スポーツは見るよりプレーする方が好きだった(過去形)@msmです。
コンピューターウィルスは一日に6~7個のペースで誕生していると言われています。DC-Dには日本エフ・セキュア株式会社のソフトウェアを利用したメール用のウィルスチェックサービス(有償オプション)がありますので、中の人としてはそちらをお勧めしたいところですが・・・。今回はオープンソースでウィルス対策をしてみたいと思います。
CentOS 4 + BlueQuartz + Sendmail + ClamAVの構成で書いていますが、Bluequartzレスな環境でも対応できるかと思います。
- rpmforgeの設定とClamAVのインストール
- ClamAVの設定
- テストスキャン
- スケジュールスキャンの設定
- Milterのインストールと設定
- Sendmailの設定
- プロセスの再起動
- 送信テスト
5以降は後編に記載してあります。なお、以下の設定に関しては自己責任でお願いします。
1、rpmforgeの設定とClamAVのインストール
本家にRHEL4用のrpmがありますが、今回もYUMで入れてみます。
この辺で紹介したSeaMew PRMsにもClamAVはありますが、現時点ではバージョン古いものしか発見できず、今回は本家と同バージョンを収録しているrpmforgeの物を使いました。なお、現時点でのLatest releaseは、0.91.2-1です。
以下の方法でYUMにてrpmforgeレポジトリを利用できるようにします。
# cd /tmp # wget http://dag.wieers.com/packages/rpmforge-release/rpmforge-release-0.3.6-1.el4.rf.i386.rpm # rpm -Uhv rpmforge-release-0.3.6-1.el4.rf.i386.rpm # wget http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt # rpm --import RPM-GPG-KEY.dag.txt
常用はしないのでenableを0に設定します。
# vi /etc/yum.repos.d/rpmforge.repo
enabled = 1
↓
enabled = 0
YUMにてclamdをインストールします。
yum install -y clamd --enablerepo=rpmforge
chkconfigやntsysvでclamdがオンになっているか確認します。
# chkconfig --list clamd
2、ClamAVの設定
96行目付近のNotifyClamdをコメントアウトし、/etc/clamd.confを利用しないようにします。
# vi /etc/freshclam.conf
NotifyClamd /etc/clamd.conf
↓
# NotifyClamd /etc/clamd.conf
以下のコマンドでパターンファイルを更新します
# freshclam
起動します
# /etc/init.d/clamd restart Stopping Clam AntiVirus Daemon: [失敗] Starting Clam AntiVirus Daemon: [ OK ]
3、テストスキャン
早速ウィルスチェックをしてみます。最初ですので全ディレクトリを検索します。とっても時間がかかります。
# clamscan --infected --remove --recursive / /usr/share/doc/clamav-0.91.2/test/clam.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.91.2/test/clam.zip: Removed /usr/share/doc/clamav-0.91.2/test/clam-v2.rar: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.91.2/test/clam-v2.rar: Removed /usr/share/doc/clamav-0.91.2/test/clam.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.91.2/test/clam.exe: Removed ・ ・ ・
インストール時に混入したテストウィルスが検出されたかと思います。
せっかくなので、テストウィルスをダウンロードして検地させて見ます。
# cd /tmp # wget http://www.eicar.org/download/eicar.com # ls -la | grep eicar -rw-r--r-- 1 root root 68 11月 1 2006 eicar.com
早速駆除します。今回は/tmpのみスキャンします。
# clamscan --infected --remove --recursive /tmp /tmp/eicar.com: Eicar-Test-Signature FOUND /tmp/eicar.com: Removed ----------- SCAN SUMMARY ----------- Known viruses: 167829 Engine version: 0.91.2 Scanned directories: 4 Scanned files: 211 Infected files: 1 Data scanned: 79.40 MB Time: 18.415 sec (0 m 18 s) # ls -la | grep eicar ※ 何も出ません(消されました)
4、スケジュールスキャンの設定
今回インストールした方法だと、定義ファイルは日次で自動更新されますが、スケジュールスキャンはできません。cronに登録し日次でのスケジュールスキャンをしてみます。
※ /home配下に殆どのコンテンツを置くBlueQuartzの仕様を考慮し/home配下のみのスキャンとしましたが、リソースに余裕がある場合は全ファイルをスキャンさせた方が安全です。
# crontab -e 0 6 * * * /usr/bin/clamscan --infected --remove --recursive /home/ > /dev/null 2>&1
念のためもう一度テストウィルスを仕掛けます。
# cd ~admin # wget http://www.eicar.org/download/eicar.com
6時以降にファイル(~admin/eicar.com)が消えていれば大成功です。
長くなりましたので次回へ。
次回はメールのウィルスチェックを記載します。メールサーバが無い場合など、メールのスキャンをしない場合はコレで終了です。
