CentOS6 主机安全加固策略 Clamav 杀毒软件（四）CentOS7 On-access scanning 模式测试

简单说明：

ClamAV的On-access scanning模式是一种实时监控的模式，通过内核组件fanotify实现
所谓的fanotify即是(fscking all notifiction and file access system) 
需要内核版本在2.6.36及其之后，且仅支持Linux系统平台，目前CentOS只能安装在7版本之上
依据《CentOS7实验机模板搭建部署》克隆一台实验机进行实验

部署安装测试：

调整内核参数：

echo 'fs.inotify.max_user_watches=5242880'>>/etc/sysctl.conf
sysctl -p
# 系统默认的fs.inotify值为8192
# 当需要监控保护的文件数超过该数值的时候就会受限
# 因此直接修改该内核参数

简单安装配置clamd：

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum -y install clamav clamav-server clamav-update
cp -av /usr/share/doc/clamav-server-0.99.4/clamd.conf /etc/

# 配置clamd.conf
sed -i 's/Example/# &/g' /etc/clamd.conf
sed -i 's/^User.*$/User root/g' /etc/clamd.conf
cat >>/etc/clamd.conf<var/log/clamav/clamd.log
LogTime yes
LogVerbose yes
PidFile /var/run/clamav/clamd.pid
TemporaryDirectory /var/tmp
DatabaseDirectory /var/lib/clamav
LocalSocket /var/run/clamav/clamd.sock
TCPAddr $(hostname -i)
TCPSocket 3310
ExcludePath ^/proc/
ExcludePath ^/sys/
VirusEvent /usr/bin/echo "$(date +%F_%T) \$CLAM_VIRUSEVENT_FILENAME \$CLAM_VIRUSEVENT_VIRUSNAME">>/var/log/clamav/virus.log
ScanOnAccess yes
OnAccessIncludePath /root
OnAccessPrevention yes
EOF

# 配置freshclam.conf
cat >>/etc/freshclam.conf<var/lib/clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogTime yes
LogVerbose yes
PidFile /var/run/clamav/freshclam.pid
DatabaseOwner clamupdate
DatabaseMirror db.cn.clamav.net
Checks 24
NotifyClamd /etc/clamd.conf
OnUpdateExecute /usr/bin/echo "$(date +%F_%T) freshclam update successed">>/var/log/clamav/update.log
EOF

# 升级病毒库
mkdir /var/log/clamav /var/run/clamav
chown clamupdate: /var/log/clamav /var/lib/clamav /var/run/clamav -R
freshclam

# 设置开机启动
freshclam -d
echo '/usr/bin/freshclam -d'>>/etc/rc.d/rc.local
chmod +x /etc/rc.d/rc.local

# 开启clamd
/usr/sbin/clamd
echo '/usr/sbin/clamd'>>/etc/rc.d/rc.local

测试：
准备源码安装包里面的某一个测试用的病毒文件
推荐使用某一个zip文件或者tar文件

cp -av clam.tar.gz /root/
cd /root/
tar -xf clam.tar.gz 
# tar: clam.tar.gz: Cannot open: Operation not permitted
# tar: Error is not recoverable: exiting now
# 解压操作被阻塞，达到实验目的

[TOC]