Clamav - antivirus

De UnixManiax
Aller à : navigation, rechercher


Présentation

Clamav est un anti-virus gratuit pour linux, les BSD et d'autres. Il est très régulièrement mis à jour, et réputé efficace. Il fonctionne en ligne de commande.

Installation et configuration

Installation des paquets

Les paquets suivants sont nécessaires à son fonctionnement : clamav, clamav-daemon et clamav-freshclam.

clamav-daemon est utile seulement pour faire tourner clamav en tant que daemon, ce qui est conseillé pour avoir un scan à l'accès des fichiers.

clamav-freshclam sert à la mise à jour de la définition des virus. Il s'installe en tant que daemon et se met à jour tout seul.

Les fichiers de configuration se trouvent dans /etc/clamav/. Il suffit de commenter ou non les lignes voulues, et éventuellement de modifier les valeurs. La configuration par défaut fonctionne bien.

Configuration du proxy

Si vous possédez un proxy, il est nécessaire de le configurer pour pouvoir mettre à jour les définitions de virus.

Editer le fichier /etc/clamav/freshclam.conf, et ajouter les lignes suivantes :

HTTPProxyServer nom_du_proxy 				
HTTPProxyPort port_du_proxy 				
HTTPProxyUsername compte 				
HTTPProxyPassword mot_de_passe

Il faut ensuite tester que ça fonctionne en tapant la commande "freshclam" (voir chapitre suivant).

Utilisation

lancer la mise à jour de la définition des virus

La commande est : freshclam.

Cette mise à jour se fait automatiquement au travers du daemon clamav-freshclam.

lancer un scan à la main d'un répertoire

Pour lancer un scan à la main d'un répertoire, tapez une commande du type :

clamscan --recursive --log=/var/log/clamav/clamscan.log --infected /DATA

Les pricipales options sont :

option description
--recursive descend dans les sous-répertoires
--log indique l'emplacement du fichier de log
--infected n'affiche que les fichiers infectés
--quiet n'affiche les fichiers scannés que s'il y a un problème (par exemple fichier vide, ou fichier infecté)
--remove supprime les fichiers infectés (A UTILISER AVEC PRECAUTION)
--move=DIRECTORY déplace les fichiers infectés dans le répertoire DIRECTORY (A UTILISER AVEC PRECAUTION)
/DATA chemin à scanner


D'autres options sont disponibles dans les pages man.

Faire une crontab pour scanner le répertoire /DATA

Voici un exemple de crontab (pour root ou un utilisateur qui a les bons droits) :

# scan du partage samba
55 23 * * * mv /var/log/clamav/clamscan.log /var/log/clamav/clamscan.`date +"%Y.%m.%d"`.log
0 0 * * * clamscan --recursive  --log=/var/log/clamav/clamscan.log --quiet /DATA ; mail -s "resultat du  scan des virus" email@domaine.fr < /var/log/clamav/clamscan.log

Cette crontab renome l'ancien fichier de log avec sa date. Puis, il lance un scan et, dès qu'il est terminé, envoi un mail à d'administrateur avec le résultat. On utilise l'option "--quiet" pour ne pas surcharger le mail.

Tester

On peut facilement tester l'antivirus avec un faux virus de test, qui n'est pas dangereux, mais qui contient une signature de virus. On peut en télécharger un sur le site www.eicar.org, ou directement ici : [eicar.com.txt].

Ensuite, on le teste avec clamscan, qui doit afficher que le fichier est infecté :

clamscan eicar.com.txt

Le site officiel

Vous trouverez plus d'infos sur le site officiel : http://www.clamav.net/.