ClamAV: Phần mềm diệt virus mã nguồn mở thiết yếu cho Linux và máy chủ

  • ClamAV là phần mềm diệt vi-rút miễn phí và mã nguồn mở, lý tưởng cho GNU/Linux, máy chủ và hệ thống hỗn hợp.
  • Cơ sở dữ liệu của nó liên tục được cập nhật nhờ vào cộng đồng lớn và sự hỗ trợ chuyên nghiệp.
  • Nó cho phép quét theo lịch trình, tích hợp vào máy chủ thư, quản trị nâng cao và tùy chỉnh theo nhu cầu.
Pablinux

10 phút

ClamAV

Bảo mật máy tính là một chủ đề ngày càng quan trọng trong môi trường kỹ thuật số ngày nay. Bảo vệ chống lại vi-rút, Trojan và các mối đe dọa khác đã trở thành ưu tiên cho cả người dùng cá nhân và doanh nghiệp. Giữ cho hệ thống an toàn là chìa khóa để tránh mất dữ liệu, vi phạm bảo mật hoặc gián đoạn dịch vụ. Về vấn đề này, việc có các công cụ vững chắc và đáng tin cậy như ClamAV là điều cần thiết để bảo vệ hiệu quả.

Một trong những chương trình diệt virus mã nguồn mở nổi tiếng và được sử dụng rộng rãi nhất trên các hệ thống Linux và Unix là ClamAV đã đề cập ở trên. Mặc dù nó đã xây dựng được danh tiếng là giải pháp được ưa chuộng cho các máy chủ thư và hệ thống GNU/Linux, phạm vi của nó rộng hơn nhiều, mở rộng sang Windows và macOS. Nếu bạn muốn tìm hiểu thêm về ClamAV, Cách thức hoạt động, điểm mạnh của nó và cách bạn có thể tận dụng nóHãy đọc tiếp vì chúng tôi sẽ cho bạn biết MỌI THỨ, đến từng chi tiết nhỏ nhất.

ClamAV là gì và nó xuất phát từ đâu?

ClamAV là một phần mềm diệt virus mã nguồn mở, được cấp phép theo GPLv2, nhằm mục đích phát hiện và loại bỏ vi-rút, Trojan, phần mềm độc hại và các phần mềm độc hại khác. Ban đầu từ Ba Lan, dự án được Tomasz Kojm khởi xướng vào năm 2001 và đã phát triển ổn định để trở thành chuẩn mực trong việc bảo vệ các máy chủ và hệ thống chủ yếu dựa trên GNU/Linux. Năm 2007, nhóm phát triển đã được tích hợp vào Sourcefire, và sau đó, vào năm 2013, nó đã trở thành một phần của Cisco, nơi hiện được duy trì bởi bộ phận an ninh mạng của mình, Talos.

Kể từ khi thành lập, ClamAV đã áp dụng triết lý hợp tác, cởi mở và minh bạch, điều này đã giúp công ty nhận được sự hỗ trợ của các trường đại học, tập đoàn và cộng đồng người dùng và nhà phát triển toàn cầu. Cộng đồng lớn này đảm bảo phản ứng nhanh với các mối đe dọa mới và cơ sở dữ liệu virus được cập nhật liên tục..

Đặc điểm kỹ thuật: điều gì làm cho nó đặc biệt?

ClamAV là được lập trình chủ yếu bằng C và C++. Nó chính thức có sẵn cho nhiều hệ điều hành, bao gồm GNU/Linux, Windows, FreeBSD, OpenBSD, Solaris và macOS, do đó cho phép sử dụng trong nhiều môi trường khác nhau. Điều quan trọng cần lưu ý là, mặc dù được sử dụng rộng rãi trong GNU/Linux, cũng có các giao diện đồ họa và các biến thể được thiết kế riêng cho từng hệ thống:

  • KlamAV dành cho môi trường KDE.
  • ClamXav dành cho macOS.
  • ClamWin dành cho Windows.
  • Đội trưởng, mới hơn và có mục tiêu thay thế ClamTK.

Kiến trúc của ClamAV là có tính mô-đun, có thể mở rộng và linh hoạtSức mạnh chính của nó nằm ở lõi đa luồng và sử dụng tiến trình daemon (clamav-daemon) giúp tăng tốc độ quét, tạo điều kiện phân tích đồng thời nhiều tệp và thư mục mà không làm chậm hệ thống.

