ProFTPD + ClamAV - FTP livre de vírus

cvs

Nesse artigo abordarei uma solução interessante para servidores de FTP onde pode-se evitar a disseminação de vírus em redes Microsoft. Uma abordagem rápida e simples.

[ Hits: 17.705 ]

Por: Thiago Alves em 08/07/2009 | Blog: http://www.seeufosseopresidente.com.br


Configurações



Primeiramente vamos configurar o clamav.

Vamos iniciar o clamd.

Edite o arquivo /etc/clamd.conf e coloque seu usuário como root.

Altere:

User clamav

Para:

User root

E depois inicie o serviço:

# service clamd start

Caso dê um erro como esse descrito abaixo:

Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't open directory /var/clamav

Faça o seguinte, digite "setup", ele vai entrar num utilitário de configuração, depois disso escolha "Firewall configuration" e na opção SELinux marque a opção "Disabled", dê ok e saia. Então tente novamente iniciar o serviço:

# service clamd start

Agora rode o comando de atualização do clamav:

# freshclam

E pronto, o clamd está rodando.

Agora vamos configurar o proftpd.

Vamos editar o /etc/proftpd.conf. Adicione a seguinte linha:

SystemLog   /var/log/proftpd.log

Com isso tudo será logado no arquivo citado acima. E assim poderemos debugar o funcionamento do serviço.

Adicione as seguintes linhas para que o clamav verifique todos os arquivos que forem carregados para o servidor:

<IfModule mod_clamav.c>
  ClamAV on
  ClamServer localhost
  ClamPort 3310
</IfModule>

E pronto. Salve e saia.

Vamos iniciar o serviço:

# service proftpd start

Agora teoricamente estamos com um servidor ftp que varre todos os arquivos carregados. Vamos fazer um teste. Baixe um arquivo do eicar no site:

http://www.eicar.org/anti_virus_test_file.htm

E então faça o upload dele para o servidor. Esse arquivo é uma assinatura de vírus que serve pra testar serviços que rodam antivírus. Fazendo esse teste aqui eu obtive a seguinte resposta:

ftp 10.62.102.189
Connected to 10.62.102.189.
220 FTP Server ready.
500 AUTH not understood
500 AUTH not understood
KERBEROS_V4 rejected as an authentication type
Name (10.62.102.189:thiagoa): admin
331 Password required for admin
Password:
230 User admin logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> send eicar.com
local: eicar.com remote: eicar.com
227 Entering Passive Mode (10,62,102,189,135,152).
150 Opening BINARY mode data connection for eicar.com
550 Virus Detected and Removed: Eicar-Test-Signature
68 bytes sent in 0.016 seconds (4.2 Kbytes/s)

Essa é a mensagem que ele mostra para quem está fazendo o upload:

"550 Virus Detected and Removed: Eicar-Test-Signature"

No arquivo de log ele deve mostrar o seguinte:

(::ffff:10.62.102.122[::ffff:10.62.102.122]): mod_clamav/0.11rc: Virus 'Eicar-Test-Signature' found in '/home/admin/eicar.com'

E pronto, seu servidor está funcionando!

Obs.: Caso não consiga conectar no servidor mesmo após subir o serviço de ftp, adicione a seguinte linha ao arquivo /etc/sysconfig/iptables:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

E reinicie o iptables.

# service iptables restart

Para configurar esses serviços (clamd e proftpd) para sempre iniciarem junto ao boot, use o comando ntsysv:

# ntsysv

Selecione os dois serviços, saia e pronto. Sempre que a máquina for iniciada eles também vão iniciar.

E pronto. Tudo ok.

Conclusão

Então é isso.

Podemos assim melhorar um pouco da segurança e certificar que nossos servidores de ftp não fiquem guardando vírus e nem prejudique rede MS.

Caso tenha alguma dúvida, sugestão, correção, poste aí um comentário que a gente responde.

Referências:
Obrigado.

Página anterior    

Páginas do artigo
   1. Introdução
   2. Configurações
Outros artigos deste autor

Tornando seu Apache mais seguro com o ModSecurity

OpenBSD IDS - Solução Snort e BASE

OpenBSD Proxy - Squid, SquidGuard, SquidClamAV e AdZapper

Apache2 + PHP + PostgreSQL + phpPgAdmin

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Leitura recomendada

Aquisição Estática de Dados em Computação Forense

O espaço e a segurança cibernética

Análise passiva (parte 2)

Transportando dados com segurança - encripte seu pendrive em 5 passos

Segurança em seu Linux

  
Comentários
[1] Comentário enviado por willian.firmino em 08/07/2009 - 14:40h

Cara como faço para utilizar este clamav com servidor samba no centOS 5.3 se puder me ajudar eu agradeço.

[2] Comentário enviado por dastyler em 10/07/2009 - 12:11h

Belo artigo!!

Mas isso no caso o seu proftp é configurado com autenticação ou não? Isso funciona para ftp servers que funcionem com login anonimo?

[]´s

[3] Comentário enviado por maran em 10/07/2009 - 13:38h

Show de bola cara!
Estas soluções com o Clamav são muito boas, quando se compratilha recurosos com estações Windows, pois as mesmas são repletas de virus, pois são usadas na maioria de suas veses por usuários comuns (profissionais de outras áreas, mais que necessitam usar uma determinada ferramenta em um sistema operacional) então na maioria das veses estas estações tem problremas tremendos, e estas soluções sim, melhoram em muito, na utima empresa em que trabalhei os resultados foram impressionantes, na utikização do SAMBA + CLAMAV, se antes tivesse um material assim, os resultado teriam sido melhores ainda!
Parabens!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts