Clamav - antivirus
Présentation
Clamav est un anti-virus gratuit pour linux, les BSD et d'autres. Il est très régulièrement mis à jour, et réputé efficace. Il fonctionne en ligne de commande.
Installation et configuration
Installation des paquets
Les paquets suivants sont nécessaires à son fonctionnement : clamav, clamav-daemon et clamav-freshclam.
clamav-daemon est utile seulement pour faire tourner clamav en tant que daemon, ce qui est conseillé pour avoir un scan à l'accès des fichiers.
clamav-freshclam sert à la mise à jour de la définition des virus. Il s'installe en tant que daemon et se met à jour tout seul.
Les fichiers de configuration se trouvent dans /etc/clamav/. Il suffit de commenter ou non les lignes voulues, et éventuellement de modifier les valeurs. La configuration par défaut fonctionne bien.
Configuration du proxy
Si vous possédez un proxy, il est nécessaire de le configurer pour pouvoir mettre à jour les définitions de virus.
Editer le fichier /etc/clamav/freshclam.conf, et ajouter les lignes suivantes :
HTTPProxyServer nom_du_proxy HTTPProxyPort port_du_proxy HTTPProxyUsername compte HTTPProxyPassword mot_de_passe
Il faut ensuite tester que ça fonctionne en tapant la commande "freshclam" (voir chapitre suivant).
Utilisation
lancer la mise à jour de la définition des virus
La commande est : freshclam.
Cette mise à jour se fait automatiquement au travers du daemon clamav-freshclam.
lancer un scan à la main d'un répertoire
Pour lancer un scan à la main d'un répertoire, tapez une commande du type :
clamscan --recursive --log=/var/log/clamav/clamscan.log --infected /DATA
Les pricipales options sont :
option | description |
--recursive | descend dans les sous-répertoires |
--log | indique l'emplacement du fichier de log |
--infected | n'affiche que les fichiers infectés |
--quiet | n'affiche les fichiers scannés que s'il y a un problème (par exemple fichier vide, ou fichier infecté) |
--remove | supprime les fichiers infectés (A UTILISER AVEC PRECAUTION) |
--move=DIRECTORY | déplace les fichiers infectés dans le répertoire DIRECTORY (A UTILISER AVEC PRECAUTION) |
/DATA | chemin à scanner |
D'autres options sont disponibles dans les pages man.
Faire une crontab pour scanner le répertoire /DATA
Voici un exemple de crontab (pour root ou un utilisateur qui a les bons droits) :
# scan du partage samba 55 23 * * * mv /var/log/clamav/clamscan.log /var/log/clamav/clamscan.`date +"%Y.%m.%d"`.log 0 0 * * * clamscan --recursive --log=/var/log/clamav/clamscan.log --quiet /DATA ; mail -s "resultat du scan des virus" email@domaine.fr < /var/log/clamav/clamscan.log
Cette crontab renome l'ancien fichier de log avec sa date. Puis, il lance un scan et, dès qu'il est terminé, envoi un mail à d'administrateur avec le résultat. On utilise l'option "--quiet" pour ne pas surcharger le mail.
Tester
On peut facilement tester l'antivirus avec un faux virus de test, qui n'est pas dangereux, mais qui contient une signature de virus. On peut en télécharger un sur le site www.eicar.org, ou directement ici : [eicar.com.txt].
Ensuite, on le teste avec clamscan, qui doit afficher que le fichier est infecté :
clamscan eicar.com.txt
Le site officiel
Vous trouverez plus d'infos sur le site officiel : http://www.clamav.net/.