web-dev-qa-db-ja.com

ClamAVからのより良いマルウェア保護

Linuxマシンのセキュリティについて少し心配です。 ClamAVは、マルウェアを検出しますが、手動スキャン中にのみ表示します。バックグラウンドで実行するように設計されていない可能性があります。知りません。私は自分のシステムを保護したいだけです。
Windowsのアバストアバストは、悪意のあるアクティビティのわずかなヒントさえ取得した場合、それ以降の対話をすぐにブロックします。長い間、手動スキャン中にWindowsマルウェアのポップアップを見たことはありません。

最近、ClamAVは多くの脅威を示しました。

/home/arjun/.cache/mozilla/firefox/velcy2qd.default-1475046670923/cache2/entries/5B6A5C07930975FDE8750B7CA9824A79551A31A2      PUA.Win.Tool.Packed-177         
/home/arjun/.config/min/Cache/f_000036                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/min/Cache/f_000020                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/Vectr/Cache/f_000006                                                                                       PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/accessibility-developer-tools/2.11.0/package.tgz                                                              PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/npm/2.15.11/package.tgz                                                                                       PUA.Win.Trojan.Xored-1          
/home/arjun/.npm/imurmurhash/0.1.4/package.tgz                                                                                 PUA.Win.Trojan.Xored-1          
-------------------------------------------------------------------------------------------------------------------------------------------------------------------

これらが誤検知なのか、本当にマルウェアなのかはわかりません。このレポートを確認する場合 http://www.networkworld.com/article/2989137/linux/av-test-lab-tests-16-linux-antivirus-products-against-windows-and-linux -malware.html -ClamAVの効率が約60%であることを示しています。
実際、レポートでは、Kasperskyを使用するか、Sophosを使用することをお勧めしています。また、インターネットには同じことを勧める他の多くのレポートがあります。

  1. ClamAVよりも優れた保護を示す他のソフトウェアを使用しましたか?
  2. ClamAVは軽量であるため、ClamAVの脅威検出を強化するための「機能強化」はありますか? (私は 一部のWebサイト 脅威シグネチャをClamAVリストに追加することを提案しています。それは安全ですか?)
  3. 全体的に、これは重要であり、マシンを遅くすることなく強化された保護のために実行できるいくつかの構成です。
securitymalwareantivirusclamav
4
arjun

バックグラウンドで実行するように設計されていない可能性があります。

はい、そうです。 wiki は、デーモンおよびスキャナーとして実行するメソッドを示しています。

ClamAVをデーモンとして実行

Clamav-daemonをインストールします。その後、以前にclamscanを使用していた場所でclamdscanを使用できます。多くのプログラム、特に電子メールサーバーは、ClamAVデーモンに接続できます。これにより、プログラムは常にメモリ内にあるため、ウイルススキャンが高速化されます。

Clamav-daemonパッケージは「clamav」ユーザーを作成します。 ClamAVがメールスプールなどのシステムファイルをスキャンできるようにするために、ファイルを所有するグループにclamavを追加できます。

ClamAVが着信スキャンをリッスンするようにします

ClamAVデーモンを他のシステムのスキャナーとして機能させたい場合があるので、システム上ですべてをローカルで実行する必要はありません。

これを行うには、clamd.confファイルを変更し、TCPSocket PORTNUMBERおよびTCPAddr IPADDRESS引数をclamd.confファイルに追加して、デーモンを再ロードするだけです。デーモンは、指定したIPアドレスとポートの組み合わせを介して、デーモンへの接続を受け入れます。

私は自分のシステムを保護したいだけです。

Linuxは基本的にWindowsとは異なるため、Windows(まだ)が直面する問題を継承しませんでした。私たちのシステムはマルチユーザーシステムとして設定されています:同時に複数のユーザーがそれを使用することが期待されています。これは、一部のユーザーがすべてのコンテンツを表示したり、システム上で必要なことを実行したりすることが期待されていないため、システムにセキュリティモデルが組み込まれていることを意味します。また、マルウェアがシステムを悪用するのを妨げます。

はい、Linuxを無敵にしません。しかし、1台のLinuxマシンに感染するよりも数百万のWindowsシステムに感染する方が簡単である限り、私たちは勝ちます。マシンが特定のターゲットに設定されている場合のみ(たとえば、ゲームサーバーを実行している場合)、予防策を講じる必要があります。ただし、定期的なバックアップの作成、適切なパスワードの使用、ルーターの使用、 CVEトラッカーの監視 、システムを最新の状態に保ち、不要なソフトウェアをインストールしないようにします。あらゆる方法で行う必要があります。

  • ClamAVよりも優れた保護を示す他のソフトウェアを使用しましたか?

