ClamAV（Clam AntiVirus）安裝使用

一.簡介

Clam AntiVirus是一個類UNIX系統上使用的反病毒軟件包。主要應用於郵件服務器，采用多線程后台操作，可以自動升級病毒庫。ClamAV是一個在命令行下查毒軟件，因為它不將殺毒作為主要功能，默認只能查出您計算機內的病毒，但是無法清除。

二.安裝

1.在線安裝

#安裝epel yum源
yum install -y epel-release 
yum clean all && yum makecache

#安裝clamav
yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

2.離線安裝

#在可以聯網的服務器上制作離線yam源
yum install -y epel-release 
yum clean all && yum makecache

#下載clamav安裝包制作yum源
yum install --downloadonly --downloaddir=/data/clamav/ clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

createrepo /data/clamav/

#編寫repo文件及安裝腳本
cat clamav.repo
[clamav]
name=clamav
baseurl=file:///data/clamav/package
gpgcheck=0
enabled=1

cat install.sh
#!/bin/bash
BAO="clamav"
mv /etc/yum.repos.d /etc/yum.repos.d.bak
mkdir /etc/yum.repos.d
cp ${BAO}.repo /etc/yum.repos.d/
yum clean all
yum makecache
yum -y install ${BAO}
rm -rf /etc/yum.repos.d
mv /etc/yum.repos.d.bak /etc/yum.repos.d

#將文件打包並上傳到離線服務器執行sh install安裝

三.配置SELinux

setsebool -P antivirus_can_scan_system 1 
setsebool -P clamd_use_jit 1

#執行getsebool -a | grep antivirus 顯示以下內容說明配置正確
antivirus_can_scan_system --> on 
antivirus_use_jit --> on 

注：如果服務器已經禁用selinux，可跳過這步

四、配置ClamAV

#刪除示例
sed -i -e "s/^Example/#Example/" /etc/clamd.d/scan.conf
sed -i -e "s/^Example/#Example/" /etc/freshclam.conf 

#編輯配置文件
vim /etc/clamd.d/scan.conf 
#找到下面這行將注釋#刪除，保存
#LocalSocket /var/run/clamd.scan/clamd.sock 
五.更新病毒庫（在線服務器）
freshclam 

#病毒庫保存在以下位置
/var/lib/clamav/daily.cvd 
/var/lib/clamav/main.cvd 

六.離線安裝服務器的其他配置

#創建clamscan用戶
useradd clamscan

#將用戶加入virusgroup組
useradd -g clamscan virusgroup

#創建clamd.scan目錄
mkdir /run/clamd.scan
#改變clamd.scan目錄的用戶和屬組
chown clamscan:virusgroup /run/clamd.scan

#由於離線安裝無病毒庫，需在在線服務器更新病毒庫后將最新的病毒庫文件傳到離線服務器相應目錄下
[root@localhost data]# cd /var/lib/clamav/
[root@localhost clamav]# ls
bytecode.cvd  daily.cld  freshclam.dat  main.cvd

#離線安裝無啟動文件可將在線安裝目錄下的文件拷貝到離線服務器，也可不拷貝直接啟動
/usr/sbin/clamd #clamd文件拷貝到離線服務器
chmod 755 /usr/sbin/clamd

六、啟動Clamd服務

systemctl start clamd@scan
systemctl enable clamd@scan

#離線服務器可能無法使用上面命令啟動，可使用以下命令啟動
/usr/sbin/clamd -c /etc/clamd.d/scan.conf

七、掃描病毒

clamscan 可用以掃描文件, 用戶目錄亦或是整個系統：

##掃描文件 
[root@localhost ~]# clamscan targetfile  

##遞歸掃描home目錄，並且記錄日志 
[root@localhost ~]# clamscan -r -i /home  -l /var/log/clamav.log  

##遞歸掃描home目錄，將病毒文件刪除，並且記錄日志 
[root@localhost ~]# clamscan -r -i /home  --remove  -l /var/log/clamav.log  

##掃描指定目錄，然后將感染文件移動到指定目錄，並記錄日志 
[root@localhost ~]# clamscan -r -i /home  --move=/tmp/clamav -l /var/log/clamav.log

說明:
-r -i 遞歸掃描目錄
-l 指定記錄日志文件
--remove 刪除病毒文件
--move 移動病毒到指定目錄

1.重點掃描目錄

clamscan -r  -i /etc --max-dir-recursion=5 -l /var/log/clamav-etc.log

clamscan -r  -i /bin --max-dir-recursion=5 -l /var/log/clamav-bin.log

clamscan -r  -i /usr --max-dir-recursion=5 -l /var/log/clamav-usr.log

clamscan -r  -i /var --max-dir-recursion=5 -l /var/log/clamav-var.log

2.掃描報告說明

---------- SCAN SUMMARY -----------
Known viruses: 9141451                  #已知病毒
Engine version: 0.102.4                 #軟件版本
Scanned directories: 498                #掃描目錄
Scanned files: 738                      #掃描文件
Infected files: 4                       #感染文件!!!
Data scanned: 530.25 MB                 #掃描數據
Data read: 14131.60 MB (ratio 0.04:1)   #數據讀取
Time: 203.805 sec (3 m 23 s)            #掃描用時

3.查看病毒文件

cat /var/log/clamav-bin.log | grep "FOUND" 

參考文獻
https://www.hostinger.com/tutorials/how-to-install-clamav-centos7