Chức năng và tiện ích chính

ClamAV Ban đầu nó được thiết kế để quét email và tệp đính kèm, đó là lý do tại sao nó được sử dụng rộng rãi trên các máy chủ email để phát hiện và ngăn chặn sự lây lan của phần mềm độc hại qua email. Theo thời gian, các ứng dụng của nó đã được mở rộng và hiện tại nó cho phép:

  • Thực hiện quét theo yêu cầu hoặc theo lịch trình trên các tệp, thư mục và thậm chí toàn bộ hệ thống
  • Giám sát thời gian thực (trên GNU/Linux) về quyền truy cập tệp, phát hiện ngay lập tức và cách ly các tệp bị nhiễm
  • Tự động cập nhật cơ sở dữ liệu chữ ký virus thông qua dịch vụ FreshClam
  • Quét các tệp và tệp nén ở nhiều định dạng khác nhau như ZIP, RAR, ARJ, TAR, GZ, BZ2, MS OLE2, CHM, CAB, BinHex, SIS hoặc AutoIt, cùng nhiều định dạng khác
  • Hỗ trợ hầu hết các định dạng email và tệp đặc biệt (HTML, RTF, PDF, uuencode, TNEF, v.v.)
  • Kiểm dịch và quản lý các trường hợp dương tính giả

Khả năng tương thích định dạng rộng và tập trung vào tốc độ và hiệu quả (hơn 850.000 chữ ký được liệt kê) làm cho ClamAV là giải pháp mạnh mẽ ngay cả đối với môi trường kinh doanh và quan trọng.

Tại sao nên sử dụng ClamAV trên Linux?

Mặc dù có một quan niệm sai lầm phổ biến rằng các hệ thống GNU/Linux "không có vi-rút", nhưng thực tế là, mặc dù ít xảy ra hơn so với Windows, các mối đe dọa vẫn tồn tại. Vai trò của ClamAV trong Linux Nó thường liên quan nhiều hơn đến công tác phòng ngừa và bảo vệ của các hệ thống khác:

  • Nếu bạn chia sẻ tệp hoặc gửi email đến hệ thống Windows trên máy chủ Linux của mình, ClamAV sẽ phát hiện các mối đe dọa có thể ảnh hưởng đến những máy tính đó, ngay cả khi hệ thống Linux của bạn không bị xâm phạm trực tiếp.
  • Trong môi trường doanh nghiệp, việc lấy chứng chỉ bảo mật có thể yêu cầu phải có lớp chống vi-rút, bất kể hệ điều hành nào.
  • Phát hiện các mối đe dọa trong các tệp đã tải xuống, chia sẻ hoặc chuyển đi, tránh trở thành kênh phát tán phần mềm độc hại vô tình.

ClamAV giúp ngăn chặn sự lây lan của các tệp tin độc hại và đảm bảo các tiêu chuẩn bảo mật ngay cả trên các hệ thống thường được coi là an toàn hơn.

Cài đặt và khởi động ClamAV

Việc cài đặt ClamAV trên bất kỳ bản phân phối GNU/Linux nào đều rất đơn giản vì hầu hết đều có sẵn trong kho lưu trữ chính thức của bản phân phối đó. Debian, Ubuntu, CentOS, RHEL và các phiên bản phái sinh cho phép cài đặt bằng một lệnh duy nhất:

  • Trên Ubuntu/Debian: sudo apt-get install clamav clamav-daemon.
  • Trên CentOS/RHEL: sudo yum install clamav (yêu cầu phải bật kho lưu trữ EPEL).
  • Vòm: sudo pacman -S clamav.

Elququete clamav-daemon Phần mềm diệt vi-rút cần có khả năng hoạt động như một dịch vụ nền (daemon), do đó cho phép quét tự động và theo thời gian thực.

Nâng cấp cơ sở dữ liệu

Sau khi cài đặt, bước quan trọng đầu tiên là cập nhật cơ sở dữ liệu virus với sudo freshclam. Điều này tự động tải xuống và áp dụng các chữ ký mới nhấtTheo mặc định, dịch vụ freshclam thực hiện cập nhật mỗi giờ, đảm bảo rằng ClamAV luôn sẵn sàng phát hiện các mối đe dọa mới nhất.

Bắt đầu và kích hoạt daemon

Sau khi cài đặt và cập nhật, và nếu muốn, bạn phải bật và khởi động daemon ClamAV:

  • Cho phép: sudo systemctl enable clamav-daemon
  • Khởi đầu: sudo systemctl start clamav-daemon

Điều quan trọng cần nhớ là mặc dù dịch vụ có thể xuất hiện dưới dạng 'hoạt động', vẫn có thể đang khởi tạoNếu bạn chạy các lệnh như clamdscan quá nhanh sau khi khởi động, bạn có thể gặp phải lỗi tạm thời. Để biết thêm thông tin về cách bảo vệ hệ thống của bạn tốt hơn, hãy xem công cụ bảo mật trong Linux.

Bạn có thể xác thực rằng daemon đã sẵn sàng bằng cách kiểm tra đăng nhập /var/log/clamav/clamav.log hoặc kiểm tra sự tồn tại của ổ cắm trong /var/run/clamav/clamd.ctl.

