Antivírus ClamAV com proteção em tempo real

Instalação e configuração do antivírus ClamAV com arquivos de configurações, On-Access Scanning (proteção em tempo real), várias assinaturas de bancos de dados e interface gráfica (ClamTk).

[ Hits: 14.257 ]

Por: Buckminster em 12/08/2023


Introdução



Leia todo o artigo antes de sair executando comandos, a não ser que você saiba o que está fazendo. Nenhum software se feriu durante a realização do artigo!

Siga os comandos na sequência apresentada no artigo, pois o Clamav é sensível e se ofende por qualquer coisa... já grita ERROR ERROR ERROR!

Porém, depois de instalado, configurado e funcionando redondo ele é bastante estável e não apresenta erros... até surpreende pela estabilidade.

O artigo ficou extenso, mas depois de ler e executar uma vez você verá que é simples e rápido instalar e fazer a manutenção do Clamav, são poucos comandos e você poderá usar também a interface gráfica que, apesar de ser bastante básica, é uma mão na roda.

ClamAV é um kit de ferramentas antivírus de código aberto (GPLv2) projetado especialmente para verificação de e-mail em gateways de e-mail. Ele fornece vários utilitários incluindo um daemon multiencadeado flexível e escalável, um scanner de linha de comando e uma ferramenta avançada para atualizações automáticas de banco de dados. O núcleo do pacote é um mecanismo antivírus disponível na forma de biblioteca compartilhada.

O Clamav é fornecido pela Cisco Systems, Inc.

Antivirus para Linux ainda não se faz muito necessário, pois o Linux é modular, caso você pegar um vírus ele se restringirá a somente uma pequena parte do sistema. Além disso, poucos tem interesse em fazer vírus para Linux, pois quem faz vírus, ransomware, etc, pretende levar uma vantagem financeira e como o Linux não é muito usado em desktop não há interesse. Em servidores, que são a maioria baseados em UNIX/Linux no mundo todo, conta-se com a proteção do firewall, um bom filtro de pacotes e o sistema de permissões dos diretórios e arquivos que fornecem quase a totalidade da proteção necessária.

E mais além disso, no caso de vírus e ransomware, na esmagadora maioria das vezes o principal responsável é o usuário que entra em certos sites duvidosos e clica em cima de links, executa arquivos, etc, sem o menor cuidado, muitas vezes levado por ganância financeira e/ou desejo sexual.

Porém, um antivírus como o ClamAv fornece uma camada extra de proteção, principalmente para quem gosta de acessar certos sites duvidosos e, neste caso, tanto faz se for Linux, Windows, Osx, etc.

IMPORTANTE: para ter On-Access Scanning (proteção em tempo real) requer um sistema executando um kernel Linux versão >= 3.8 com fanotify compilado, sem o fanotify não rola o On-Access Scanning.

Segundo o que está na página oficial do Clamav (link ao final do artigo):

"Varredura ao acessar O aplicativo ClamOnAcc fornece varredura ao acessar para sistemas Linux. A varredura ao acessar é uma forma de proteção em tempo real que usa o ClamD para verificar os arquivos quando eles são acessados."

O Clamav não tem aquela proteção que fica o tempo todo "escaneando" o computador (aliás, antivírus nenhum tem, mas isso é passível de discussão), ele somente escaneia o diretório e/ou o arquivo quando ele é acessado, o que não é muito diferente. O cliente ClamOnAcc para o daemon de varredura ClamD fornece varredura no acesso em versões modernas do Linux. Isso inclui um recurso opcional para bloquear o acesso ao arquivo até que um arquivo seja verificado (prevenção no acesso).

E o Clamav é um glutão de memória, ele sozinho consome 3GB de RAM só existindo. Executando processos pode chegar a 5GB de RAM só para ele.

Porém, com as configurações aqui presentes consegui reduzir para 2GB ele sozinho e 3GB com processos de escaneamento ocorrendo. Apesar de que isso é relativo atualmente, pois como os softwares gráficos vão se atualizando, cada vez mais faz-se necessário mais memória RAM.

