Das ClamAV-Paket

Ab Version 1.2.22 - Stand 03.03.2012
(c) Sebastian Scholze <sebastian(at)eisfair(dot)org>

Allgemeines

Clam AntiVirus ist ein Antivirus Toolkit für Unix das unter der GPL Lizenz steht. Es wurde speziell für das scannen von E-Mails auf Mailgateways designt. Das Paket stellt eine Reihe von Hilfsmitteln zur Verfügung: einen flexiblen und skalierbaren Multi-Threaded Dämon, einen Kommandozeilen Scanner und ein komplexes Programm zur automatischen Aktualisierung über das Internet.
Das Herzstück des Paketes ist eine Antivirus-Einheit in Form einer gemeinsam genutzten Bibliothek.

Hier ist eine Liste mit den wichtigsten Funktionen:

• Kommandozeilen Scanner
• performanter Multi-Threaded Dämon mit der Unterstützung von On-Access scannen
• Milter-Schnittstellen für Sendmail
• Komplexes Update-Programm für die Datenbank mit Unterstützung für Scripted Updates und digitale Signaturen
• Virus Scanner Bibliothek in C
• On-Access Scanning (Linux and FreeBSD)
• Mehrmals tägliche Updates der Virusdatenbank (siehe Homepage für die gesamte Anzahl von Signaturen)
• Eingebaute Unterstützung für verschieden Archiv-Formate wie Zip, RAR, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS und andere
• Eingebaute Unterstützung für nahezu alle Formate von Mail-Dateien
• Eingebaute Unterstützung für ELF-Executables und Portable Executable Dateien komprimiert mit UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack und verschleiert mit Sü, Y0da Cryptor und anderen
• Eingebaute Unterstützung für populäre Dokumentenformate wie MS Office und MacOffice Dateien, HTML, RTF und PDF

Weitere Informationen zu ClamAV finden sich auf der offiziellen Webseite des Projekts ''http://www.clamav.net''.

Die Voraussetzungen

Das ClamAV-Paket benötigt das libgmp-Paket um digitale Signaturen, die für den Update-Mechanismus verwendet werden, berechnen zu können. Die beiden Pakete libz und libbz2 werden für die Archivunterstützung benötigt (z.B. Bzip2 Archive).

Die Installation

Das ClamAV-Paket wird über das Setup-Menü im Untermenü ''Package administration'' installiert. Wird eine ältere Paket-Version vorgefunden, so wird deren Konfiguration gesichert und das alte Paket deinstalliert bevor die neuen Programmdateien installiert werden und die Konfiguration übernommen wird.
Bei einer Neuinstallation wird automatisch die Standardkonfiguration erstellt. Nach Beendigung dieses Schrittes werden die Konfigurationsdateien generiert und der ClamAV Daemon gestartet.

Das Menü im Setup-Programm

Das Menü des ClamAV-Paketes im Setup-Programm ist wie folgt aufgebaut:

• View documentation
  Mit diesem Menüpunkt wird die hier vorliegende Dokumentation zum Lesen mittels more oder dem vom User konfigurierten Pager geöffnet. More ist ein Programm, welches es erlaubt, auch längere Textdateien, wie diese Dokumentation, komfortabel zu lesen. Mittels Leertaste blättert man ganze Seiten weiter und mittels Entertaste einzelne Zeilen. Zum Verlassen der Dokumentation drückt man die Taste 'q'.
• Edit configuration
  Konfiguration von ClamAV über die eisfair-Konfigurationsebene bearbeiten.
• Advanced configuration file handling
  Versionsverwaltung der ClamAV-Konfiguration.
• Start ClamAV
  Mit Hilfe dieses Menüpunktes kann ClamAV von Hand gestartet werden.
• Stop ClamAV
  Mit Hilfe dieses Menüpunktes kann ClamAV von Hand beendet werden.
• Show status
  Mit Hilfe dieses Menüpunktes kann der aktuelle Status des ClamAV-Dienstes angezeigt werden.
• (Re)Activate virus scanning for mail package
  Mit Hilfe dieses Menüpunktes kann die automatische Virenscanner-Konfiguration des Mail-Paketes (neu) aktiviert werden.
• Get new virus definitions
  Mit Hilfe dieses Menüpunktes können die Virendefinitionsdatenbanken von Hand aktualisiert werden.
• View Logfile
  Mit Hilfe dieses Menüpunktes kann die Logdatei von ClamAV angezeigt werden.
• View Update-Log
  Mit Hilfe dieses Menüpunktes kann die Logdatei des Virendefinitions-Updates angezeigt werden.