Cấu hình tùy chỉnh và cài đặt được đề xuất

Sau khi bạn đã thiết lập và chạy ClamAV, bạn nên điều chỉnh một số thông số để tránh lỗi và tận dụng tối đa. Để cải thiện tích hợp và giúp quản lý dễ dàng hơn, bạn có thể tìm hiểu thêm về .

  • Quét dưới dạng root và sử dụng –fdpassTheo mặc định, ClamAV sử dụng người dùng 'clamav', không có quyền truy cập vào tất cả các tệp. Để quét toàn diện, bạn phải chạy các lệnh với tư cách là root hoặc sử dụng sudo và thêm tùy chọn --fdpass.
  • Tránh cảnh báo trong các thư mục đặc biệt: Các thư mục như /proc, /sys, /run, /dev, /snap, /var/lib/lxcfs/cgroup, /var/spool/postfix/private|public|dev có thể tạo ra cảnh báo vì chúng chứa các ổ cắm hoặc các tệp đặc biệt không thể phân tích cú pháp. Bạn có thể loại trừ chúng bằng cách sử dụng chỉ thị Loại trừPath en /etc/clamav/clamd.conf.
  • Đệ quy trong các thư mục lồng nhauNếu hệ thống có nhiều thư mục lồng nhau, giới hạn đệ quy (mặc định là 30) có thể đạt đến. Bạn có thể kiểm tra có bao nhiêu cấp độ lồng nhau và mở rộng tham số. Đệ quy MaxDirectory nếu cần thiết
  • Song song hóa và tốc độ: Theo mặc định, chỉ có một quy trình được sử dụng. Nó bao gồm các tùy chọn --fdpass --multiscan để tận dụng nhiều lõi và tăng tốc độ phân tích.

Ví dụ thực tế sử dụng

  • Quét một thư mục hoặc tệp cụ thể: clamscan -r /ruta/del/directorio ('-r' quét đệ quy)
  • Phân tích toàn bộ hệ thống: clamscan -r / (có thể mất một thời gian tùy thuộc vào kích thước của đĩa)
  • Chỉ hiển thị các tập tin bị nhiễm: clamscan --infected
  • Gửi các tập tin bị nhiễm đến nơi cách ly: clamscan --move=/ruta/cuarentena

Đối với môi trường có khối lượng thông tin lớn, nên sử dụng máy quét cùng với daemon, vì nó nhanh hơn nhiều so với clamscan độc lập.

Tự động quét và cập nhật

Một trong những lợi thế của ClamAV là dễ dàng lên lịch quét thường xuyên để giữ cho hệ thống của bạn luôn sạch sẽ. Có hai tùy chọn tự động hóa chính:

  • cron:Bạn có thể tạo các tác vụ theo lịch trình để quét hàng ngày, hàng tuần hoặc bất kỳ khoảng thời gian nào khác, lưu trữ kết quả trong tệp nhật ký để xem lại sau.
  • Bộ đếm thời gian SystemdNếu bạn đang sử dụng bản phân phối hiện đại, bạn có thể tận dụng bộ đếm thời gian systemd để linh hoạt hơn (kể cả khi có sự chậm trễ ngẫu nhiên để tránh tình trạng sử dụng tài nguyên đồng thời tăng đột biến trên nhiều máy chủ).

Ví dụ, bạn có thể tạo một dịch vụ tùy chỉnh chạy lệnh quét toàn bộ hàng tuần và cấu hình thông báo qua email tự động trong trường hợp có lỗi, tất cả đều được quản lý bởi systemd.

Quản lý nâng cao: thông báo lỗi và tùy chỉnh

Nếu bạn muốn nâng cao mức độ bảo mật lên một tầm cao mới, điều đó hoàn toàn có thể Nhận thông báo qua email tự động về các vấn đề liên quan đến phân tích định kỳĐể thực hiện việc này, chỉ cần tạo một tập lệnh ghi lại trạng thái dịch vụ sau mỗi lần thực hiện và sử dụng công cụ gửi thư (như mailx hoặc sendmail) để thông báo cho bạn về bất kỳ lỗi nào. Hệ thống dịch vụ và bộ đếm thời gian của Systemd cho phép tích hợp chức năng này một cách tinh tế và mạnh mẽ.

Hơn nữa, với nhật ký chi tiết mà ClamAV tạo ra, bạn có thể kiểm tra lịch sử quét, xem thời điểm phát hiện mối đe dọa và điều chỉnh thêm các thông số hoạt động và loại trừ dựa trên cách sử dụng hệ thống cụ thể của bạn.

