Aujourd’hui je vous propose un nouveau tutoriel pour vous apprendre à mettre en place ClamAV ( https://www.clamav.net/ ) sur CentOS 7 ( https://www.centos.org/ ).

Qu’est-ce que ClamAV ?

ClamAV est un antivirus compatible Linux et que vous pouvez donc installer sur vos serveurs. Si vous pensez que les virus n’existent pas sous Linux je vous invite à lire cet article : https://fr.wikipedia.org/wiki/Liste_des_malwares_Linux
Le projet est maintenu par Cisco et est disponible sous licence GPL.

Installer ClamAV sur CentOS

ClamAV n’est pas disponible par défaut et il vous faudra disposer d’EPEL (Extra Packages for Enterprise Linux). Pour cela rien de plus simple :

yum install epel-release

Nous pouvons maintenant installer ClamAV…

yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

Configurer SELinux pour ClamAV

Si vous utilisez SELinux sur votre machine, vous allez devoir mettre à jour une règle afin que ClamAV puisse fonctionner correctement. Pour cela utilisez la commande suivante :

setsebool -P antivirus_can_scan_system 1

Configurer le daemon ClamAV

Nous allons maintenant passer à la configuration du daemon. Pour cela lancez les commandes suivantes :

cp /usr/share/clamav/template/clamd.conf /etc/clamd.d/clamd.conf
sed -i ‘/^Example/d’ /etc/clamd.d/clamd.conf

Ouvrez maintenant /etc/clamd.d/clamd.conf et modifiez les deux options suivantes :

User clamscan
LocalSocket /var/run/clamd.<SERVICE>/clamd.sock

Configurer freshclam

Nous allons maintenant configurer freshclam (qui va permettre de mettre à jour automatiquement la base de donnée de l’antivirus) :

cp /etc/freshclam.conf /etc/freshclam.conf.bak
sed -i ‘/^Example/d’ /etc/freshclam.conf

Ouvrez ensuite /etc/freshclam.conf et ajoutez à la fin :

DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sigwhitelist.ign2
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sanesecurity.ftm
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/junk.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/jurlbl.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/phish.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/rogue.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/scam.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/spamimg.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/spamattach.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/blurl.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_generic.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_filename.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/malwarehash.hsb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/malware.expert.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/hackingteam.hsb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_malware.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_malware_links.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_extended_malware.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow.attachments.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/winnow_bad_cw.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_cracked_URL.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_malware_URL.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_phishing_URL.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/bofhland_malware_attach.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/crdfam.clamav.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/porcupine.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/porcupine.hsb

Cela vous permet d’ajouter les signatures additionnelles à Freshclam afin d’être mieux protégé…
Exécutez ensuite la commande suivante :

freshclam

Service pour freshclam

Nous allons ensuite créer un service pour freshclam. Créez le fichier : /usr/lib/systemd/system/clam-freshclam.service

# Run the freshclam as daemon
[Unit]
Description = freshclam scanner
After = network.target
[Service]
Type = forking
ExecStart = /usr/bin/freshclam -d -c 4
Restart = on-failure
PrivateTmp = true
[Install]
WantedBy=multi-user.target

Activons et lançon notre nouveau service :

systemctl enable clam-freshclam.service
systemctl start clam-freshclam.service

Scanner la machine

Et voilà nous avons tout installé ! Nous pouvons maintenant utiliser la commande suivante pour scanner la machine :

clamscan -r /folder/

Que faire en cas de faux positifs ?

Dans un premier temps, il faut vérifier qu’il s’agit bien d’un faux positif :p Utilisez donc un service come VirusTotal pour checker le fichier. Une fois que vous êtes sur de vous, utilisez la commande suivante:

sigtool --md5 /chemin/vers/fauxpositif >> /var/lib/clamav/local.fp

Relancez ensuite votre clamscan, le souci devrait être réglé !

Merci d’avoir lu ce tutoriel et n’hésitez pas à poser vos questions sur le forum :)

Sources :
https://www.clamav.net/documents/how…amav-signature
https://linux-audit.com/install-clam…ing-freshclam/
https://forum.proxmox.com/threads/cl…natures.43397/
https://www.clamav.net/documents/

Accéder aux commentaires