在 CentOS 7 / RHEL7 上安裝 Linux 惡意軟件檢測


Linux 惡意軟件檢測 (LMD)或簡單地說 馬德 自由的 惡意軟件掃描程序 設計 對於 Linux 機器 在 GNU GPL v2 中發布。它專為共享託管環境中的威脅而設計。 LMD 它使用來自網絡邊緣入侵檢測系統的威脅數據來捕獲攻擊中使用的實際惡意軟件,並生成各種簽名進行檢測。
除了這些功能之外,您還可以使用 LMD 檢出功能從用戶提交的文件中提取 LMD 威脅數據。 惡意軟件資源.. 使用 HEX 模式和 MD5 文件哈希等簽名。您還可以從包括 ClamAV 在內的各種檢測工具中提取。
本文介紹如何安裝和配置 Linux 惡意軟件檢測 一起 蛤蜊AV 適用於 RHEL 7.0 / CentOS 7.0。

在 CentOS 7 / RHEL 7 上安裝 LMD

LMD 在官方 CentOS 存儲庫中不作為預構建包提供,但可以從 LMD 項目網站以 tarball 的形式提供。使用以下命令下載最新版本的 LMD:

# cd /tmp/
# curl -O https://www.rfxn.com/downloads/maldetect-current.tar.gz

打開下載的 Linux 惡意軟件文件。

# tar -zxvf maldetect-current.tar.gz
# cd maldetect*

運行解壓目錄下的安裝腳本 install.sh。

# bash install.sh

Linux惡意軟件檢測的配置

Linux MalwareDetect配置文件是/usr/local/maldetect/conf.maldet,可以修改如下:

# vi /usr/local/maldetect/conf.maldet

以下是您的系統成功檢測和消除威脅所需進行的重要設置。

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="[email protected]"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root owned files. Set 1 to disable.
scan_ignore_root="0"

# Move threats to quarantine
quarantine_hits="1"

# Clean string based malware injections
quarantine_clean="1"

# Suspend user if malware found.
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

在 RHEL / CentOS 7.0 上安裝 ClamAV

使用 ClamAV 掃描大型文件集以提高 LMD 性能。 ClamAV(Clam Antivirus)是一種開源防病毒解決方案,用於檢測病毒、惡意軟件、特洛伊木馬和其他惡意程序。
ClamAV 在 EPEL 存儲庫中可用,因此請在您的 CentOS / RHEL 機器上配置它。

# rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

使用 YUM 命令安裝 ClamAV。

# yum -y install clamav clamav-devel clamav-update inotify-tools

然後使用以下命令更新您的 ClamAV 病毒庫:

# freshclam

默認情況下啟用 ClamAV 和 LMD,因此 LMD 無需額外配置。

筆記: 這些是安裝 ClamAV 以與 LMD 集成的基本步驟。如前所述,LMD 簽名仍然是威脅檢測和清除的基礎,因此我們不會詳細介紹如何設置 ClamAV。

Linux惡意軟件檢測測試

測試您最近的 LMD / ClamAV 安裝。而不是使用真正的惡意軟件 EICAR 測試文件可從 EICAR 網站下載。

# cd /tmp/
# wget https://www.eicar.org/download/eicar_com.zip 
# wget https://www.eicar.org/download/eicarcom2.zip

然後掃描目錄中的惡意軟件。

# maldet --scan-all /tmp

從輸出中,您可以看到 LMD 使用 ClamAV 掃描引擎執行了一次掃描,並且發生了兩次惡意軟件攻擊。

Linux 惡意軟件檢測器掃描報告

LMD 將掃描報告保存在 /usr/local/maldetect/sess/ 中。要查看詳細的掃描報告,請使用帶有 SCAN ID 的 maldet 命令。

 maldet --report 181202-1700.3530
LMD 掃描報告

您可以看到兩個文件都被隔離了。

Linux 惡意軟件檢測更新

使用以下命令更新 LMD:

# maldet -d

要更新 LMD 簽名,請運行以下命令:

# maldet -u

結論是

恭喜。 LMD 現在已在 CentOS 7 上安裝並可用。按照以下步驟進行必要的編輯以根據需要配置 LMD。



Source link