Opšte je poznato da nema puno potrebe imati antivirus na desktop linuxu ali ako neko hoće da bude nešto mirniji (ne mogu da kažem potpuno miran) onda će možda sledeća kombinacija ClamAV i rkhunter biti interesantna. Koristim ovu kombinaciju nekih mesec dana i meni je ok, praktično dve skripte u /etc/cron.daily rade ceo posao.
Clamav skripta updejtuje svaki put bazu virusa i onda radi scan samo novih i promenjenih fajlova u zadnjih 24h odnosno od prethodnog scana (jer cron.daily se izvršava jednom u 24h)
rkhunter za one koji ne znaju je "Rootkit Hunter scans for known and unknown rootkits, backdoors, and sniffers" , izmedju ostalog prijavljuje ako se neki od glavnih root programa promenio, što se dešava nakon updejta sistema ali pošto tada znate da je radjen update i vidite koji program se promenio znate da je to zbog updejta i samo napravite updejt baze da ne bi ponovo prijavio sledeći put isti warning, taj update se radi sa :
Što se ClamAV tiče ja sam pored default instalacije još omogućio i SafeBrowsing signatures u /etc/freshclam.conf, default je disejblovan, treba skinuti komentar i da linija glasi :
Ostaviću ovde ta dva cron joba, ja sam podesio oba tako da se pošalje email ako se pronadje nešto, dakle rkhunter će poslati email i clamav.
Treba samo promeniti email adresu u obe skripte.
Zapravo rkhunter sam stavlja rkhunter cron u daily kada se instalira, njega nisam ni dirao, ali jesam konfig fajl /etc/rkhunter.conf
rkhunter zahteva malo igranja i skeniranja nekih prvih par puta da bi videli koje sve warning javlja i šta bi ste stavili u whitelist.
Ako neko ima neke nejasnoće oko toga može da pita pa ću probati da odgovorim.
U spojleru sam stavio /etc/cron.daily/clamav
Treba promeniti [email protected] i staviti neku validnu.
Zanimljivo tu još može biti scan_dir="/home" , mislim da je dovoljno da se skenira samo /home, ako neko ima neke druge potrebe tu se menja.
Ako se pronadje neki virus dobija se samo obaveštenje koji fajl je u pitanju, dakle ništa se ne briše, mislm da je to bolja varijanta.
Ova skripta se može staviti i u /etc/cron.hourly pa će se izvršavati svakih sat vremena, u tom slučaju treba promeniti u skripti 1440 u 60
Clamav skripta updejtuje svaki put bazu virusa i onda radi scan samo novih i promenjenih fajlova u zadnjih 24h odnosno od prethodnog scana (jer cron.daily se izvršava jednom u 24h)
rkhunter za one koji ne znaju je "Rootkit Hunter scans for known and unknown rootkits, backdoors, and sniffers" , izmedju ostalog prijavljuje ako se neki od glavnih root programa promenio, što se dešava nakon updejta sistema ali pošto tada znate da je radjen update i vidite koji program se promenio znate da je to zbog updejta i samo napravite updejt baze da ne bi ponovo prijavio sledeći put isti warning, taj update se radi sa :
Kod:
sudo rkhunter --propupdŠto se ClamAV tiče ja sam pored default instalacije još omogućio i SafeBrowsing signatures u /etc/freshclam.conf, default je disejblovan, treba skinuti komentar i da linija glasi :
Kod:
SafeBrowsing yesOstaviću ovde ta dva cron joba, ja sam podesio oba tako da se pošalje email ako se pronadje nešto, dakle rkhunter će poslati email i clamav.
Treba samo promeniti email adresu u obe skripte.
Zapravo rkhunter sam stavlja rkhunter cron u daily kada se instalira, njega nisam ni dirao, ali jesam konfig fajl /etc/rkhunter.conf
rkhunter zahteva malo igranja i skeniranja nekih prvih par puta da bi videli koje sve warning javlja i šta bi ste stavili u whitelist.
Ako neko ima neke nejasnoće oko toga može da pita pa ću probati da odgovorim.
U spojleru sam stavio /etc/cron.daily/clamav
Treba promeniti [email protected] i staviti neku validnu.
Zanimljivo tu još može biti scan_dir="/home" , mislim da je dovoljno da se skenira samo /home, ako neko ima neke druge potrebe tu se menja.
Ako se pronadje neki virus dobija se samo obaveštenje koji fajl je u pitanju, dakle ništa se ne briše, mislm da je to bolja varijanta.
Ova skripta se može staviti i u /etc/cron.hourly pa će se izvršavati svakih sat vremena, u tom slučaju treba promeniti u skripti 1440 u 60
Kod:
#!/bin/bash
# Create Hourly Cron Job With Clamscan
freshclam --quiet
# Directories to scan
scan_dir="/home"
# Temporary file
list_file=$(mktemp -t clamscan.XXXXXX) || exit 1
# Location of log file
log_file="/var/log/clamav/daily_clamscan.log"
# Make list of new files
if [ -f "$log_file" ]
then
# use newer files then logfile
find "$scan_dir" -type f -cnewer "$log_file" -fprint "$list_file"
else
# scan last 24hrs
find "$scan_dir" -type f -mmin -1440 -fprint "$list_file"
fi
if [ -s "$list_file" ]
then
# Scan files and remove (--remove) infected
clamscan -i -f "$list_file" > "$log_file"
# If there were infected files detected, send email alert
if [ `cat $log_file | grep Infected | grep -v 0 | wc -l` != 0 ]
then
HOSTNAME=`hostname`
echo "$(egrep "FOUND" $log_file)" | mail -s "VIRUS PROBLEM on $HOSTNAME" [email protected]
fi
else
# remove the empty file, contains no info
rm -f "$list_file"
fi
exit
). ClamAV ima i GUI ali je i korišćenje preko terminala jednostavno (možda i lakše)
