CentOS6 主机安全加固策略 Clamav 杀毒软件

简单说明：

依据《CentOS6实验机模板搭建部署》克隆两台实验机： Server:192.168.77.10 Client:192.168.77.11 依据《CentOS6u9 简单邮件告警部署》在Server主机上部署命令邮件告警 使用EPEL网络YUM源部署升级clamav是想当方便的，建议使用该方案代替源码编译安装 

Server主机部署：

1° 使用YUM源安装：

 # 可以使用网络EPEL源进行yum安装和升级，比源码安装的方式简单太多了 # 这里选择阿里云镜像网站的源： wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo # 安装 yum -y install clamav clamav-db clamd # 升级 yum update clamav clamav-db clamd # 设置开机启动 chkconfig clamd on # 由软件包clamav-db安装的freshclam的病毒库升级默认使用每日系统任务进行

2° 查看这三个安装包分别安装了哪些组件：

rpm -ql clamav # 病毒库升级时用到的配置文件 # /etc/freshclam.conf # 安装出来的可执行命令 # 包括bytecode测试命令、扫描和提交 # 病毒库升级和签名以及库管理工具 # /usr/bin/clambc # /usr/bin/clamscan # /usr/bin/clamsubmit # /usr/bin/freshclam # /usr/bin/sigtool # libclamav 相关的库文件 # /usr/lib64/libclamav.so.7 # /usr/lib64/libclamav.so.7.1.1 # 文档和man文档 # 其中/usr/share/doc/clamav-0.99.4/clamdoc.pdf # 就是 User Manual，该文档系统介绍了clamav # 是下篇拆读博文的主角 # /usr/share/doc/clamav-0.99.4/... # /usr/share/man/man*/... rpm -ql clamav-db # 使用系统cron的每日病毒库升级计划 # /etc/cron.daily/freshclam # Linux的日志文件管理工具logrotate的相关配置 # /etc/logrotate.d/freshclam # 病毒库存储目录和初始的病毒库文件 # /var/lib/clamav/... # 病毒库升级日志目录 # /var/log/clamav/freshclam.log rpm -ql clamd # 配置文件和额外的配置文件目录 # /etc/clamd.conf # /etc/clamd.d # Linux的日志文件管理工具logrotate的相关配置 # /etc/logrotate.d/clamav # 系统守护进程脚本 # /etc/rc.d/init.d/clamd # /usr/sbin/clamd # 配置检测命令、扫描命令和命令行监控工具 # /usr/bin/clamconf # /usr/bin/clamdscan # /usr/bin/clamdtop # 文档和man文档 # /usr/share/clamav/... # /usr/share/doc/clamd-0.99.4/... # /usr/share/man/man*/... # 病毒库目录 # /var/lib/clamav # 日志目录和PID以及Socket目录 # /var/log/clamav/... # /var/run/clamav

3° 配置启动：

ALERT_EMAIL=XXXX@qq.com # 守护模式配置文件修改 /etc/clamd.conf sed -i "s/127.0.0.1/$(hostname -i)/g" /etc/clamd.conf sed -i 's/^#ExcludePath/ExcludePath/g' /etc/clamd.conf sed -i 's/^User clam/User root/g' /etc/clamd.conf sed -i "s|^#VirusEvent.*$|\ # VirusEvent /bin/echo \"%v\" \| /bin/mailx -s \"ClamAV 探测告警\" $ALERT_EMAIL|g" \ /etc/clamd.conf # 病毒库升级配置文件修改 /etc/freshclam.conf sed -i 's|^#PidFile.*$|PidFile /var/run/clamav/freshclam.pid|g' /etc/freshclam.conf sed -i 's/^#DatabaseMirror.*$/DatabaseMirror db.cn.clamav.net/g' /etc/freshclam.conf sed -i 's/^#Checks 24$/Checks 24/g' /etc/freshclam.conf sed -i 's|^#NotifyClamd.*$|NotifyClamd /etc/clamd.conf|g' /etc/freshclam.conf sed -i "s|^#OnUpdateExecute.*$|\ # OnUpdateExecute /bin/echo \"升级成功\" \|/bin/mailx -s \"ClamAV升级告警\" $ALERT_EMAIL|g" \ /etc/freshclam.conf # 部署后首次升级病毒库 freshclam # 打开病毒库升级的守护进程模式 freshclam -d echo '/usr/bin/freshclam -d'>>/etc/rc.local # 虽然有每日系统任务，但是还是用守护进程模式每小时更新 # 并且保留/etc/cron.daily/freshclam # 防止守护进程模式异常情况出现 # 开启探测服务 /etc/init.d/clamd start # 测试扫描： clamdscan -h clamdscan --quiet -z -m -l /tmp/clamdscan_$(date +%s).log /boot clamdscan --quiet -z -m -l /tmp/clamdscan_$(date +%s).log /tmp/clamav-0.100.0 # 此时依然可以使用源码安装包进行探测测试 # 注意，需要执行 ./configure && make # 不要执行 make install 进行安装

Client主机配置：

# 客户机安装配置clamd客户端clamdscan wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo # 只安装clamd客户端clamdscan yum -y install --downloadonly --downloaddir=/tmp clamd rpm -ivh --nodeps /tmp/clamd-0.99.4-1.el6.x86_64.rpm rm -rf /etc/clamd.d rm -rf /etc/logrotate.d/clamav rm -rf /etc/rc.d/init.d/clamd rm -rf /usr/sbin/clamd rm -rf /usr/share/clamav rm -rf /usr/share/doc/clamd-0.99.4 rm -rf /usr/share/man/man1/clam* rm -rf /usr/share/man/man8/clam* rm -rf /var/lib/clamav rm -rf /var/log/clamav rm -rf /var/run/clamav # 使用yum的downloadonly参数只下载安装包 # 然后使用rpm命令忽略依赖，只安装clamd客户端clamdscan # 然后删掉不需要的安装目录和文件 # 修改配置文件，指向server主机 cd /etc cat>clamd.conf<<EOF TCPAddr 192.168.77.10 TCPSocket 3310 EOF # 测试 clamdscan -z -m /boot cp -av /boot/efi/EFI/redhat/grub.efi /tmp clamdscan -z -m /tmp/grub.efi clamdscan --quiet -z -m -l /tmp/clamdscan_$(date +%s).log /tmp/clamav-0.100.0 # 此时依然可以使用源码安装包进行探测测试 # 注意，需要执行 ./configure && make # 不要执行 make install 进行安装