Die Änderung der Konfiguration

Die Konfiguration von ClamAV unter eisfair erfolgt über den Menüpunkt ''Edit configuration'' im Paketmenü. Die vorgenommenen Änderungen werden nach Beenden des Editors automatisch übernommen.

Die Konfigurationsdatei

In der Konfigurationsdatei, die über das Menü zugänglich ist, sind die in den folgenden Unterabschnitten beschriebenen Parameter vorhanden.

Die Parameter

Allgemeine Einstellungen

START_CLAMAV

Wird dieser Wert auf ''yes'' gestellt, dann wird der ClamAV Dienst automatisch beim Start des Rechners mitgestartet. Anderenfalls ist das Starten und Beenden des Dienstes über das Paketmenü jederzeit möglich.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: START_CLAMAV='yes'

Automatische Updates

Die Einstellungen dieses Abschnittes beziehen sich auf das automatische Aktualisieren der Virusdefinitionen.

CLAMAV_UPDATE_USE_REGION

Um die Last welche auf den Update-Servern für die Virendefinitionsdatenbanken liegt zu verteilen, ist es möglich, regionale Update-Server zu verwenden. Mit dieser Option kann die Benutzung optionaler Update-Server eingeschaltet werden.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_UPDATE_USE_REGION='yes'

CLAMAV_UPDATE_REGION

Über diesen Wert wird festgelegt, welche Region für die Updates verwendet werden soll.

Gültige Werte: ''ac'', ''ad'', ''"a'', ''af'', ''ag'', ''ai'', ''al'', ''am'', ''an'', ''ao'', ''aq'', ''ar'', ''as'', ''at'', ''au'', ''aw'', ''ax'', ''az'', ''ba'', ''bb'', ''bd'', ''be'', ''bf'', ''bg'', ''bh'', ''bi'', ''bj'', ''bm'', ''bn'', ''bo'', ''br'', ''bs'', ''bt'', ''bv'', ''bw'', ''by'', ''bz'', ''ca'', ''cc'', ''cd'', ''cf'', ''cg'', ''ch'', ''ci'', ''ck'', ''cl'', ''cm'', ''cn'', ''co'', ''cr'', ''cs'', ''cu'', ''cv'', ''cx'', ''cy'', ''cz'', ''de'', ''dj'', ''dk'', ''dm'', ''do'', ''dz'', ''ec'', ''ee'', ''eg'', ''eh'', ''er'', ''es'', ''et'', ''fi'', ''fj'', ''fk'', ''fm'', ''fo'', ''fr'', ''ga'', ''gb'', ''gd'', ''ge'', ''gf'', ''gg'', ''gh'', ''gi'', ''gl'', ''gm'', ''gn'', ''gp'', ''gq'', ''gr'', ''gs'', ''gt'', ''gu'', ''gw'', ''gy'', ''hk'', ''hm'', ''hn'', ''hr'', ''ht'', ''hu'', ''id'', ''ie'', ''il'', ''im'', ''in'', ''io'', ''iq'', ''ir'', ''is'', ''it'', ''je'', ''jm'', ''jo'', ''jp'', ''ke'', ''kg'', ''kh'', ''ki'', ''km'', ''kn'', ''kp'', ''kr'', ''kw'', ''ky'', ''kz'', ''la'', ''lb'', ''lc'', ''li'', ''lk'', ''lr'', ''ls'', ''lt'', ''lu'', ''lv'', ''ly'', ''ma'', ''mc'', ''md'', ''mg'', ''mh'', ''mk'', ''ml'', ''mm'', ''mn'', ''mo'', ''mp'', ''mq'', ''mr'', ''ms'', ''mt'', ''mu'', ''mv'', ''mw'', ''mx'', ''my'', ''mz'', ''na'', ''nc'', ''ne'', ''nf'', ''ng'', ''ni'', ''nl'', ''no'', ''np'', ''nr'', ''nu'', ''nz'', ''om'', ''pa'', ''pe'', ''pf'', ''pg'', ''ph'', ''pk'', ''pl'', ''pm'', ''pn'', ''pr'', ''ps'', ''pt'', ''pw'', ''py'', ''qa'', ''re'', ''ro'', ''ru'', ''rw'', ''sa'', ''sb'', ''sc'', ''sd'', ''se'', ''sg'', ''sh'', ''si'', ''sj'', ''sk'', ''sl'', ''sm'', ''sn'', ''so'', ''sr'', ''st'', ''sv'', ''sy'', ''sz'', ''tc'', ''td'', ''tf'', ''tg'', ''th'', ''tj'', ''tk'', ''tl'', ''tm'', ''tn'', ''to'', ''tp'', ''tr'', ''tt'', ''tv'', ''tw'', ''tz'', ''ua'', ''ug'', ''uk'', ''um'', ''us'', ''uy'', ''uz'', ''va'', ''vc'', ''ve'', ''vg'', ''vi'', ''vn'', ''vu'', ''wf'', ''ws'', ''ye'', ''yt'', ''yu'', ''za'', ''zm'', ''zw''

