Как интегрировать Linux Malware Detection и ClamAV для автоматического обнаружения вредоносных программ на серверах Linux

Допустим, вы развернули Linux в качестве сервера в дата центре из-за надежности и безопасности, которые предлагает платформа с открытым исходным кодом.

Не дайте себя обмануть, думая, что использование Linux будет завершением всех ваших потребностей в безопасности.

Всегда важно помнить, что, пока он подключен к сети, любой компьютер уязвим.

На ваших серверах Linux может быть любое количество пользователей, которые входят в систему и сохраняют файлы в многочисленные каталоги.

Или, может быть, вы используете Linux в качестве почтового сервера, на котором отправляются и принимаются вложения.

Независимо от того, почему вы используете этот сервер Linux, важно принять необходимые меры предосторожности для защиты этих серверов и тех, кто их использует.

Один из способов добавить уровень защиты от вредоносных программ – интегрировать Linux Malware Detection (LMD) и ClamAV.

Эта комбинация использует LMD в качестве инструмента обнаружения вредоносных программ и ClamAV в качестве антивирусного ядра.

После того, как вы установили и настроили эту комбинацию, вы можете быть уверены, что ваши серверы Linux более защищены от таких угроз.

Как установить и настроить LMD

Первое, что мы сделаем, это установим LMD.

Зайдите на свой сервер и загрузите последнюю версию с помощью команды:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

После завершения загрузки распакуйте файл с помощью команды:

tar xvzf maldetect-current.tar.gz

Установите программное обеспечение с помощью команды:

sudo ./install.sh

После установки maldetect нам нужно настроить его для работы с ClamAV, который мы вскоре установим.

Откройте файл конфигурации с помощью команды:

sudo nano /usr/local/maldetect/conf.maldet

Убедитесь, что в этом файле установлены следующие параметры конфигурации:

email_alert=1
email_addr=EMAIL
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quarantine_hits=1
quarantine_clean=1
quarantine_susp=1
scan_clamscan="1"

Где EMAIL – это адрес электронной почты, на который будут приходить оповещения.

Если вам не нужно получать оповещения по электронной почте, оставьте для параметра email_alert значение 0 и не меняйте запись email_addr.

Сохраните и закройте файл.

Как установить ClamAV

Теперь установим ClamAV.

Для этого введите команду:

sudo apt-get install clamav clamav-daemon -y

Если вы используете дистрибутив на основе Red Hat, вам необходимо сначала включить репозиторий EPEL с помощью команды:

sudo dnf install epel-release -y

После этого вы можете установить ClamAV с помощью команд:

sudo dnf update
sudo dnf install clamd

Как протестировать LDM / ClamAV

Чтобы протестировать эту систему, мы скачаем на сервер печально известные файлы EICAR.

Перейдите в каталог /srv (с помощью команды: cd /srv) и выполните следующие команды:

sudo wget http://www.eicar.org/download/eicar.com 
sudo wget http://www.eicar.org/download/eicar.com.txt 
sudo wget http://www.eicar.org/download/eicar_com.zip 
sudo wget http://www.eicar.org/download/eicarcom2.zip

После того, как вы скачали файлы, запустите сканирование этого каталога с помощью команды:

sudo maldet --scan-all /srv

Когда сканирование завершится, вы должны увидеть, что система обнаружила файлы и поместила их в карантин.

Все четыре файла EICAR будут удалены из каталога /srv.

Вам не нужно беспокоиться о запуске сканирования вручную – хотя вы можете это сделать в любое время, – потому что maldet будет настроен на ежедневное выполнение (через cron).

И это все, что нужно для развертывания надежной системы обнаружения вредоносных программ/вирусов на ваших серверах Linux.