Setting Clamav Realtime Scanner
Setting clamav agar menjadi realtime scanner
Sebenarnya tulisan ini dibuat ketika ada tugas dari kantor untuk coba implementasikan wazuh dikantor, berhubung API virus total dibatasi penggunakan free nya, akhirnya kita mencoba custom sedikit clamav seperti pada tutorial yang saya telah tulis tentang hardening proxmox mail gateway. karena sebelumnya mengkombinasikan clamav dengan malware patrol, kali ini saya akan mengkombinasikan dengan tools clamoncc.
ClamAV adalah mesin antivirus open-source yang sering digunakan untuk mendeteksi virus dan malware pada file. Biasanya digunakan di server Linux dan Unix, ClamAV populer di kalangan administrator sistem dan profesional keamanan karena keandalannya. Dalam artikel ini, kami akan membahas cara menginstal ClamAV pada sistem operasi Linux dan mengonfigurasinya agar menjadi real time scan on-access
Mari kita mulai dengan menginstal ClamAV dan daemon yang terkait. Ikuti langkah-langkah berikut ini.
Langkah 1: Perbarui Sistem
Untuk menginstal ClamAV, pastikan sistem kita sudah diperbarui. Jalankan perintah berikut untuk memperbarui sistem:
sudo apt-get update && sudo apt-get upgrade
Langkah 2: Instal ClamAV
Gunakan apt untuk mengunduh paket ClamAV pada sistem Linux berbasis Debian. Jalankan perintah berikut:
sudo apt-get install clamav
Perintah ini akan menginstal ClamAV beserta daemon-nya.
Langkah 3: Perbarui ClamAV
Setelah menginstal ClamAV, penting untuk memperbarui database virusnya. Jalankan perintah berikut di terminal:
sudo freshclam
Perintah ini akan memperbarui basis data virus untuk ClamAV.
Langkah 4: Konfigurasi clamonacc
Edit file konfigurasi ClamAV yang terletak di /etc/clamav/clamd.conf
(nama file dapat berbeda tergantung distribusi Linux). Untuk konfigurasi yang sederhana, ikuti langkah-langkah berikut:
- Buka
clamd.conf
untuk diedit. - Tentukan jalur yang ingin Anda pantau secara rekursif dengan mengatur opsi
OnAccessIncludePath
. - Atur
OnAccessPrevention
keyes
. - Periksa nama pengguna yang digunakan oleh
clamd
. - Atur
OnAccessExcludeUname
ke nama penggunaclamd
. - Simpan perubahan dan tutup
clamd.conf
.
Berikut konfigurasi yang saya gunakan untuk clamonacc dikonfigurasi untuk memantau folder /tmp
dan /var/tmp
untuk malware.
#Generated automatically by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
User clamav
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks false
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog true
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
OnAccessIncludePath /opt/
OnAccessIncludePath /tmp/
OnAccessIncludePath /var/tmp/
OnAccessPrevention yes
OnAccessExtraScanning yes
OnAccessExcludeUname clamav
User root
AllowSupplementaryGroups true
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 30
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
OnAccessMaxFileSize 5M
Langkah 5: Jalankan layanan ClamAV dan clamonacc
Sekarang, jalankan clamd
dengan izin tinggi dan jalankan layanan clamonacc
.
sudo clamd
sudo clamonacc
Catatan: Kadang-kadang kita mungkin mengalami masalah izin saat menjalankan service clamonacc
. Hal ini disebabkan oleh direktori /var/run/clamav
yang hilang dan akun layanan clamav
tidak dapat membuat direktori tersebut karena masalah izin.
Jika Anda mengalami masalah seperti ini, buat direktori yang sesuai dan berikan izin serta kepemilikan yang sesuai kepada pengguna clamav
.
sudo mkdir /var/run/clamav
sudo chown clamav:clamav /var/run/clamav
Uji Keberhasilan
Jika semuanya berjalan dengan baik, pemindai On-Access ClamAV akan berjalan di latar belakang dan aktif memindai direktori yang ditentukan dengan OnAccessIncludePath
. Kita dapat mengujinya dengan download file eicar (file yang dirancang untuk menguji respons produk antivirus) ke direktori yang dipantau dan mencoba mengaksesnya. Jika layanan berjalan dengan sukses, kita akan mendapatkan pesan "Operation not permitted" bahkan ketika mencoba mengakses file sebagai pengguna root.
curl https://secure.eicar.org/eicar.com -o /tmp/test.txt
cat /tmp/eicar.txt
Jika semuanya berjalan dengan baik, kita tidak akan dapat mengakses file tersebut meskipun kita adalah pengguna root.
Peristiwa ini akan dicatat dan dapat dilihat dari /var/log/clamav/clamav.log
dan dari syslog (kita perlu mengatur LogSyslog
ke true
di file clamd.conf
untuk meneruskan log ke syslog). Log ini dapat digunakan oleh solusi SIEM untuk mengangkat peringatan dan melakukan investigasi untuk intelijen ancaman.
Catatan: saat beralih menggunakan ClamAV realtime scanner dapat mengonsumsi cpu, jadi penting untuk mengonfigurasi ClamAV dengan tepat sesuai dengan sistem dan beban kerja Anda. Kita juga dapat menyesuaikan direktif OnAccessPrevention
dan OnAccessExcludePath
dalam file konfigurasi ClamAV untuk menyesuaikan bagaimana ClamAV merespons file yang terinfeksi. Untuk informasi lebih lanjut tentang konfigurasi ClamAV, kita dapat melihat dokumentasi ClamAV atau menjalankan man clamd.conf
.
ClamOnAcc adalah alat yang kuat yang dapat membantu pengguna Linux memantau direktori untuk malware dan virus, memungkinkan mereka mengidentifikasi dan menghapus ancaman potensial sebelum dapat merusak sistem mereka. Dengan bekerja sama dengan ClamAV, ClamOnAcc dapat meningkatkan kinerja pemindaian ClamAV dengan mengurangi operasi I/O dan menggunakan beberapa core CPU.
Secara keseluruhan, ClamOnAcc adalah tools yang sangat bermanfaat untuk membantu pengguna Linux menjaga sistem mereka tetap aman dan terlindungi,
What's Your Reaction?