Standardeinstellung: CLAMAV_UPDATE_REGION='de'

CLAMAV_UPDATE_CRON_USE

Um die Virussignaturen von ClamAV automatisch zu aktualisieren, muss hier der Wert auf yes gesetzt werden.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_UPDATE_CRON_USE='yes'

CLAMAV_UPDATE_CRON_TIMES

Mit dieser Variablen wird festgelegt zu welchem Zeitpunkt bzw. in welchem Intervall die Aktualisierung der Virussignaturen durchgeführt werden soll, die Wildcard-TLDs darstellen. Diese Funktion ist nur verfügbar, wenn der Parameter CLAMAV_UPDATE_CRON_USE='yes' gesetzt wurde. Die fünf Teilparameter haben dabei folgende Bedeutung:

• 1 - Minuten,
• 2 - Stunden,
• 3 - Tag des Monats,
• 4 - Monat,
• 5 - Wochentag.

D. h. bei Verwendung der Standardeinstellung wird jeden Tag um 00:25h die Liste aktualisiert. Wer Näheres über die verwendete Befehlssyntax erfahren möchte, sollte über eine Internet-Suchmaschine nach 'man' und 'crontab' suchen.

Gültige Werte: Crontab-spezifischer Parametereintrag

Standardeinstellung: CLAMAV_UPDATE_CRON_TIMES='25 0 * * *'

CLAMAV_UPDATE_CRON_MAIL_LEVEL

Über diese Variable lässt sich einstellen, ob und wann Mails nach einem Update(-Versuch) verschickt werden sollen.

• 0 = keine E-Mails
• 1 = bei Updates
• 2 = bei Updates und bei Warnungen
• 3 = immer
• 4 = nur Warnungen

Gültige Werte: ''0'', ''1'', ''2'', ''3'', ''4''

Standardeinstellung: CLAMAV_UPDATE_CRON_MAIL_LEVEL='0'

Mit den Variablen CLAMAV_INFOMAIL_FROM, CLAMAV_INFOMAIL_SNAME und CLAMAV_INFOMAIL_TO werden der Adsenderpostfachname, Absenderklartextname und der Empfänger definiert

Selfchecking von ClamAV

CLAMAV_SELFCHECK

Mit dieser Variablen können Sie den SelfCheck von clamav abschalten. Dies ist beispielsweise sinnvoll, wenn es Probleme im Zuge von Signatur-Updates gibt.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_SELFCHECK='no'

Priorität von ClamAV

CLAMAV_PRIORITY_LEVEL

Mit dieser Variablen können Sie den Nice-Wert anpassen, mit dem ClamAV ausgeführt wird. Der Wert der Variablen wird zum aktuellen Nice-Wert hinzugefügt.
Über den Nice-Wert kann die Scheduler Priorität eines auszuführenden Programmes gesteuert werden.