Caso você não tenha muita memória RAM com seu Linux sugiro não habilitar o On-Access Scanning, faça uma instalação básica do ClamAV (link ao final do artigo), mas ainda assim ele consumirá, no mínimo, 2GB de RAM só para ele.

# free --mega
               total       usada       livre    compart.  buff/cache  disponível
Mem.:          25183        3054       21201         111        1378       22128
Swap:           1999           0        1999


Vejam que tem 24GB de RAM e 3054MB usados (~3GB), sendo que tem o sistema Debian 12, Apache2, PostgreSQL, PHP, Nftables, Netbeans, Filezilla, Google Chrome, Firefox e o Clamav, além de outros programas.
Pelo htop podemos ver o On-Access Scanning (proteção em tempo real) em ação.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação
   3. Arquivo freshclam.conf
   4. Atualizando o freshclam
   5. ON-ACCESS SCANNING (Proteção em Tempo Real)
   6. Instalando o Clamtk
Outros artigos deste autor

Como um monte de letras de um código fonte transforma-se em voltagens?

Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg

Atualizar o macOS no Mac - Opencore Legacy Patcher

kernel Linux otimizado - Compilação e teste

Compilação de Kernel

Leitura recomendada

Servidor de log no Debian com Syslog-ng

Acesso Remoto: Configurando e Iniciando o Servidor Telnet e SSH

Sistema de gerenciamento de logs do Linux

Framework OSSIM - Open Source Security Information Management

Desvendando código malicioso no fórum Viva o Linux

  
Comentários
[1] Comentário enviado por fabio em 12/08/2023 - 20:37h

Muito bom! Parabéns pelo trabalho.

[2] Comentário enviado por hauck em 02/09/2023 - 10:03h

Posso usar a proteção em tempo real em um servidor com sites hospedados e outros serviços?
Poderia ter algum problema devido a um arquivo ser bloqueado pelo clamav?

[3] Comentário enviado por Buckminster em 03/09/2023 - 17:22h


[2] Comentário enviado por hauck em 02/09/2023 - 10:03h

Posso usar a proteção em tempo real em um servidor com sites hospedados e outros serviços?
Poderia ter algum problema devido a um arquivo ser bloqueado pelo clamav?


Problema nenhum.
O ClamAV (como todo antivírus) tem uma lista onde você pode colocar certos sites e arquivos para escapar da proteção.

[4] Comentário enviado por Sofiabriggs em 11/09/2023 - 08:12h


Thanks for the information. https://www.telltims.net

[5] Comentário enviado por Minions em 28/09/2023 - 02:07h

Isso de "proteção em tempo real" seria como no Windows?

Esse método roda o clamav na memória ram e nos processos do sistema?

[6] Comentário enviado por Buckminster em 19/10/2023 - 08:16h


[5] Comentário enviado por Minions em 28/09/2023 - 02:07h

Isso de "proteção em tempo real" seria como no Windows?

Esse método roda o clamav na memória ram e nos processos do sistema?


https://docs.clamav.net/manual/OnAccess.html

https://blog.clamav.net/2016/03/configuring-on-access-scanning-in-clamav.html

[7] Comentário enviado por cumestive em 28/10/2023 - 11:27h


muito bom esse tutorial, obrigado

[8] Comentário enviado por maurixnovatrento em 29/10/2023 - 13:33h


Ótimo artigo, muito bom.

___________________________________________________________
Conhecimento não se Leva para o Túmulo.
https://github.com/mxnt10

[9] Comentário enviado por fabiobarby em 20/12/2023 - 11:30h


Muito bom, me ajudou aqui, obrigado!

[10] Comentário enviado por Minions em 22/04/2024 - 12:26h

Poderia ter no vol uma base de assinatura feita pelos usuários para o Clamav.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts