全部 ニュース Meta Code 文化・アート
Linuxシステムに悪意のあるソフトウェアスキャンツールとウイルス対策エンジンを使用したチュートリアルをインストール
2022-02-03

悪意のあるソフトウェアとは、コンピューティングシステムの正常な動作を妨害または破壊するためのソフトウェアプログラムを指す。最も悪名高いいくつかの悪意のあるソフトウェア、例えばウイルス、スパイソフトウェア、広告ソフトウェアがあるが、それらが引き起こした危害は異なる。あるものは私密情報を盗み取り、あるものは個人データを削除し、あるものは両者の間にある。悪意のあるソフトウェアのもう一つの一般的な用途は、システムを制御し、そのシステムを利用してゾンビネットワークを発動し、いわゆる拒否サービス(DoS)攻撃や分散拒否サービス(DDoS)攻撃を形成することである。

言い換えれば、「機密データや重要なデータを格納していないので、自分のシステムを悪意のあるソフトウェアから保護する必要はありません」という考えは決して抱いてはいけません。それらのデータは悪意のあるソフトウェアの唯一の目標ではないからです。

このため、RHEL 7.0/6.0について説明する.x(xはバージョン番号)、CentOS 7.0/6.xとFedora 21-12では、Linuxのマルウェア検出ツール(MalDet、またはLMDとも呼ばれる)とClamAV(アンチウイルスエンジン)をどのようにインストールして構成するか。

これはGPL v 2ライセンスを使用して発表された悪意のあるソフトウェアスキャンツールで、ホスト管理環境のために設計されています。しかし、自分がどんな環境に直面しても、MalDetのおかげだとすぐに認識します。

LMDをRHEL/centOS 7.0/6に取り付ける.xとFedora 21-12上
LMDはオンラインソフトウェアライブラリから入手できず、パッケージファイルとしてプロジェクト公式サイトから配布されます。パッケージファイルには最新バージョンのソースコードが含まれており、常に次のリンクから入手できます。次のコマンドを使用してダウンロードできます。

コードのコピー

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
次に、パッケージファイルを解凍し、コンテンツを抽出/解凍するディレクトリに入る必要があります。現在のバージョンは1.4.2であるため、ディレクトリはmaldetect-1.4.2です。このディレクトリにインストールスクリプトinstallが見つかります。sh。

コードのコピー

# tar -xvf maldetect-current.tar.gz

# ls -l | grep maldetect
最後に、インストールが完了するとcron.dailyスクリプト(上図参照)を/etc/cronに挿入します。dailyは、cron(計画タスク)による毎日の実行をスケジュールすることができます。このヘルプ・スクリプトには、古い一時データのクリア、新しいLMDバージョンのチェック、CPanelやDirectAdminなどのデフォルトのApacheやWebコントロール・パネルのスキャンなど、多くの機能があります。
とはいえ、インストールスクリプトは通常通り実行されます。

コードのコピー

# ./install.sh

  • Linuxマルウェア検出ツールの構成

    • LDMを構成する作業は/usr/local/maldtect/conf.maldetで処理されるため、オプションは十分に注釈されており、構成が容易になります。万一どこかに引っかかった場合は、/usr/local/src/maldetect-1.4.2/READMEを参照して、さらなる指示を知ることもできます。

  • プロファイルでは、四角カッコで囲まれた次のセクションが表示されます。

    • EMAIL ALERTS(メール注意)

    QUARANTINE OPTIONS(アイソレーションオプション)

    SCAN OPTIONS(スキャンオプション)

    STATISTICAL ANALYSIS(統計解析)
    MONITORING OPTIONS(モニタオプション)

    各セクションには、LMDがどのように動作するか、どのような機能特性が使用できるかを示すいくつかの変数が含まれています。

    悪意のあるソフトウェアの検出結果を通知するEメールを受信したい場合は、email_を設定します。alert=1。簡潔にするために、ローカルシステムユーザーにのみメールを転送しますが、外部ユーザーにメールアラートを送信するなど、他のオプションを探ることができます。

    前にメールを設定した場合はalert=1、email_を設定subj="Your subject here"とemail_addr=username@localhost。

    quar_についてはhits、すなわち悪意のあるソフトウェアの襲撃に対するデフォルトの隔離操作(0=注意のみ、1=隔離して注意する)は、LMDが悪意のあるソフトウェアを検出した後にどのような操作を実行するかを教えます。
        quar_cleanは、文字列ベースの悪意のあるソフトウェア注入をクリーンアップしたいかどうかを決定します。文字列の特徴は、それ自体が「連続したバイトシーケンスであり、悪意のあるソフトウェアファミリーの多くの変種と一致する可能性がある」ことを覚えておいてください。

        quar_suspは、襲撃されたユーザーに対してデフォルトの一時停止操作を行い、所属ファイルが襲撃されたと確認されたアカウントを無効にすることができます。

        clamav_scan=1は、LMDがClamAVバイナリコードの有無を検出しようとし、デフォルトスキャナエンジンとして使用されることを示す。これにより,最大4倍のスキャン性能と優れた16進数解析が得られる。このオプションはスキャナエンジンとしてClamAVのみを使用し、LMDフィーチャーは脅威を検出する基礎となります。
    重要なヒント:
    注意:quar_cleanとquar_suspにはquarが必要ですhitsが有効になります(=1)。

    要するに、/usr/local/malddetect/conf.maldetでは、これらの変数の行は次のように表示されます。

    コードのコピー
    email_alert=1

    email_addr=gacanepa@localhost

    email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
    quar_hits=1

    quar_clean=1

    quar_susp=1
    clam_av=1
    ClamAVをRHEL/centOS 7.0/6に取り付ける.xとFedora 21-12上

    clamavをフル活用するためにClamAVをインストールしたいscan設定は、次の手順に従います。

    ソフトウェアライブラリファイル/etc/yumを作成する.repos.d/dag.repo:
    コードのコピー
    [dag]

    name=Dag RPM Repository for Red Hat Enterprise Linux

    baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/

    gpgcheck=1

    gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
    enabled=1
    次に、コマンドを実行します。

    コードのコピー

    # yum update && yum install clamd
    Linux悪意のあるソフトウェア検出ツールのテスト

    私たちがインストールしたLMD/ClamAVを検出できます。実際の悪意のあるソフトウェアではなくEICARテストファイルを使用します(http://www.eicar.org/86-0-Intended-use.html)、これらのファイルはEICARサイトからダウンロードできます。

    コードのコピー
    # cd /var/www/html
    # wget http://www.eicar.org/download/eicar.com

    # wget http://www.eicar.org/download/eicar.com.txt

    # wget http://www.eicar.org/download/eicar_com.zip
    # wget http://www.eicar.org/download/eicarcom2.zip
    この場合、次のcronタスクの実行を待つか、maldetを手動で実行することができます。2つ目の方法を採用します。

    コードのコピー

    # maldet --scan-all /var/www/

    ソース元URL:https://dopubox.com/article/p/b7c4a889f9013f35