Good to Know Database

CentOS 5: ClamAV-Daemon installieren


Hinweis: Wenn Sie ClamAV bereits wie im Tutorial CentOS 5: ClamAV installieren beschrieben auf Ihrem System installiert haben, müssen Sie die Pakete clamav und clamav-update wieder deinstallieren.

Der ClamAV-Daemon ist leider nicht im CentOS-Repository verfügbar, deshalb installieren Sie mit dem folgenden Befehl die YUM-Konfigurationsdatei für das RPMforge-Repository.

[root@centos5 ~]# rpm -ivh http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Danach können Sie den ClamAV-Daemon aus dem RPMforge-Repository installieren.

[root@centos5 ~]# yum install clamd

Die ClamAV-Konfigurationsdatei /etc/clamd.conf und die Freshclam-Konfigurationsdatei /etc/freshclam.conf können Sie ohne Änderungen einsetzen.

Rufen Sie jetzt freshclam auf um die aktuellen Virendefinitionsdateien herunter zu laden.

[root@centos5 ~]# freshclam
ClamAV update process started at Thu Oct  1 19:00:43 2009
main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven)
WARNING: getfile: daily-9451.cdiff not found on remote server (IP: 193.27.50.222)
WARNING: getpatch: Can't download daily-9451.cdiff from db.de.clamav.net
Trying host db.de.clamav.net (195.30.97.3)...
WARNING: getfile: daily-9451.cdiff not found on remote server (IP: 195.30.97.3)
WARNING: getpatch: Can't download daily-9451.cdiff from db.de.clamav.net
Trying host db.de.clamav.net (212.18.5.140)...
WARNING: getfile: daily-9451.cdiff not found on remote server (IP: 212.18.5.140)
WARNING: getpatch: Can't download daily-9451.cdiff from db.de.clamav.net
WARNING: Incremental update failed, trying to download daily.cvd
Trying host db.de.clamav.net (212.1.60.18)...
Downloading daily.cvd [100%]
daily.cvd updated (version: 9858, sigs: 81195, f-level: 43, builder: ccordes)
Database updated (626230 signatures) from db.de.clamav.net (IP: 212.1.60.18)
WARNING: Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.sock
connect(): No such file or directory

Die Virendefinitionsdateien werden dank der Cronjob-Datei /etc/cron.daily/freshclam täglich automatisch aktualisiert.

Wenn Sie die Virendefinitionsdateien mit freshclam zum ersten Mal aktualisiert haben, können Sie mit dem Befehl clamscan einzelne Dateien oder ganze Verzeichnisse nach Viren durchsuchen.

Die ordnungsgemäße Funktion von ClamAV können Sie mit Hilfe der EICAR Standard Anti-Virus Testdateien überprüfen. Dazu laden Sie sich die folgenden Testdateien von der EICAR-Webseite (European Institute for Computer Antivirus Research) in ein temporäres Verzeichnis herunter und scannen das Verzeichnis anschließend mit ClamAV.

[root@centos5 ~]# mkdir ~/eicar
[root@centos5 ~]# wget http://www.eicar.org/download/eicar.com http://www.eicar.org/download/eicar.com.txt http://www.eicar.org/download/eicar_com.zip http://www.eicar.org/download/eicarcom2.zip -P ~/eicar
[root@centos5 ~]# clamscan -r ~/eicar
/root/eicar/eicar.com: Eicar-Test-Signature FOUND
/root/eicar/eicar_com.zip: Eicar-Test-Signature FOUND
/root/eicar/eicarcom2.zip: Eicar-Test-Signature FOUND
/root/eicar/eicar.com.txt: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 625566
Engine version: 0.95.2
Scanned directories: 1
Scanned files: 4
Infected files: 4
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 3.739 sec (0 m 3 s)

Den ClamAV-Daemon starten Sie mit dem folgenden Befehl.

[root@centos5 ~]# service clamd start

Sollten Sie SELinux im Enforcing-Modus betreiben, wird Ihnen die folgende Fehlermeldung angezeigt werden.

LibClamAV Error: cli_loaddbdir(): Can't open directory /var/lib/clamav
ERROR: Can't open file or directory

Wenn Sie die Logdatei /var/log/audit/audit.log überprüfen, können Sie sehen, dass SELinux den Start des ClamAV-Daemons verhindert.

[root@centos5 ~]# tail -f /var/log/audit/audit.log
[...]
type=AVC msg=audit(1254424931.546:73): avc:  denied  { search } for  pid=14239 comm="clamd" name="kernel" dev=proc ino=-268435416 scontext=root:system_r:clamd_t:s0 tcontext=system_u:object_r:sysctl_kernel_t:s0 tclass=dir
type=SYSCALL msg=audit(1254424931.546:73): arch=40000003 syscall=5 success=no exit=-13 a0=3c3f24 a1=0 a2=2a3284 a3=3df994 items=0 ppid=14238 pid=14239 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="clamd" exe="/usr/sbin/clamd" subj=root:system_r:clamd_t:s0 key=(null)
type=AVC msg=audit(1254424931.551:74): avc:  denied  { read } for  pid=14239 comm="clamd" name="daily.cvd" dev=sda1 ino=591784 scontext=root:system_r:clamd_t:s0 tcontext=root:object_r:var_t:s0 tclass=file
type=SYSCALL msg=audit(1254424931.551:74): arch=40000003 syscall=33 success=no exit=-13 a0=9196b30 a1=4 a2=715970 a3=9196b30 items=0 ppid=14238 pid=14239 auid=0 uid=102 gid=104 euid=102 suid=102 fsuid=102 egid=104 sgid=104 fsgid=104 tty=pts0 ses=1 comm="clamd" exe="/usr/sbin/clamd" subj=root:system_r:clamd_t:s0 key=(null)
type=AVC msg=audit(1254424931.553:75): avc:  denied  { read } for  pid=14239 comm="clamd" name="clamav" dev=sda1 ino=591777 scontext=root:system_r:clamd_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
type=SYSCALL msg=audit(1254424931.553:75): arch=40000003 syscall=5 success=no exit=-13 a0=9194f00 a1=18800 a2=2a6b84 a3=9196b30 items=0 ppid=14238 pid=14239 auid=0 uid=102 gid=104 euid=102 suid=102 fsuid=102 egid=104 sgid=104 fsgid=104 tty=pts0 ses=1 comm="clamd" exe="/usr/sbin/clamd" subj=root:system_r:clamd_t:s0 key=(null)

Damit SELinux den ClamAV-Daemon nicht mehr blockiert, können Sie die Überwachung durch SELinux mit dem folgenden Befehl deaktivieren.

[root@centos5 ~]# setsebool -P clamd_disable_trans=1

Jetzt können Sie wie bereits beschrieben den ClamAV-Daemon starten.


Dieser Eintrag wurde am 20.10.2009 erstellt und zuletzt am 24.01.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_33_764.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer