Zabezpiecz serwer GLPI – aktywne skanowanie folderu /files przez ClamAV i Rkhunter

Wstępem

Jak zabezpieczyć folder z załącznikami e-mail, pobranych zazwyczaj po integracji skrzynki e-mail (automatyczne zakładanie zgłoszeń)?

ClamAV to popularny silnik antywirusowy o otwartym kodzie źródłowym dostępny na wielu platformach, w tym w większości dystrybucji Linuksa.

Instalacja i konfiguracja (CentOS 8 / Rocky Linux)

sudo yum install clamav clamav-update clamav-scanner-systemd clamav-server-systemd

aktualizacja bazy ClamAV
sudo freshclam


sprawdź aktualizację
sudo ls -l /var/lib/clamav/

Ustaw autoaktualizację ClamAV

sudo vim /etc/cron.d/clamav-update
## Popraw wpis
MAILTO=root


Ustaw crona
*/3 * * * root /usr/share/clamav/freshclam-sleep

Wyłączysz autoupdate poprzez zmianę w pliku:
/etc/sysconfig/freshclam

FRESHCLAM_DELAY=disabled

Wskazanie katalogu do skanowania

Plik konfiguracyjny ClamAV jest dostępny w /etc/clamd.d/scan.conf. Domyślnym użytkownikiem do wykonywania skanowania jest clamscan, który jest tworzony zaraz po zainstalowaniu clamav rpms

Zmienimy to:

sudo vim /etc/clamd.d/scan.conf
User root

Ustaw katalog do skanowania:

sudo vim /etc/systemd/system/clamdscan-home.service
[Unit]
Description=ClamAV virus scan
Requires=clamd.service
After=clamd.service

[Service]
ExecStart=/usr/bin/clamdscan /var/www/html/glpi/files
StandardOutput=syslog

[Instal]
WantedBy=multi-user.target

Start i aktywacja usługi skanowania

sudo systemctl enable clamd.service --now

Możesz ułatwić sobie życie instalując na nakładkę: Ntsysv

sudo dnf install ntsysv

Skanowanie cykliczne

sudo vim /etc/systemd/system/clamdscan-home.timer
[Unit]
Description=Scan /var/www/html/glpi/files directory using ClamAV

[Timer]
OnCalendar=18:40:00
Persistent=true

[Install]
WantedBy=timers.target

Ręczne skanowanie uruchomisz poprzez:

# clamscan --infected --remove --recursive ./

Rkhunter

Rkhunter umożliwia skanowanie systemu w poszukiwaniu rootkitów i ogólnych luk w zabezpieczeniach. Można go łatwo zainstalować z menedżera pakietów w CentOS

sudo yum install rkhunter

aktualizacja bazy
sudo rkhunter --propupd

Dzięki temu poleceniu skaner może poznać aktualny stan niektórych plików, aby zapobiec przyszłym fałszywym alarmom. Po aktualizacji bazy skanera po prostu uruchom.

sudo rkhunter --checkall

Skaner przechodzi przez niektóre polecenia systemowe, sprawdza rzeczywiste rootkity i niektóre złośliwe oprogramowanie, ustawienia sieci i hosta lokalnego, a następnie wyświetla podsumowanie i zapisuje wyniki w pliku dziennika.

Sprawdź logi:

sudo cat /var/log/rkhunter/rkhunter.log | grep -i warning

Ważne

Monitoruj wysycenie pamięci i procesora podczas skanowania.