Gültige Werte: Nummerischer Wert

Standardeinstellung: CLAMAV_PRIORITY_LEVEL=7

Proxyeinstellungen

CLAMAV_USE_HTTP_PROXY_SERVER

Über diese Variable kann gesteuert werden, ob ein Proxy für das Aktualisieren der Virusdefinitionsdatenbanken benutzt werden soll.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_USE_HTTP_PROXY_SERVER='no'

CLAMAV_HTTP_PROXY_SERVER

In diese Variable ist der Name (oder die IP-Adresse) des Proxy-Servers einzutragen, der benutzt werden soll.

Gültige Werte: Domain

Standardeinstellung: CLAMAV_HTTP_PROXY_SERVER='myproxy.com'

CLAMAV_HTTP_PROXY_PORT

In diese Variable ist die Portnummer des Proxy-Servers einzutragen, über die der Proxy ansprechbar ist.

Gültige Werte: Port

Standardeinstellung: CLAMAV_HTTP_PROXY_PORT='1234'

CLAMAV_HTTP_PROXY_USERNAME

In diese Variable ist, falls notwendig, ein Benutzername für die Authentifizierung an dem zu nutzenden Proxy-Server einzutragen.

Gültige Werte: keine Einschränkung

Standardeinstellung: CLAMAV_HTTP_PROXY_USERNAME='myuser'

CLAMAV_HTTP_PROXY_PASSWORD

In diese Variable ist, falls notwendig, ein Kennwort für die Authentifizierung an dem zu nutzenden Proxy-Server einzutragen.

Gültige Werte: keine Einschränkung

Standardeinstellung: CLAMAV_HTTP_PROXY_PASSWORD='mypassword'

Nutzung eines Spiegels für die Virusdatenbank

CLAMAV_DATABASE_MIRROR

In dieser Variablen wird der Standard bzw. Backup (wenn CLAMAV_UPDATE_USE_REGION='yes') Update Server eingetragen

Gültige Werte: FQDN

Standardeinstellung: CLAMAV_DATABASE_MIRROR='database.clamav.net'

PUA Possible Unwanted Applications

Die Einstellungen dieses Abschnittes dienen dem Auffinden von ungewünschten Applikationen (z.B. Malware, Exploits in Grafikdateien, ...).

CLAMAV_DETECT_PUA

Über diese Variable kann eingestellt werden, ob ClamAV nach ungewünschten Anwendungen suchen soll (PUA = Possible Unwanted Applications).

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_DETECT_PUA='yes'

CLAMAV_ALGORITHMIC_DETECTION

Über diese Variable kann eingestellt werden, ob ClamAV spezielle Algorithmen für die Erkennung von unerwünschten Anwendungen verwenden soll.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_ALGORITHMIC_DETECTION='yes'

Ausführbare Dateien

CLAMAV_SCAN_PE

PE steht für Portable Executable. Es handelt sich hierbei um ein Dateiformat, das in allen 32 und 64Bit Versionen von Windows verwendet wird. Über diese Variable kann eingestellt werden, dass ClamAV-Analysen von ausführbaren Dateien durchführt. Diese Option wird beispielsweise benötigt, um ausführbare Packprogramme wie z.B. UPX, FSG oder Petite überprüfen zu können.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_SCAN_PE='yes'

CLAMAV_SCAN_ELF

ELF steht für Executable and Linking-Format und ist das Standardformat für ausführbare UN*X Programme. Über diese Variable kann eingestellt werden, ob ClamAV-ELF-Dateien scannen soll.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_SCAN_ELF='yes'

