18 March 2009

(Linux) クライアント端末に、とうとうセキュリティ対策ソフト導入 (Clam AV, Rootkit Hunter)

Firefoxでのホームページ閲覧と、Rhythmboxプレーヤでのネットラジオを聞くことと、VMWareでゲストOSを走らせる事くらいしかしていないLinux端末 (CentOS 5.2) に、ついにセキュリティ対策ソフトを導入した。

これまでは、Linuxというマイナーなクライアント端末でのノーガード戦法で通してきたわけだが…

Clam Antivirus (Clam AV)の導入

インストールは非常に簡単

# sudo yum --enablerepo=rpmforge install clamav clamd

clamdが自動起動するように設定されているか念のため確認

# chkconfig | grep -e clamd
clamd          	0:off	1:off	2:on	3:on	4:on	5:on	6:off

設定ファイルも念のため確認

/etc/clamd.conf
# Run as another user (clamd must be started by root for this option to work)
# Default: don't drop privileges
User clamav
/etc/freshclam.conf
# Comment or remove the line below.
#Example

また、GUIをインストールしたい場合は

# sudo yum --enablerepo=rpmforge install clamtk

必ずウイルスデータベースをアップデートしてから、ウイルススキャンを掛ける。

# sudo freshclam
 
# clamscan -r /
 
~ スキャン中のファイルがひたすら表示される ~
 
/usr/sbin/snmptrapd: OK
/usr/sbin/setpcaps: OK
/usr/sbin/vsftpd: OK
/usr/sbin/edquota: OK
 
----------- SCAN SUMMARY -----------
Known viruses: 522549
Engine version: 0.94.2
Scanned directories: 19636
Scanned files: 142681
Infected files: 35
Data scanned: 5905.79 MB
Time: 1637.411 sec (27 m 17 s)

ウイルスが見付かった場合のみ、状況表示する場合は、『 clamscan -r -i ディレクトリ名 』 のように -i スイッチを付ければよい。

Windowsのウイルス対策ソフトのように、常駐してリアルタイムでウイルス防御というのは出来ないようである。 それは、SELinuxで固められているから必要ないと言われれば、それまでなのだが…

Rootkit Hunterの導入

このソフトも、yumで簡単にインストールできる。

# sudo yum --enablerepo=rpmforge install rkhunter

必ずウイルスデータベースをアップデートしてから、ルートキットスキャンを掛ける。

# sudo rkhunter --update
 
# sudo rkhunter -c
 
Rootkit Hunter 1.2.9 is running
 
Determining OS... Unknown
Warning: This operating system is not fully supported!
All MD5 checks will be skipped!
 
Checking binaries
* Selftests
     Strings (command)                                        [ OK ]
 
~ 中略 ~
 
---------------------------- Scan results ----------------------------
 
MD5 scan
Skipped
 
File scan
Scanned files: 342
Possible infected files: 0
 
Application scan
Vulnerable applications: 0
 
Scanning took 78 seconds

途中で、「キーを押せ」と言うメッセージが出るのを抑止するには、『--skip-keypress』オプションを付けてスキャンを掛ければよい。

Rootkit Hunterで警告が出る場合

定期的にスキャンしていると、ある日突然、次のようなエラーに遭遇する。これは、パッケージがアップデートされたため、ファイルが書き換えられたことによる。プロパティ・データベースをアップデートしないと、ずっと警告が出続けることになる。

Warning: The file properties have changed:
         File: /usr/bin/top
         Current hash: 4cf756f075beb64b39da132fd3924a4e6a7a6b06
         Stored hash : 6100d0eb17f93e8e13679f4f724011333bf85cac
         Current inode: 416914    Stored inode: 394452
         Current file modification time: 1422560234 (30- 1月-2015 04:37:14)
         Stored file modification time : 1389051107 (07- 1月-2014 08:31:47)

まず、指定されたファイルが含まれるパッケージ名を調べる。Ubuntuの場合は次のようにしてパッケージ名を得る。

$ dpkg -S /usr/bin/top
procps: /usr/bin/top

そのパッケージが、確かにアップデートされたことを調べる。ログを見れば一目瞭然

/var/log/dpkg.log
〜 略 〜
2015-02-07 08:03:46 upgrade procps:i386 1:3.3.9-1ubuntu2 1:3.3.9-1ubuntu2.1
〜 略 〜

その後、プロパティ・データベースをアップデート

# rkhunter --update
# rkhunter --propupd

CATEGORY : Linux  
POSTED BY: r271-635 DATE: 2009年3月18日 |