Giấy phép và đóng góp

ClamAV tận hưởng một Giấy phép GPLv2, nghĩa là việc sử dụng nó hoàn toàn miễn phí, ở cả cấp độ cá nhân và chuyên nghiệp. Sự phát triển mở của nó cho phép bất kỳ ai cũng có thể đóng góp mã, cải tiến hoặc tài liệu.. Ngoài ra, nó bao gồm các thành phần đặc biệt theo các giấy phép tương thích như Apache, MIT, BSD và LGPL, mang lại cho nó tính linh hoạt và mạnh mẽ tuyệt vời. Ví dụ, nó bao gồm các mô-đun như Yara (cho các quy tắc tùy chỉnh), zlib, bzip2, libmspack và các mô-đun khác, tất cả đều cần thiết để phân tích các tệp nén và các loại phần mềm độc hại phức tạp.

Cộng đồng ClamAV rất năng động. Bạn có thể truy cập các hướng dẫn, hướng dẫn viết chữ ký tùy chỉnh, tham gia vào danh sách gửi thư, trò chuyện Discord và đóng góp vào việc cải thiện dự án thông qua các nền tảng như GitHub.

Phiên bản và sự tiến hóa

Chu kỳ phát hành của ClamAV rất năng động. Các phiên bản ổn định và beta được phát hành thường xuyên, sửa lỗi và thêm các tính năng mới. Cơ sở dữ liệu phần mềm độc hại được cập nhật nhiều lần trong ngày và tất cả các tính năng mới đều được công bố trên blog chính thức và các kênh cộng đồng khác. Các bản phát hành gần đây bao gồm khả năng tương thích được cải thiện với các kiến ​​trúc hiện đại (x86_64, ARM64), tích hợp Docker và dễ dàng cài đặt bằng các gói dành riêng cho hệ điều hành.

ClamAV đã trở thành tiêu chuẩn thực tế trên nhiều máy chủ Linux và cơ sở hạ tầng mạng doanh nghiệp trên toàn thế giới., nhờ vào sự phát triển liên tục và phản ứng nhanh chóng với các mối đe dọa mới.

ClamAV dành cho nhà phát triển và quản trị viên: Tích hợp và hỗ trợ

Ngoài việc sử dụng trực tiếp như một phần mềm diệt vi-rút, ClamAV cũng là một công cụ phân tích có thể tùy chỉnh và thích ứng Docker có thể dễ dàng tích hợp vào các giải pháp doanh nghiệp hoặc công cụ của riêng bạn. Tài liệu kỹ thuật và hướng dẫn trực tuyến bao gồm mọi thứ từ cài đặt và cấu hình cơ bản đến tạo chữ ký tùy chỉnh và phân tích nâng cao. Có các tiện ích cụ thể để làm việc với Docker, được đóng gói cho tất cả các hệ thống và API cho phép tương tác theo chương trình với công cụ.

Hỗ trợ dành cho nhà phát triển và quản trị viên rất tuyệt vời, từ diễn đàn, danh sách gửi thư và trò chuyện cộng đồng đến cơ sở dữ liệu tài liệu toàn diện và thậm chí cả hệ thống theo dõi lỗi và yêu cầu.

Ưu điểm và hạn chế có thể có của ClamAV

Điểm mạnh:

  • 100% mã nguồn mở, miễn phí và không có quảng cáo
  • Đa nền tảng và dễ dàng tích hợp
  • Cộng đồng tuyệt vời, cập nhật liên tục và phản ứng rất nhanh với các mối đe dọa mới
  • Khả năng quét nhiều định dạng khác nhau, bao gồm các tệp nén phức tạp
  • Hoàn hảo cho pháp y, máy chủ thư, chia sẻ tệp và nhiều hơn nữa

Những hạn chế có thể có:

  • Theo mặc định, nó không bao gồm các tính năng nâng cao đặc trưng của các giải pháp thương mại (bảo vệ web, tường lửa, hộp cát, v.v.)
  • Mặc dù hiệu quả, nhưng khả năng phát hiện của nó có thể kém hơn các giải pháp khác trong phân khúc máy tính để bàn dành cho người dùng gia đình nếu bạn đang tìm kiếm khả năng bảo vệ chủ động toàn diện theo thời gian thực (trên Linux, bảo vệ khi truy cập là tùy chọn và yêu cầu cấu hình bổ sung).

Trong mọi trường hợp, ClamAV là một công cụ rất hiệu quả để phát hiện phần mềm độc hại nhanh chóng, đặc biệt là trên máy chủ và môi trường dùng chung..

ClamAV Đây là giải pháp diệt virus mạnh mẽ, linh hoạt và có một cộng đồng năng động hỗ trợ. Khả năng thích ứng với hầu như mọi môi trường và tốc độ cộng đồng cập nhật chữ ký của nó khiến nó trở thành một trong những lựa chọn tốt nhất để bảo vệ hệ thống Linux, máy chủ email và tệp được chia sẻ. Nếu bạn đang tìm kiếm một công cụ miễn phí, mạnh mẽ và luôn được cập nhật, ClamAV là một đồng minh tuyệt vời để cân nhắc.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.