В очень многих организациях имеется главный офисный сервер с Samba,на котором находится общая папка для обмена файлами.Так называемая файлопомойка,куда каждый сотрудник может скинуть файл или скачать что то себе.Однако такое место самое не безопасное - стоит попасть туда зараженному файлу,и вирус распространится по всей сети.Именно для этого мы и делаем эту самую общую папку защищенной антивирусом.

В роли антивируса под Дебиан мы,конечно же,берем простой,но функциональный ClamAV и одну из его возможностей - clamfs,безопасную виртуальную файловую систему. Итак приступим:

1)Устанавливаем сам антивир:

apt-get install clamav

2)Считаем что у нас есть общяя папка /meida/share,которая сейчас смонтирована в Самбе и где сейчас лежат все юзерские файлы. А для антивируса мы создадим папку /meida/share_clamav

mkdir /media/share_clamav

- она то и будет виртуальной точкой монтирования нашей реально папки /media/share.Дадим ей полные права:

chmod 777 /media/share_clamav

3)Cкопируем и распакуем пример конфига куда следует:

cp /usr/share/doc/clamfs/clamfs-sample.xml.gz /etc/clamav/clamfs.xml.gz

cd /etc/clamav

gunzip clamfs.xml.gz

4)Отредактируем файл clamfs.xml:

найдем там File system settings и приведем к примерно след. виду:

<filesystem root="/media/share" mountpoint="/media/share_clamav" public="yes" />

Если хотите изменить куда будет вестись лог, закомментируйте строку <log method="syslog" и пропишите новое:

<log method="file" filename="/var/log/clamav/clamfs.log" verbose="no" />

5)Сохраняем и перезапускаем сам демон ClamAV а затем запускаем нашу clamfs:

/etc/init.d/clamav-daemon restart

clamfs /etc/clamav/clamfs.xml

Смотрим,после этого каталог /media/share должен смонтироваться в каталог /media/share_clamav

6)Теперь в настройках Самбы меняем в smb.conf путь к папке со старого /media/share на новый /meida/share_clamav и перезапускаем Самбу

7)Добавляем команду запуска нашей защищенной ФС в /etc/rc.local что бы после перезагрузки ничего не терялось:

clamfs /etc/clamav/clamfs.xml

8)Теперь проверим работу нашего антивируса.Гуглим слово EICAR и скачиваем тестовый файл в нашу папку.После скачивания пробуем его там открыть или удалить.Должно появится сообщение что нет прав или файл не доступен.Это означает что ClamAV успешно заблокировал угрозу.НО! Удалять он не умеет,а потому можно настроить что б раз в сутки сканер проходил по папке и все найденное переносил в указанную папку с карантином(а вдруг нормальный файл? так восстановить можно будет).В папке /etc/cron.daily создаем файл с содержимым:

#!/bin/bash

/usr/bin/clamscan -r /media/share --move=/media/share/quarantine

папку /media/share/quarantine надо создать.Либо любую другую указать.Далее сохраняем и даем скрипту права на выполнение:

chmod +x имя_скрипта

Теперь раз в сутки сканер будет проходить по папке и убирать оттуда все что найдет.Но самое главное - зараженные файлы уже не будут доступны юзерам,а значит эпидемии не будет)

3 комментария

  1. avatar Александр:

    Добрый день! Спасибо за статью, всё настроил. Но есть одно но. А именно неверное отображение размера сетевого диска в windows. Отображается размер корневого раздела, а не примонтированного, для всех дисков. У меня например 4 винчестера. И монтируются они соответственно /media/hard, /media/hard2 и т.д. Папка clamav находится в корне. Ну и соотсетственно настройки clamfs.xml так . Я то понимаю что windows мне показывает размер корня так как папка clamav там находится. А вот как показывать правильно обьём каждого диска??? Создать 4 папки clamav на каждом диске и четыре строки с параметрами filesystem root="/media/hard - hard2 - hard3 и т.д. Корректно ли всё будет работать и не создаст ли дополнительной нагрузки на систему?

  2. Здравствуйте, clamfs автоматически не монтрирует. При перезагрузке, только в ручную надо.

Добавить комментарий

%d такие блоггеры, как: