Setting Clamav Realtime Scanner

Setting clamav agar menjadi realtime scanner

  Linux   Jul 29, 2024   0   84  Add to Reading List
Setting Clamav Realtime Scanner

Sebenarnya tulisan ini dibuat ketika ada tugas dari kantor untuk coba implementasikan wazuh dikantor, berhubung API virus total dibatasi penggunakan free nya, akhirnya kita mencoba custom sedikit clamav seperti pada tutorial yang saya telah tulis tentang hardening proxmox mail gateway. karena sebelumnya mengkombinasikan clamav dengan malware patrol, kali ini saya akan mengkombinasikan dengan tools clamoncc.

ClamAV adalah mesin antivirus open-source yang sering digunakan untuk mendeteksi virus dan malware pada file. Biasanya digunakan di server Linux dan Unix, ClamAV populer di kalangan administrator sistem dan profesional keamanan karena keandalannya. Dalam artikel ini, kami akan membahas cara menginstal ClamAV pada sistem operasi Linux dan mengonfigurasinya agar menjadi real time scan on-access

Mari kita mulai dengan menginstal ClamAV dan daemon yang terkait. Ikuti langkah-langkah berikut ini.

Langkah 1: Perbarui Sistem

Untuk menginstal ClamAV, pastikan sistem kita sudah diperbarui. Jalankan perintah berikut untuk memperbarui sistem: 

sudo apt-get update && sudo apt-get upgrade

Langkah 2: Instal ClamAV

Gunakan apt untuk mengunduh paket ClamAV pada sistem Linux berbasis Debian. Jalankan perintah berikut: 

sudo apt-get install clamav

Perintah ini akan menginstal ClamAV beserta daemon-nya.

Langkah 3: Perbarui ClamAV

Setelah menginstal ClamAV, penting untuk memperbarui database virusnya. Jalankan perintah berikut di terminal: 

sudo freshclam

Perintah ini akan memperbarui basis data virus untuk ClamAV.

Langkah 4: Konfigurasi clamonacc

Edit file konfigurasi ClamAV yang terletak di /etc/clamav/clamd.conf (nama file dapat berbeda tergantung distribusi Linux). Untuk konfigurasi yang sederhana, ikuti langkah-langkah berikut:

  1. Buka clamd.conf untuk diedit.
  2. Tentukan jalur yang ingin Anda pantau secara rekursif dengan mengatur opsi OnAccessIncludePath.
  3. Atur OnAccessPrevention ke yes.
  4. Periksa nama pengguna yang digunakan oleh clamd.
  5. Atur OnAccessExcludeUname ke nama pengguna clamd.
  6. Simpan perubahan dan tutup clamd.conf.

Berikut konfigurasi yang saya gunakan untuk clamonacc dikonfigurasi untuk memantau folder /tmp dan /var/tmp untuk malware. 

#Generated automatically by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
User clamav
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks false
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog true
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
OnAccessIncludePath /opt/
OnAccessIncludePath /tmp/
OnAccessIncludePath /var/tmp/
OnAccessPrevention yes
OnAccessExtraScanning yes
OnAccessExcludeUname clamav
User root
AllowSupplementaryGroups true
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 30
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
OnAccessMaxFileSize 5M

Langkah 5: Jalankan layanan ClamAV dan clamonacc

Sekarang, jalankan clamd dengan izin tinggi dan jalankan layanan clamonacc. 

sudo clamd
sudo clamonacc

Catatan: Kadang-kadang kita mungkin mengalami masalah izin saat menjalankan service clamonacc. Hal ini disebabkan oleh direktori /var/run/clamav yang hilang dan akun layanan clamav tidak dapat membuat direktori tersebut karena masalah izin.

Jika Anda mengalami masalah seperti ini, buat direktori yang sesuai dan berikan izin serta kepemilikan yang sesuai kepada pengguna clamav. 

sudo mkdir /var/run/clamav
sudo chown clamav:clamav /var/run/clamav

Uji Keberhasilan

Jika semuanya berjalan dengan baik, pemindai On-Access ClamAV akan berjalan di latar belakang dan aktif memindai direktori yang ditentukan dengan OnAccessIncludePath. Kita dapat mengujinya dengan download file eicar (file yang dirancang untuk menguji respons produk antivirus) ke direktori yang dipantau dan mencoba mengaksesnya. Jika layanan berjalan dengan sukses, kita akan mendapatkan pesan "Operation not permitted" bahkan ketika mencoba mengakses file sebagai pengguna root. 

curl https://secure.eicar.org/eicar.com -o /tmp/test.txt
cat /tmp/eicar.txt

Jika semuanya berjalan dengan baik, kita tidak akan dapat mengakses file tersebut meskipun kita adalah pengguna root.

Peristiwa ini akan dicatat dan dapat dilihat dari /var/log/clamav/clamav.log dan dari syslog (kita perlu mengatur LogSyslog ke true di file clamd.conf untuk meneruskan log ke syslog). Log ini dapat digunakan oleh solusi SIEM untuk mengangkat peringatan dan melakukan investigasi untuk intelijen ancaman.

Catatan: saat beralih menggunakan ClamAV realtime scanner dapat mengonsumsi cpu, jadi penting untuk mengonfigurasi ClamAV dengan tepat sesuai dengan sistem dan beban kerja Anda. Kita juga dapat menyesuaikan direktif OnAccessPrevention dan OnAccessExcludePath dalam file konfigurasi ClamAV untuk menyesuaikan bagaimana ClamAV merespons file yang terinfeksi. Untuk informasi lebih lanjut tentang konfigurasi ClamAV, kita dapat melihat dokumentasi ClamAV atau menjalankan man clamd.conf.

ClamOnAcc adalah alat yang kuat yang dapat membantu pengguna Linux memantau direktori untuk malware dan virus, memungkinkan mereka mengidentifikasi dan menghapus ancaman potensial sebelum dapat merusak sistem mereka. Dengan bekerja sama dengan ClamAV, ClamOnAcc dapat meningkatkan kinerja pemindaian ClamAV dengan mengurangi operasi I/O dan menggunakan beberapa core CPU.

Secara keseluruhan, ClamOnAcc adalah tools yang sangat bermanfaat untuk membantu pengguna Linux menjaga sistem mereka tetap aman dan terlindungi,

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow