clamd
Der Daemon clamd aus dem Antivirenprogramm Clamav wartet nach seinem Start standardmässig auf Port 3310 darauf, dass ein anderes Programm mit ihm kommuniziert. Er dient als Grundlage für den Einsatz von Drittprogrammen. Zusatzmodule (sogenannte "third party addons") eröffnen zusätzlich viele Möglichkeiten, Clamav in E-Mail- und Dateirechnern sowie Proxys und Webrechnern einzubinden.
clamd kann in den Betriebsmodi lokal oder Netzwerk laufen - die Modi unterscheiden sich dadurch, dass der Daemon-Prozess entweder an einem Socket oder an einem Port lauscht.
Inhaltsverzeichnis
Konfiguration
Die Konfigurationsdatei "/etc/clamd.conf" (Ubuntu 8.04: "/etc/clamav/clamd.conf") ist für das Start- und Laufverhalten von clamd verantwortlich. Unter Ubuntu 8.04 kann die Konfiguration auch durch Aufruf von "sudo dpkg-reconfigure clamav-base" erfolgen.
| Parameter | Beschreibung |
|---|---|
| LogSyslog true | Protokollierung der Arbeit von clamd. |
| LogFile /var/log/clamav/clamav.log | Festlegen der Logdatei für clamd (hier "/var/log/clamav/clamav.log"). |
| LogFile-MaxSize 2M | Höchstgrösse der Logdatei (hier 2 MB). |
| LogTime true | In der Logdatei steht vor den Einträgen die jeweilige Uhrzeit. |
| DatabaseDirectory /var/lib/clamav | Verzeichnis der von clamd verwendeten Virensignatur-Datenbank (hier "/var/lib/clamav"). |
| ScanArchive true | Auch gepackte Archivdateien werden geprüft. |
| ScanRAR true | Auch gepackte RAR-Archivdateien werden geprüft. |
| ArchiveMaxFileSize 2M | Höchstgrösse einer zu prüfenden Datei in einer gepackten Archivdatei (hier 2 MB) - dieser Schalter schützt das System vor Archivbomben. |
| StreamMaxLength 5M | Höchstgrösse einer zu prüfenden Datei (hier 5 MB). Die Höchstgrösse sollte 100 MB nicht übersteigen, um die Rechnerperformance nicht zu sehr zu beeinträchtigen. |
| ArchiveBlockEncrypted true | Eine passwortgeschützte Archivdatei wird als Schadprogramm betrachtet, da clamd eine solche ohnehin nicht prüfen kann. |
| User clamav | clamd wird als Benutzer "clamav" gestartet. Damit clamd mit sämtlichen Addons korrekt zusammenarbeitet, muss er als Benutzer "root" gestartet werden, der Eintrag muss dann also lauten "User root". |
Zur Aktivierung des lokalen Socket-Betriebsmodus werden die Parameter "TCPSocket" und "TCPAddr" auskommentiert und der Parameter "LocalSocket /path/to/file" hinzugefügt (bei älteren Versionen lautet der Eintrag "socket name = /path/to/file"). Da Clamav den Socket als Datei erstellt, muss das diese Datei enthaltende Verzeichnis für alle Benutzer les- und schreibbar sein, damit andere Programme darauf zugreifen können. Zu diesem Zweck wird beispielsweise im Verzeichnis "/var/run" das Unterverzeichnis "clamscan" angelegt und letzteres mit "chmod 777 clamscan" für alle les- und schreibbar gemacht.
Zum Test der Funktion von clamd wird die Eicar-Testdatei verwendet, welche praktisch alle Virenscanner als Schadprogramm erkennen, jedoch ausser einer Signatur keinerlei Schadcode enthält. Folgt dem Aufruf von clamdscan die Meldung "Eicar-Test-Signature FOUND", so arbeitet clamd korrekt.
$ clamdscan - < eicar.com stream: Eicar-Test-Signature FOUND ----------- SCAN SUMMARY ----------- Infected files: 1 Time: 2.506 sec (0 m 2 s)
Bei aktiviertem Logging findet sich auch ein entsprechender Hinweis in der Logdatei:
Mon Aug 3 13:55:19 2009 -> stream(127.0.0.1@1199): Eicar-Test-Signature FOUND
Verwendung
Starten des Daemons freshclam.
$ sudo /etc/init.d/freshclam start bzw. (Ubuntu 8.04) $ sudo /etc/init.d/clamav-freshclam start
Um die Virendatenbank händisch zu aktualisieren genügt folgender Befehl. Die Bildschirmausgabe zeigt dann die Aktualität der Datenbank, welche die Virensignaturen im Verzeichnis "/var/lib/clamav" speichert. Neben den Virensignaturen bedürfen aber auch die Programme einer regelmässigen Aktualisierung - Clamav prüft die Aktualität bei jedem Start einer Komponente und gibt die Meldung "WARNING: Your ClamAV installation is OUTDATED!" aus, falls eine neuere Version zum Herunterladen bereitsteht. Die offiziellen Ubuntu-Quellen stellen nicht immer die aktuellste Clamav-Version bereit - wird diese benötigt, so muss Clamav aus den Quellen kompiliert werden. Die Virensignaturen sind jedoch auch für die älteren Versionen identisch, der Einsatz einer "älteren" Version ist also nicht zwangsläufig sicherheitskritisch.
$ sudo freshclam ClamAV update process started at Sun Aug 2 18:41:13 2009 WARNING: Your ClamAV installation is OUTDATED! WARNING: Local version: 0.94.2 Recommended version: 0.95.2 DON'T PANIC! Read http://www.clamav.net/support/faq main.cld is up to date (version: 51, sigs: 545035, f-level: 42, builder: sven) daily.cvd is up to date (version: 9643, sigs: 62083, f-level: 43, builder: mcichosz)