如何在Linux系統中安裝使用惡意軟件掃描工具及殺毒引擎

這篇文章主要講解了“如何在Linux系統中安裝使用惡意軟件掃描工具及殺毒引擎”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“如何在Linux系統中安裝使用惡意軟件掃描工具及殺毒引擎”吧！

惡意軟件是指任何旨在干擾或破壞計算系統正常運行的軟件程序。雖然最臭名昭著的幾種惡意軟件如病毒、間諜軟件和廣告軟件，但它們企圖引起的危害不一：有的是竊取私密信息，有的是刪除個人數據，有的則介于兩者之間；而惡意軟件的另一個常見用途就是控制系統，然后利用該系統發動僵尸網絡，形成所謂的拒絕服務(DoS)攻擊或分布式拒絕服務(DDoS)攻擊。
換句話說，我們萬萬不可抱有這種想法“因為我并不存儲任何敏感數據或重要數據，所以不需要保護自己的系統遠離惡意軟件”，因為那些數據并不是惡意軟件的唯一目標。

由于這個原因，我們將在本文中介紹在RHEL 7.0/6.x(x是版本號)、CentOS 7.0/6.x和Fedora 21-12中，如何安裝并配置Linux惡意軟件檢測工具(又叫MalDet，或簡稱LMD)和ClamAV(反病毒引擎)。

這是采用GPL v2許可證發布的一款惡意軟件掃描工具，專門為主機托管環境而設計。然而，你很快就會認識到，無論自己面對哪種環境，都會得益于MalDet。
將LMD安裝到RHEL/CentOS 7.0/6.x和Fedora 21-12上

LMD無法從在線軟件庫獲得，而是以打包文件的形式從項目官方網站分發。打包文件含有最新版本的源代碼，總是可以從下列鏈接處獲得，可使用下列命令來下載：  

代碼如下:

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

然后，我們需要解壓該打包文件，并進入提取/解壓內容的目錄。由于當前版本是1.4.2，目錄為maldetect-1.4.2。我們會在該目錄中找到安裝腳本install.sh。   

代碼如下:

# tar -xvf maldetect-current.tar.gz
   # ls -l | grep maldetect

    下載Linux惡意軟件檢測工具如果我們檢查安裝腳本，該腳本長度只有75行(包括注釋)，就會發現，它不僅安裝該工具，還執行預檢測，看看默認安裝目錄(/usr/local/maldetect)有無存在。要是不存在，腳本就會先創建安裝目錄，然后執行下一步。

最后，安裝完成后，只要將cron.daily腳本(參閱上圖)放入到/etc/cron.daily，就可以排定通過cron(計劃任務)的每天執行。這個幫助腳本具有諸多功能，包括清空舊的臨時數據，檢查新的LMD版本，掃描默認Apache和Web控制面板(比如CPanel和DirectAdmin等)默認數據目錄。

話雖如此，還是按平常那樣運行安裝腳本：   

代碼如下:

# ./install.sh

    在Linux中安裝Linux惡意軟件檢測工具
配置Linux惡意軟件檢測工具

配置LDM的工作通過/usr/local/maldetect/conf.maldet來處理，所以選項都進行了充分的注釋，以便配置起來相當容易。萬一你哪里卡住了，還可以參閱/usr/local/src/maldetect-1.4.2/README，了解進一步的指示。

在配置文件中，你會找到用方括號括起來的下列部分：

•     EMAIL ALERTS(郵件提醒)
      QUARANTINE OPTIONS(隔離選項)
      SCAN OPTIONS(掃描選項)
      STATISTICAL ANALYSIS(統計分析)
      MONITORING OPTIONS(監控選項)

