CentOS6 主机安全加固策略 Clamav 杀毒软件（二）YUM安装配置

简单说明：

依据《CentOS6实验机模板搭建部署》克隆两台实验机：
Server:192.168.77.10
Client:192.168.77.11
依据《CentOS6u9 简单邮件告警部署》在Server主机上部署命令邮件告警
使用EPEL网络YUM源部署升级clamav是想当方便的，建议使用该方案代替源码编译安装

Server主机部署：

1° 使用YUM源安装：

# 可以使用网络EPEL源进行yum安装和升级，比源码安装的方式简单太多了
# 这里选择阿里云镜像网站的源：
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
# 安装
yum -y install clamav clamav-db clamd
# 升级
yum update clamav clamav-db clamd
# 设置开机启动
chkconfig clamd on
# 由软件包clamav-db安装的freshclam的病毒库升级默认使用每日系统任务进行

2° 查看这三个安装包分别安装了哪些组件：

rpm -ql clamav
# 病毒库升级时用到的配置文件
# /etc/freshclam.conf
# 安装出来的可执行命令
# 包括bytecode测试命令、扫描和提交
# 病毒库升级和签名以及库管理工具
# /usr/bin/clambc
# /usr/bin/clamscan
# /usr/bin/clamsubmit
# /usr/bin/freshclam
# /usr/bin/sigtool
# libclamav 相关的库文件
# /usr/lib64/libclamav.so.7
# /usr/lib64/libclamav.so.7.1.1
# 文档和man文档
# 其中/usr/share/doc/clamav-0.99.4/clamdoc.pdf
# 就是 User Manual，该文档系统介绍了clamav
# 是下篇拆读博文的主角
# /usr/share/doc/clamav-0.99.4/...
# /usr/share/man/man*/...

rpm -ql clamav-db
# 使用系统cron的每日病毒库升级计划
# /etc/cron.daily/freshclam
# Linux的日志文件管理工具logrotate的相关配置
# /etc/logrotate.d/freshclam
# 病毒库存储目录和初始的病毒库文件
# /var/lib/clamav/...
# 病毒库升级日志目录
# /var/log/clamav/freshclam.log

rpm -ql clamd
# 配置文件和额外的配置文件目录
# /etc/clamd.conf
# /etc/clamd.d
# Linux的日志文件管理工具logrotate的相关配置
# /etc/logrotate.d/clamav
# 系统守护进程脚本
# /etc/rc.d/init.d/clamd
# /usr/sbin/clamd
# 配置检测命令、扫描命令和命令行监控工具
# /usr/bin/clamconf
# /usr/bin/clamdscan
# /usr/bin/clamdtop
# 文档和man文档
# /usr/share/clamav/...
# /usr/share/doc/clamd-0.99.4/...
# /usr/share/man/man*/...
# 病毒库目录
# /var/lib/clamav
# 日志目录和PID以及Socket目录
# /var/log/clamav/...
# /var/run/clamav

3° 配置启动：

[email protected]
# 守护模式配置文件修改 /etc/clamd.conf
sed -i "s/127.0.0.1/$(hostname -i)/g" /etc/clamd.conf
sed -i 's/^#ExcludePath/ExcludePath/g' /etc/clamd.conf
sed -i 's/^User clam/User root/g' /etc/clamd.conf
sed -i "s|^#VirusEvent.*$|\
# VirusEvent /bin/echo \"%v\" \| /bin/mailx -s \"ClamAV 探测告警\" $ALERT_EMAIL|g" \
/etc/clamd.conf

# 病毒库升级配置文件修改 /etc/freshclam.conf
sed -i 's|^#PidFile.*$|PidFile /var/run/clamav/freshclam.pid|g' /etc/freshclam.conf
sed -i 's/^#DatabaseMirror.*$/DatabaseMirror db.cn.clamav.net/g' /etc/freshclam.conf
sed -i 's/^#Checks 24$/Checks 24/g' /etc/freshclam.conf
sed -i 's|^#NotifyClamd.*$|NotifyClamd /etc/clamd.conf|g' /etc/freshclam.conf
sed -i "s|^#OnUpdateExecute.*$|\
# OnUpdateExecute /bin/echo \"升级成功\" \|/bin/mailx -s \"ClamAV升级告警\" $ALERT_EMAIL|g" \
/etc/freshclam.conf

# 部署后首次升级病毒库
freshclam

# 打开病毒库升级的守护进程模式
freshclam -d
echo '/usr/bin/freshclam -d'>>/etc/rc.local
# 虽然有每日系统任务，但是还是用守护进程模式每小时更新
# 并且保留/etc/cron.daily/freshclam
# 防止守护进程模式异常情况出现

# 开启探测服务
/etc/init.d/clamd start

# 测试扫描：
clamdscan -h
clamdscan --quiet -z -m -l /tmp/clamdscan_$(date +%s).log /boot
clamdscan --quiet -z -m -l /tmp/clamdscan_$(date +%s).log /tmp/clamav-0.100.0
# 此时依然可以使用源码安装包进行探测测试
# 注意，需要执行 ./configure && make
# 不要执行 make install 进行安装

Client主机配置：

# 客户机安装配置clamd客户端clamdscan
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
# 只安装clamd客户端clamdscan
yum -y install --downloadonly --downloaddir=/tmp clamd
rpm -ivh --nodeps /tmp/clamd-0.99.4-1.el6.x86_64.rpm
rm -rf /etc/clamd.d
rm -rf /etc/logrotate.d/clamav
rm -rf /etc/rc.d/init.d/clamd
rm -rf /usr/sbin/clamd
rm -rf /usr/share/clamav
rm -rf /usr/share/doc/clamd-0.99.4
rm -rf /usr/share/man/man1/clam*
rm -rf /usr/share/man/man8/clam*
rm -rf /var/lib/clamav
rm -rf /var/log/clamav
rm -rf /var/run/clamav
# 使用yum的downloadonly参数只下载安装包
# 然后使用rpm命令忽略依赖，只安装clamd客户端clamdscan
# 然后删掉不需要的安装目录和文件

# 修改配置文件，指向server主机
cd /etc
cat>clamd.conf<192.168.77.10
TCPSocket 3310
EOF

# 测试
clamdscan -z -m /boot
cp -av /boot/efi/EFI/redhat/grub.efi /tmp
clamdscan -z -m /tmp/grub.efi
clamdscan --quiet -z -m -l /tmp/clamdscan_$(date +%s).log /tmp/clamav-0.100.0
# 此时依然可以使用源码安装包进行探测测试
# 注意，需要执行 ./configure && make
# 不要执行 make install 进行安装

[TOC]