VolgogradLUG : AvramenkoAndrew/clamuko

Clamuko


Clamuko – on-access сканер вирусов, т.е. сканирует вирусы при открытии, запуске, закрытии файла без участия пользователя из проекта ClamAv. На момент моего эксперимента стабильной версией clam'а была версия 0.86.1. Я ее собрал из исходников:

Затем пришлось собрать модуль ядра – dazuko, он доступен по адресу www.dazuko.org. На момент написания статьи последней стабильной версией была – 2.0.6.
В ядре пришлось включить опции: Security Options / Enable Different security Models и там же сделать модулем Default Linux Capabilities. Версия ядра 2.6.11.
Модуль устанавливается достаточно просто:

можно скомпилить тестовую программу:

Затем скопировать dazuko.ko (для ветки 2.6) в папку /lib/modules/версия_ядра/security
После перезагрузки, выполнить modprobe dazuko. По команде lsmod он должен быть в списке модулей.

Затем раскомментировать опции в clamd.conf:

Только не повторяйте моих ошибок, не указывате в качестве IncludePath коренной каталог. Я так и не смог перегрузить корректно сервер =).
ВНИМАНИЕ: Не забудьте запустить clamd из-под рута (это тоже в конфиге указывается) иначе ничего не получится!

Ну вот в прицнипе и все: service clamd start (или просто clamd)
Создаете файл с тестовой вирусовой сигнатурой:

пытаетесь его открыть.

Более подробная информация о возможностях ClamAV опубликована в сентябрьском номере журнала «Системный Администратор».

Мнение о самом антивирусе:

Данное мнения является личным, не более того. В ClamAV слишком слабая эвристика (если она вообще есть). Новых вирусов уже давно нет, все сирусы работают старыми алгоритмами. Аппаратные антивирусы давно стали лучшими только за счет эвристики. Да, эвристика отнимает много ресурсов, но пускай это будет дополнительной опцией. Кстати говоря, ресурсов процессора и памяти Clam AV сжирает уйму. По-моему ему можно с KAV соревноваться по этому показателю. Обновление базы проходит очень нерегулярно. Модуль RAR3 однозначно нужен. Не соответствует политике – сделайте отдельным модулем, пусть те, кому плевать на политику используют. Но в целом, это лучшее свободное средство, хотя коммерческим типа Trend Micro, к сожалению, пока еще не конкурент.


Copyright© 2005 Использование без разрешения автора недопустимо.
Все вопросы и пожелания в рассылку или мне лично.
WBR, Авраменко Андрей
e-mail: liks =at= altlinux dot ru
icq: 238657000