ClamAV

Потоковый антивирус, который позволяет при интеграции с прокси-сервером ограничивать доступ к определенным ресурсам и проводить проверку загружаемых файлов. Для анализа ресурсов и данных система использует базу данных антивирусных сигнатур.

Интеграция ClamAV с прокси-сервером

Для корректного использования антивирусного модуля ClamAV необходимо настроить интеграцию с прокси-сервером по протоколу ICAP, который позволяет производить обмен данными между двумя функциями. Протокол ICAP настраивается на каждой стороне двух сервисов прокси-сервера и ClamAV.

Важно

Сервис ClamAV функционирует только при интеграции с прокси-сервером. Т.е. перед настройкой ClamAV, необходимо настроить прокси-сервер

Настройка протокола ICAP на стороне прокси-сервера доступна в разделе Службы: Веб-прокси: Администрирование – вкладка Настройки ICAP.

Достаточно запустить протокол ICAP и указать Антивирус.

../../../../_images/one9.png

Настройки ICAP

Настройка сервиса ClamAV

Настройка параметров ClamAV производится в разделе Службы: ClamAV: Конфигурация.

Описание общих параметров приведено в таблице.

Описание общих параметров ClamAV

Параметр

Описание

Включить службу

Запустить основную службу ClamAV - ClamAV Service.

Включить службу обновления вирусных баз данных

Запустить службу обновления антивирусных баз - DB update Service. При использовании основной службы данная служба должна быть также запущена.

Максимальное количество запущенных потоков

Ограничение запущенных потоков позволяет избежать отказа работы основного сервиса.

Максимальное количество элементов в очереди

Максимальное количество файлов, которые могут быть в очереди на сканирование.

Значение тайм-аута бездействия

Параметр используется для разрыва неактивного соединения.

Максимальная рекурсия директории

Ограничение глубины дерева каталогов. Сканер ClamAV может работать бесконечно в цикле, если текущий параметр не задан.

Отключить кэш

Отключить кэширование результатов сканирования.

Сканировать переносимый исполняемый файл

Для сканирования PE-файлов(.exe, .dll и т.д) используется данный параметр.

Сканировать исполняемый файл и формат ссылки

Для сканирования ELF-файлов(используются в UNIX-системах) используется данный параметр.

Обнаруживать повреждённые исполняемые файлы

Если исполняемый файл не соответствует спецификации, данный файл помечается как поврежденный и блокируется. Исполняемый файл может быть поврежден из-за проблемы с загрузкой или иными манипуляциями.

Сканировать OLE2

Анализ файлов OLE2 (например, файлы Microsoft Office).

Блокировать OLE2 макросы

Блокировка всех документов, содержащих макросы.

Сканировать файлы PDF

Сканирование файлов PDF. Файлы PDF могут содержать другие файлы или мультимедиа, а также javascript и шрифты. Рекомендуется использовать сканирование PDF-файлов.

Сканировать SWF

Сканирование файлов с Flash-контентом. Flash используется для интерактивного контента и видеоплееров.

Сканировать XMLDOCS

Сканирование XML-документов.

Сканировать HWP3

Сканирование HWP-документов.

Декодировать файлы почты

Сканирование вложение писем электронной почты.

Сканировать HTML

Сканирование HTML-файлов, которые могут содержать опасный встроенный JavaScript.

Сканировать архивы

Сканирование файлы внутри архивов. Архивы могут содержать вредоносное ПО.

Блокировать зашифрованные архивы

Блокировать зашифрованные архивы, т.к. данные архивы могут содержать вредоносное ПО.

Максимальный размер сканирования

Задать максимальное количество данных для сканирования каждого файла. Архивы и другие контейнеры рекурсивно извлекаются и сканируются до этого значения.

Максимальный размер файла

Ограничение по объему файла, который система просканирует. Файл по объему выше ограничения просканирован не будет.

Максимальная рекурсия

Задать максимальную рекурсию вложеных архивов.

Максимум файлов

Ограничение сканирования по количеству файлов в архиве.

Детальность лога freshclam

Запуск подробного логирования в Журнал / Freshclam.

Зеркало базы данных freshclam

Репозиторий обновления антивирусных баз.

Таймаут соединения freshclam

Таймаут в секундах для подключения к серверу базы данных.

Добавьте сигнатуры экспертов по вредоносным программам

Активация сигнатур третьих лиц от Malware Expert.

Добавить подписи BLURL

Активация сторонних подписей от BLURL.

Добавить подписи JURLBLA

Активация сторонних подписей от Sanesecurtiy JURLBLA.

Добавить подписи BOFHLand

Активация сторонних подписей от Sanesecurtiy BOFHLand.

Описание параметров протокола ICAP на стороне сервиса ClamAV приведено в таблице

Описание параметров протокола ICAP на стороне сервиса ClamAV

Параметр

Описание

Включить сервис icap

Запустить протокол ICAP.

Тайм-аут

Время в секундах после которого неактивное соединение может быть прервано.

Максимум keepalive запросов

Максимальное число запросов, которое может обслужить одно соединение.

Максимальный таймаут keepalive

Время в секундах после которого неактивное соединение может быть прервано, если соединение также остается неактивным.

Старт серверов

Количество серверных процессов, которые будут запущены.

Максимум серверов

Ограничение количества процессов.

Минимальное количество свободных потоков

Максимальное число процессов сервера.

Использовать ICAP совместно с прокси сервером squid

Использовать настройки имени пользователя локального squid.

Максимальный размер объекта

Максимальный размер файлов для сканирования службой антивируса. Вы можете использовать K и M индикаторы для обозначения размера в килобайтах и мегабайтах.

Состояние служб сервиса ClamAV

Сервис ClamAV использует для работы две службы:

  • ClamAV Service – основная служба ClamAV;

  • DB update Service - служба для обновления антивирусных баз ClamAV.

Для корректной работы сервиса ClamAV, службы должны находится в активном состянии.

../../../../_images/two11.png

Активное состояние сервиса ClamAV

Неактивное состояние служб сервиса ClamAV показано на рисунке.

../../../../_images/tri7.png

Неактивное состояние сервиса ClamAV

Для запуска служб достаточно нажать кнопку play .

Логирование служб сервиса ClamAV

В разделе Службы: ClamAV: Журнал / Clamd производится логирование основной службы ClamAV Service. Логи помогают разобраться с проблемами запуска и настройки сервиса ClamAV.

В разделе Службы: ClamAV: Журнал / Freshclam производится журналирование процесса подключения к репозиторию и синхронизации антивирусных баз. Логи помогают разобраться с проблемами обновления антивирусных баз.