CLAMAV_DETECT_BROKEN_EXECUTABLES

Über diese Variable kann eingestellt werden, ob ClamAV versuchen soll, kaputte ausführbare Dateien zu identifizieren und zu markieren.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_DETECT_BROKEN_EXECUTABLES='no'

Ausführbare Dokumente

CLAMAV_SCAN_OLE2

Über diese Variable kann eingestellt werden, ob ClamAV-Makros in Microsoft Office Dokumenten scannen soll.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_SCAN_OLE2='yes'

CLAMAV_SCAN_PDF

Über diese Variable kann eingestellt werden, ob ClamAV PDF-Dateien scannen soll.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_SCAN_PDF='no'

Archiv Support

CLAMAV_SCAN_ARCHIVE

Über diese Variable kann eingestellt werden, ob ClamAV in Archiven scannen soll.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_SCAN_ARCHIVE='yes'

CLAMAV_MAX_FILE_SIZE

Hier kann die maximale Größe von Archiven angegeben werden, in denen ClamAV scannen soll.
Größere Archive werden ignoriert.

Gültige Werte: Numerischer Wert

Standardeinstellung: CLAMAV_ARCHIVE_MAX_FILE_SIZE='10'

CLAMAV_MAX_RECURSIONS

Hier kann die maximale Rekursionstiefe von Archiven (in Archiven) angegeben werden, in denen ClamAV scannen soll.
Größere Rekursionstiefen werden ignoriert.

Gültige Werte: Numerischer Wert

Standardeinstellung: CLAMAV_ARCHIVE_MAX_FILE_SIZE='10'

CLAMAV_MAX_FILES

Hier kann die maximale Anzahl von Dateien in Archiven angegeben werden, die ClamAV scannen soll.
Größere Rekursionstiefen werden ignoriert.

Gültige Werte: Numerischer Wert

Standardeinstellung: CLAMAV_ARCHIVE_MAX_FILES='1000'

CLAMAV_ARCHIVE_LIMIT_MEMORY_USAGE

Use slower but memory efficient decompression algorithm. only affects the bzip2 decompressor.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_ARCHIVE_LIMIT_MEMORY_USAGE='no'

CLAMAV_ARCHIVE_BLOCK_ENCRYPTED

Über diese variable kann definiert werden, ob verschlüsselte Archive als Virus markiert werden sollen (Encrypted.Zip, Encrypted.RAR).

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_ARCHIVE_BLOCK_ENCRYPTED='no'

Logfile Handling

CLAMAV_LOG_COUNT

Über diese variable kann gesteuert werden, wie viele Logdateien gespeichert werden sollen, bevor logrotate alte Lodateien überschreibt.

Gültige Werte: Nummerischer Wert

Standardeinstellung: CLAMAV_LOG_COUNT='10'

CLAMAV_LOG_INTERVAL

Über diese Variable kann gesteuert werden, wann logrotate Archive der aktuellen Logdateien erstellt.

Gültige Werte: ''daily'', ''weekly'', ''monthly''

Standardeinstellung: CLAMAV_LOG_INTERVAL='weekly'

Info-Mails

CLAMAV_INFOMAIL

Über diese variable kann gesteuert werden, ob eine Info-Mail über den Status einer ''Virus-Mailbox'' verschickt werden soll.

Gültige Werte: ''yes'', ''no''

Standardeinstellung: CLAMAV_INFOMAIL='yes'

CLAMAV_SUBJECT

Über diese Variable lässt sich der Betreff der Info-Mail anpassen.

Gültige Werte: keine Einschrënkung

Standardeinstellung: CLAMAV_INFOMAIL_SUBJECT='Status of Virus Mailbox'

CLAMAV_INFOMAIL_FROM

Über diese Variable lässt sich der Absender anpassen.

Gültige Werte: keine Einschränkung

Standardeinstellung: CLAMAV_INFOMAIL_FROM='clamav'

CLAMAV_INFOMAIL_SNAME

Über diese Variable lässt sich der Klartext-Absender der Info-Mail anpassen.