はい(第1部:30以上のシステムのシステム管理者として、複数のウイルススキャナーとルートキット検出器を調べ、使用していない場合の脅威のリスクについても評価しました)といいえ(第2部)。しかし、ClamAVが優れているからではありません。他のウイルススキャナーと同じくらい悪いです。ウイルススキャナーはすべて成功率が低いため、役に立たない。ウイルスであると主張するすべての主張のほぼ100%が偽である場合、私はそれを使用できません。

  • ClamAVは軽量であるため、ClamAVの脅威検出を強化するための「機能強化」はありますか? (ClamAVリストに脅威シグネチャを追加することを提案しているWebサイトを見てきました。これは安全ですか?)

追加のウイルス署名をアップロードする方法については、たとえば、ClamAVの「doc」ディレクトリにある「signatures.pdf」を参照してください。

ただし、これは実際に1人目のウイルスを見つけた場合にのみ役立ちます。ウイルス定義ファイルはかなり定期的に更新されますので、改善すべき点はないと思います。

  • 全体的に(そしてこれは重要です)、以下では、マシンを遅くすることなく、強化された保護のために実行できる追加のタスクを見つけることができます。

これはそれ自体が問題であり、ウイルススキャナーとも関係がありません。

  • システムを暗号化します。
  • FTP、Telnet、rlogin、およびrshサービスを使用できるソフトウェアをインストールしないでください
  • インストールされているソフトウェアを最小限に抑えます。使用しないでください。それを除く。
  • システムを最新の状態に保ちます。
  • 強力なパスワードとパスワードエージングを使用します。

重要:

システムの保護は、ウイルス対策ソフトウェアによるものではありません。それはあなたのシステムの扱い方から来ています。ウイルスが見つかった場合は遅すぎます。システムが危険にさらされており、実証済みのクリーンバックアップから再インストールする必要があるため、ウイルスを削除するだけでは十分ではありません。あなたは常に彼らがあなたの管理者パスワードを持っていると仮定しなければなりません。

8
Rinzwind

大爆笑だ、君たちは楽しい:-)

さらに深刻な問題として、システムを安全に保つために必要なことは、システムとネットワークを制御することです。そのためには、次のことを学ぶ必要があります。

  1. ネットワーキングに関するすべては、小さなものから始めましょう。
  2. ファイアウォールの設定方法(Ufwまたは、もっと良いのはIptables
  3. Nethogsについて学び、それをライブ交通情報に使用します。最悪のシナリオでは、トラフィックを理解していないときに妄想している場合は、いつでもネットワークを無効にすることができます。
  4. Snort をインストールして学習します。セットアップが必要です!
  5. もう1つ必要なのは、No-scriptブラウザーアドオンです。そもそも感染するのを防ぎます。すべてのスクリプトはデフォルトで無効になっているため、スクリプトを有効にすることで信頼できるWebサイトをサポートしていることを確認してください。
  6. 必要に応じて、NmapおよびWiresharkを取得します。両方とも非常に便利です。
  7. システムにインストールするものに注意してください。可能な場合は常にUbuntuセンターを使用し、 ダウンロードの確認 を使用します。
  8. 機密情報を暗号化します。他の人よりあなたの方がいい。 Ubuntuには、組み込みの encfs encryption があります。チェックアウトする必要があります。
  9. Cron または Inotify を使用して、キーファイルがアクセスまたは変更されているかどうかを確認し、アクセスされている場合は警告します。
  10. グループやユーザーと遊ぶときは注意してください。発生する可能性のある最も害の少ないことは、ルートから自分をロックアウトすることです。

まあこれはそれについてです。たとえば、ClamAVのようなものを見逃したことがあります。追加のセキュリティレイヤーを調べることができます。ああ、何よりも、あなたの脳を使ってください、誰もあなたのためにそれを使いません。

1
user633551

あなたが尋ねる:

「2. ClamAVは軽量であるため、ClamAVで脅威の検出を強化できる「機能強化」はありますか?」

ブラウザキャッシュファイルを含むすべての着信ファイルをスキャンするようにclamavデーモンを構成できます。 OSXでclamxavがこれを行うことはかなり確かです。

0
BenjaminBrink