-
Analyser votre serveur avec ClamAV
Lorsque comme moi vous avez un serveur FTP ou de fichiers basé sur Linux, vous avez besoin d'avoir un antivirus sur celui-ci si il est en contact avec des PC sous Windows.
Ces PC peuvent envoyer des fichiers infectés sur votre serveur qui infecteront d'autres ordinateurs Windows quand ceux-ci seront téléchargés...
Tutoriel réalisé sur Debian Wheezy 7.7 avec ClamAV 0.98.4.
Sur mes serveurs Debian, j'utilise l’antivirus ClamAV qui est un antivirus sous licence libre (GPL).
J'utilise ClamAV via un script qui va analyser les répertoires personnels des utilisateurs.
Le script effectuera via un tâche cron une analyse complète tous les dimanches et une analyse journalière qui scannera uniquement les fichiers modifiés ou crées depuis les dernières 24 heures.
Pour commencer nous allons installer clamav qui est l'analyseur en ligne de commande et clamav-freshclam qui permet d'obtenir les mises à jour automatiques par internet.
sudo apt-get install clamav clamav-freshclam
(cliquer sur l'image pour l'agrandir)
J’exécute mon script tous les jours à minuit.
(cliquer sur l'image pour l'agrandir)
Celui-ci se décompose en 2 parties :
- La partie update qui effectuera la mise à jour de la définition des virus avant l'analyse.
- La partie analyse qui effectuera l'analyse des emplacements spécifiés.
L'emplacement des logs est situé dans /var/log/clamav (contenu des logs qui sera inscrit dans le corps des mails ).
(cliquer sur l'image pour l'agrandir)
Les notifications par mail quand les analyses sont terminées.
(cliquer sur l'image pour l'agrandir)
Vous pouvez voir dans les notifications, la partie mise à jour avec le message correspondant aux codes de retour indiqués dans la documentation freshclam.
Vous pouvez également observer dans la partie analyse le résumé avec la liste des fichiers infectés qui ont été déplacés en quarantaine.
En comparant 2 analyses, vous pouvez constater que le volume de données analysées est différent.
L'analyse du 16 correspond à une analyse complète et seuls les fichiers crées ou modifiés ont été analysés le 17.
(cliquer sur l'image pour l'agrandir)
Si la mise à jour des définitions ne peut s'effectuer, une notification avec le message correspondant aux codes de retour est envoyée et l'analyse ne s'effectue pas.
Libre à vous ensuite de modifier le script si vous souhaitez que l'analyse s'effectue quand même...
(cliquer sur l'image pour l'agrandir)
N'hésitez pas à adapter le script selon vos envies et besoins...
Tags : clamav, analyse, analyses, serveur, fichiers
-
Commentaires