Gültige Werte: keine Einschränkung

Standardeinstellung: CLAMAV_INFOMAIL_SNAME='ClamAV-Service'

CLAMAV_INFOMAIL_TO

Über diese Variable lässt sich der Empfänger der Info-Mail anpassen.

Gültige Werte: keine Einschränkung

Standardeinstellung: CLAMAV_INFOMAIL_TO='postmaster'

CLAMAV_INFOMAIL_CRON_SCHEDULE

Über diese Variable kann gesteuert werden, wann eine Info Mail erstellt wird.
Die fünf Teilparameter haben dabei folgende Bedeutung:

• 1 - Minuten,
• 2 - Stunden,
• 3 - Tag des Monats,
• 4 - Monat,
• 5 - Wochentag.

D.h. bei Verwendung der Standardeinstellung wird jeden Tag um 00:25h die Liste aktualisiert. Wer Näheres über die verwendete Befehlssyntax erfahren möchte, sollte über eine Internet-Suchmaschine nach 'man' und 'crontab' suchen.

Gültige Werte: Crontab-spezifischer Parametereintrag

Standardeinstellung: CLAMAV_INFOMAIL_CRON_SCHEDULE='25 0 * * *'

CLAMAV_MAILBOX_FILE

Über diese Variable wird das Mailboxfile definiert, welches für die Generierung der Infomail zur Überprüfung herangezogen werden soll.

Gültige Werte: ABS_PATH

Standardeinstellung: CLAMAV_MAILBOX_FILE='/var/spool/mail/malware'

Einstellungen beim Übersetzen des Paketes

ClamAV wurde mit den folgenden Einstellungen übersetzt:

clamav

-disable-clamuko
-with-user=clamav
-with-group=trusted
-with-dbdir=/usr/share/clamav
-without-libcurl
-host=i486-pc-linux-gnu
-build=i486-pc-linux-gnu
-target=i486-pc-linux-gnu

Verschiedenes

Mail-Paket

Der ClamAV-Virenscanner kann als Scanner für das Mail-Paket genutzt werden. Das Paket liefert eine Konfigurationsdatei mit (/var/run/exiscan-av.cnf), die es ermöglicht, die notwendigen Einstellungen automatisch zu tätigen. Während der Installation des ClamAV-Paketes wird überprüft, ob das Mail Paket installiert ist. Ist dies der Fall, wird automatisch eine entsprechende Konfigurationsdatei erzeugt und es kann der Eintrag EXISCAN_AV_SCANNER
='auto' in der Mailkonfiguration gesetzt werden. Der ClamAV-Daemon wird nun als Virenscanner für das Mail-Paket benutzt.

Beispiel für die Virenscannerkonfiguration im Mail Paket:
EXISCAN_AV_SCANNER='auto'
EXISCAN_AV_PATH='/usr/sbin/clamd'
EXISCAN_AV_OPTIONS='-all -archive -ss %s'
EXISCAN_AV_TRIGGER='found in'
EXISCAN_AV_DESCRIPTION=''
EXISCAN_AV_SOCKET='/var/run/clamd'

VMail-Paket

Der ClamAV-Virenscanner kann als Scanner für das VMail-Paket genutzt werden. Hierzu muss in der Konfiguration des VMail-Paketes lediglich die Variable POSTFIX_AV_CLAMAV den Wert 'yes' bekommen.

Beispiel für die Virenscannerkonfiguration im VMail-Paket:
POSTFIX_AV_CLAMAV='yes'

Die Prüfung einer Virus-Mailbox CLAMAV_MAILBOX_FILE ist jedoch nicht möglich!

Samba Paket

Der ClamAV-Virenscanner kann als Scanner für Samba-Freigaben verwendet werden. Hierzu müssen die Variablen SAMBA_VSCAN und SAMBA_VSCAN_TYPE entsprechend gesetzt werden.

Beispiel für die Virenscannerkonfiguration im Samba Paket:
SAMBA_VSCAN='yes'
SAMBA_VSCAN_TYPE='clamav'
SAMBA_SHARE_1_VSCAN'yes' SAMBA_SHARE_2_VSCAN'no'