這每個部分都含有幾個變量，表明LMD會如何運行、有哪些功能特性可以使用。

•     如果你想收到通知惡意軟件檢測結果的電子郵件，就設置email_alert=1。為了簡潔起見，我們只將郵件轉發到本地系統用戶，但是你同樣可以探究其他選項，比如將郵件提醒發送到外部用戶。
      如果你之前已設置了email_alert=1，設置email_subj=”Your subject here”和email_addr=username@localhost。
      至于quar_hits，即針對惡意軟件襲擊的默認隔離操作(0 =僅僅提醒，1 = 轉而隔離并提醒)，你告訴LMD在檢測到惡意軟件后執行什么操作。
      quar_clean將讓你決定想不想清理基于字符串的惡意軟件注入。牢記一點：就本身而言，字符串特征是“連續的字節序列，有可能與惡意軟件家族的許多變種匹配。”
      quar_susp，即針對遭到襲擊的用戶采取的默認暫停操作，讓你可以禁用其所屬文件已被確認為遭到襲擊的帳戶。
      clamav_scan=1將告訴LMD試圖檢測有無存在ClamAV二進制代碼，并用作默認掃描器引擎。這可以獲得最多快出四倍的掃描性能和出色的十六進制分析。這個選項只使用ClamAV作為掃描器引擎，LMD特征仍是檢測威脅的基礎。

重要提示：

請注意：quar_clean和quar_susp需要quar_hits被啟用(=1)。

總之，在/usr/local/maldetect/conf.maldet中，有這些變量的行應該看起來如下：   

代碼如下:

email_alert=1
   email_addr=gacanepa@localhost
   email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
   quar_hits=1
   quar_clean=1
   quar_susp=1
   clam_av=1

將ClamAV安裝到RHEL/CentOS 7.0/6.x和Fedora 21-12上

想安裝ClamAV以便充分利用clamav_scan設置，請遵循這些步驟：

創建軟件庫文件/etc/yum.repos.d/dag.repo:   

代碼如下:

[dag]
   name=Dag RPM Repository for Red Hat Enterprise Linux
   baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
   gpgcheck=1
   gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
   enabled=1

然后運行命令：   

代碼如下:

# yum update && yum install clamd

注意：這些只是安裝ClamAV的基本指令，以便將它與LMD整合起來。我們在ClamAV設置方面不作詳細介紹，因為正如前面所述，LMD特征仍是檢測和清除威脅的基礎。
測試Linux惡意軟件檢測工具

現在就可以檢測我們剛剛安裝的LMD / ClamAV了。不是使用實際的惡意軟件，我們將使用EICAR測試文件(http://www.eicar.org/86-0-Intended-use.html)，這些文件可從EICAR網站下載獲得。   

代碼如下:

# cd /var/www/html
   # wget http://www.eicar.org/download/eicar.com
   # wget http://www.eicar.org/download/eicar.com.txt
   # wget http://www.eicar.org/download/eicar_com.zip
   # wget http://www.eicar.org/download/eicarcom2.zip

這時候，你可以等待下一個cron任務運行，也可以自行手動執行maldet。我們將采用第二種方法：  

代碼如下:

# maldet --scan-all /var/www/

LMD還接受通配符，所以如果你只想掃描某種類型的文件(比如說zip文件)，就可以這么做：   

代碼如下:

# maldet --scan-all /var/www/*.zip

    掃描Linux中的惡意軟件

掃描完成后，你可以查閱LMD發送過來的電子郵件，也可以用下列命令查看報告：   

代碼如下:

# maldet --report 021015-1051.3559

    Linux惡意軟件掃描報告

其中021015-1051.3559是SCANID(SCANID與你的實際結果會略有不同)。

重要提示：請注意：由于eicar.com文件下載了兩次(因而導致eicar.com和eicar.com.1)，LMD發現了5次襲擊。

如果你檢查隔離文件夾(我只留下了一個文件，刪除了其余文件)，我們會看到下列結果：   

代碼如下:

# ls –l

    Linux惡意軟件檢測工具隔離文件

你然后可以用下列命令刪除所有隔離的文件：   

代碼如下:

# rm -rf /usr/local/maldetect/quarantine/*

萬一那樣，   

代碼如下:

# maldet --clean SCANID

最后的考慮因素

由于maldet需要與cron整合起來，你就需要在root的crontab中設置下列變量(以root用戶的身份鍵入crontab –e，并按回車鍵)，也許你會注意到LMD并沒有每天正確運行：

代碼如下:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
   MAILTO=root
   HOME=/
   SHELL=/bin/bash

這將有助于提供必要的調試信息。

感謝各位的閱讀，以上就是“如何在Linux系統中安裝使用惡意軟件掃描工具及殺毒引擎”的內容了，經過本文的學習后，相信大家對如何在Linux系統中安裝使用惡意軟件掃描工具及殺毒引擎這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！