics.
# Default: yes
#PhishingScanURLs yes

# Always block SSL mismatches in URLs, even if the URL isn't in the database.
# This can lead to false positives.
#
# Default: no
#PhishingAlwaysBlockSSLMismatch no

# Always block cloaked URLs, even if URL isn't in database.
# This can lead to false positives.
#
# Default: no
#PhishingAlwaysBlockCloak no

# Detect partition intersections in raw disk images using heuristics.
# Default: no
#PartitionIntersection no

# Allow heuristic match to take precedence.
# When enabled, if a heuristic scan (such as phishingScan) detects
# a possible virus/phish it will stop scan immediately. Recommended, saves CPU
# scan-time.
# When disabled, virus/phish detected by heuristic scans will be reported only at
# the end of a scan. If an archive contains both a heuristically detected
# virus/phish, and a real malware, the real malware will be reported
#
# Keep this disabled if you intend to handle "*.Heuristics.*" viruses 
# differently from "real" malware.
# If a non-heuristically-detected virus (signature-based) is found first, 
# the scan is interrupted immediately, regardless of this config option.
#
# Default: no
#HeuristicScanPrecedence yes


##
## Data Loss Prevention (DLP)
##

# Enable the DLP module
# Default: No
#StructuredDataDetection yes

# This option sets the lowest number of Credit Card numbers found in a file
# to generate a detect.
# Default: 3
#StructuredMinCreditCardCount 5

# This option sets the lowest number of Social Security Numbers found
# in a file to generate a detect.
# Default: 3
#StructuredMinSSNCount 5

# With this option enabled the DLP module will search for valid
# SSNs formatted as xxx-yy-zzzz
# Default: yes
#StructuredSSNFormatNormal yes

# With this option enabled the DLP module will search for valid
# SSNs formatted as xxxyyzzzz
# Default: no
#StructuredSSNFormatStripped yes


##
## HTML
##

# Perform HTML normalisation and decryption of MS Script Encoder code.
# Default: yes
# If you turn off this option, the original files will still be scanned, but
# without additional processing.
#ScanHTML yes


##
## Archives
##

# ClamAV can scan within archives and compressed files.
# If you turn off this option, the original files will still be scanned, but
# without unpacking and additional processing.
# Default: yes
ScanArchive yes

# Mark encrypted archives as viruses (Encrypted.Zip, Encrypted.RAR).
# Default: no
ArchiveBlockEncrypted no


##
## Limits
##

# The options below protect your system against Denial of Service attacks
# using archive bombs.

# This option sets the maximum amount of data to be scanned for each input file.
# Archives and other containers are recursively extracted and scanned up to this
# value.
# Value of 0 disables the limit
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 100M
#MaxScanSize 150M

# Files larger than this limit won't be scanned. Affects the input file itself
# as well as files contained inside it (when the input file is an archive, a
# document or some other kind of container).
# Value of 0 disables the limit.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 25M
#MaxFileSize 30M

# Nested archives are scanned recursively, e.g. if a Zip archive contains a RAR
# file, all files within it will also be scanned. This options specifies how
# deeply the process should be continued.
# Note: setting this limit too high may result in severe damage to the system.
# Default: 16
#MaxRecursion 10

# Number of files to be scanned within an archive, a document, or any other
# container file.
# Value of 0 disables the limit.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 10000
#MaxFiles 15000

# Maximum size of a file to check for embedded PE. Files larger than this value
# will skip the additional analysis step.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 10M
#MaxEmbeddedPE 10M

# Maximum size of a HTML file to normalize. HTML files larger than this value
# will not be normalized or scanned.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 10M
#MaxHTMLNormalize 10M

# Maximum size of a normalized HTML file to scan. HTML files larger than this
# value after normalization will not be scanned.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 2M
#MaxHTMLNoTags 2M

# Maximum size of a script file to normalize. Script content larger than this
# value will not be normalized or scanned.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 5M
#MaxScriptNormalize 5M

# Maximum size of a ZIP file to reanalyze type recognition. ZIP files larger
# than this value will skip the step to potentially reanalyze as PE.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 1M
#MaxZipTypeRcg 1M

# This option sets the maximum number of partitions of a raw disk image to be scanned.
# Raw disk images with more partitions than this value will have up to the value number
# partitions scanned. Negative values are not allowed.
# Note: setting this limit too high may result in severe damage or impact performance.
# Default: 50
#MaxPartitions 128

# This option sets the maximum number of icons within a PE to be scanned.
# PE files with more icons than this value will have up to the value number icons scanned.
# Negative values are not allowed.
# WARNING: setting this limit too high may result in severe damage or impact performance.
# Default: 100
#MaxIconsPE 200

##
## On-access Scan Settings
##

# Enable on-access scanning. Currently, this is supported via fanotify.
# Clamuko/Dazuko support has been deprecated.
# Default: no
#ScanOnAccess yes

# Don't scan files larger than OnAccessMaxFileSize
# Value of 0 disables the limit.
# Default: 5M
#OnAccessMaxFileSize 10M

# Set the include paths (all files inside them will be scanned). You can have
# multiple OnAccessIncludePath directives but each directory must be added
# in a separate line. (On-access scan only)
# Default: disabled
#OnAccessIncludePath /home
#OnAccessIncludePath /students

# Set the exclude paths. All subdirectories are also excluded.
# (On-access scan only)
# Default: disabled
#OnAccessExcludePath /home/bofh

# With this option you can whitelist specific UIDs. Processes with these UIDs
# will be able to access all files.
# This option can be used multiple times (one per line).
# Default: disabled
#OnAccessExcludeUID 0


##
## Bytecode
##

# With this option enabled ClamAV will load bytecode from the database. 
# It is highly recommended you keep this option on, otherwise you'll miss detections for many new viruses.
# Default: yes
#Bytecode yes

# Set bytecode security level.
# Possible values:
#       None - no security at all, meant for debugging. DO NOT USE THIS ON PRODUCTION SYSTEMS
#         This value is only available if clamav was built with --enable-debug!
#       TrustSigned - trust bytecode loaded from signed .c[lv]d files,
#                insert runtime safety checks for bytecode loaded from other sources
#       Paranoid - don't trust any bytecode, insert runtime checks for all
# Recommended: TrustSigned, because bytecode in .cvd files already has these checks
# Note that by default only signed bytecode is loaded, currently you can only
# load unsigned bytecode in --enable-debug mode.
#
# Default: TrustSigned
#BytecodeSecurity TrustSigned

# Set bytecode timeout in miliseconds.
# 
# Default: 5000
# BytecodeTimeout 1000

##
## Statistics gathering and submitting
##

# Enable statistical reporting.
# Default: no
#StatsEnabled yes

# Disable submission of individual PE sections for files flagged as malware.
# Default: no
#StatsPEDisabled yes

# HostID in the form of an UUID to use when submitting statistical information.
# Default: auto
#StatsHostID auto

# Time in seconds to wait for the stats server to come back with a response
# Default: 10
#StatsTimeout 10

次回はこちらです↓
CentOS6:ClamAV(Clam AntiVirus)のインストール及び設定(2)

– PR –
– PR –