SUSE Linux付属のアンチウィルス対策ソフトClamavのインストール

SAP S/4HANAの基盤OSとして多用されるSUSE Linux Enterprise for SAP Applications(通常のSUSE Linux Enterprise Serverでも同様)でのウィルス対策ソフトの設定など。

ウィルス対策ソフトは、Clamavというオープンソースの製品が付属しており、追加費用無しで使用できる。

デーモンとしてclamdがある。オンデマンドスキャンも可能。

インストール方法

  1. clamavパッケージをインストールする
    sudo zypper install clamav clamsap
  2. デーモンを起動する前に、malwareデータベースを更新する
    sudo freshclam
  3. デーモンを起動する
    sudo systemctl start clamd
  4. デーモンの状態を確認する
    sudo systemctl status clamd

運用中の留意事項

freshclam実行時にモジュールのOUTDATEDが報告されることがある。

clamavのバージョンが、アップストリーム(コミュニティでの開発プロジェクト)のバージョンに遅れている状態。以下の例では、SLES内臓clamavが0.100.3であるのに対して、アップストリーム版は0.100.3であることを示している。

linux-gm07:~ # freshclam
ClamAV update process started at Wed Sat 25 09:23:50 2020
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.100.3 Recommended version: 0.102.4
DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamav

表示されているURLを参照すると主に以下の2点がわかる。(SUSEのサイトでは無い)

  • ソースコード版からビルドするか、コンパイル版を使用することによりバージョンアップできる。
  • データベースを更新し続けていても、全てのウィルス対策上の脅威に対応できるわけでは無い(つまり、旧バージョンでも機能するけれどもできるだけバージョンアップしてね)
fresclam実行時の標準出力の例

データベースは、main.cvd、daily.cld、bytecode.cvdの3種類ある模様。

main.cvd is up to date (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)
Downloading daily-25876.cdiff [100%]
Downloading daily-25877.cdiff [100%]

daily.cld updated (version: 25894, sigs: 3775917, f-level: 63, builder: raynman)
bytecode.cvd is up to date (version: 331, sigs: 94, f-level: 63, builder: anvilleg)

マニュアルスキャン

マニュアルスキャンは、clamscanコマンドで行う。

まずテスト用のファイルをダウンロードする。

linux-gm07:~/eicar # wget http://www.eicar.org/download/eicar.com
--2020-08-05 10:09:32-- http://www.eicar.org/download/eicar.com
Resolving www.eicar.org (www.eicar.org)... 89.238.73.97, 2a00:1828:1000:2497::2
Connecting to www.eicar.org (www.eicar.org)|89.238.73.97|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68 [application/x-msdownload]
Saving to: ‘eicar.com’

eicar.com 100%[=============================================================================>] 68 --.-KB/s in 0s

2020-08-05 10:09:43 (4.29 MB/s) - ‘eicar.com’ saved [68/68]

linux-gm07:~/eicar # ls
eicar.com
マニュアルスキャンを実行、-iは感染したファイルのみレポートし、-rは再帰的にディレクトリをスキャンする。
linux-gm07:~/eicar # clamscan -i -r /root/eicar
/root/eicar/eicar.com: Win.Test.EICAR_HDB-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 8329872
Engine version: 0.100.3
Scanned directories: 1
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 22.755 sec (0 m 22 s)