HowtoForge

So installierst und verwendest du ClamAV Antivirus unter Debian 12

von ·

ClamAV oder Clam Anti-Virus ist ein Open-Source-Antiviren- und Anti-Malware-Toolkit für mehrere Betriebssysteme. Es unterstützt einen Multi-Thread-Daemon, einen Kommandozeilen-Scanner und eine automatische Aktualisierung der Signaturdatenbank. ClamAV wurde entwickelt, um Dateien schnell zu scannen und bietet außerdem Echtzeitschutz für dein Linux-System. Es scannt auch komprimierte und archivierte Dateien und verfügt über integrierte Funktionen zum Extrahieren von Archiven in verschiedenen Formaten wie 7Zip, Tar, ISO, IMG, HFS, XZ, Bzip2 und vielen anderen.

In diesem Tutorial lernst du, wie du ClamAV auf einem Debian 12 Server installierst. Außerdem erfährst du, wie du mit „freshclam“ deine Datenbanksignaturen aktualisierst, wie du mit „clamscan“ Dateien und Verzeichnisse auf einem Linux-System scannst und wie du „clamav-daemon“ zum automatischen Scannen verwendest.

Voraussetzungen

Bevor du loslegst, solltest du sicherstellen, dass du Folgendes hast:

  • Einen Debian 12-Server
  • Einen Nicht-Woot-Benutzer mit Administrator-Rechten

Installieren von ClamAV

ClamAV ist ein Open-Source Anti-Malware-Toolkit mit plattformübergreifender Unterstützung. Es ist in den Repositories der meisten Linux-Distributionen verfügbar. Auf einem Debian-System kannst du ClamAV ganz einfach über den APT-Paketmanager installieren.

Führe zunächst den Befehl „apt“ aus, um deinen Debian-Paketindex zu aktualisieren.

sudo apt update

Repo aktualisieren

Installiere nun „clamav“ und andere Pakete mit dem unten stehenden Befehl. Gib „Y“ ein, um mit der Installation fortzufahren.

sudo apt install clamav clamav-daemon clamav-freshclam clamdscan

clamav installieren

In diesem Beispiel wirst du die folgenden Pakete installieren:

  • clamav: ClamAV Antiviren-Paket
  • clamav-daemon: Scanner-Daemon für ClamAV zum automatischen Scannen
  • clamav-freshclam: ClamAV-Dienstprogramm zur Aktualisierung der Virendatenbank-Signaturen und zur Integration in den Mailserver
  • clamdscan: Die Kommandozeilenschnittstelle für ‚clamav-daemon

Nachdem die Installation abgeschlossen ist, überprüfe den Status des ClamAV-Dienstes mit dem unten stehenden Befehl.

sudo systemctl is-enabled clamav-daemon
sudo systemctl status clamav-daemon

ClamAV konfigurieren

Nachdem du ClamAV installiert hast, musst du den Mirror konfigurieren und die Signaturdatenbanken aktualisieren. Anschließend musst du den Dienst „clamav-freshclam“ starten und aktivieren, um die automatische Aktualisierung der Malware-/Virensignaturdatenbanken zu ermöglichen.

Öffne die Konfigurationsdatei „/etc/clamav/freshclam.conf“ mit dem folgenden „nano“-Editor:

sudo nano /etc/clamav/freshclam.conf

Ändere die ‚DatabaseMirror‘-Konfiguration mit deinem Standard-Ländercode oder belasse die Konfiguration als Standard.

DatabaseMirror db.<country code>.clamav.net

Speichere die Datei und beende den Editor.

Führe nun den Befehl „freshclam“ aus, um deine Antiviren-Datenbank zu aktualisieren.

sudo freshclam

Datenbank aktualisieren

Sobald die Datenbank aktualisiert ist, führe den Befehl „systemctl“ aus, um den Dienst„clamav-freshclam“ zu starten und zu aktivieren. Der Dienst „clamav-freshclam“ wird deine Antiviren-Datenbank automatisch aktualisieren.

sudo systemctl enable --now clamav-freshclam

Überprüfe abschließend den Dienst „clamav-freshclam“ mit dem folgenden Befehl. Du wirst sehen, dass der Dienst läuft und aktiviert ist.

sudo systemctl status clamav-freshclam

Frischkalamendienst

Dateien und Verzeichnisse mit ClamAV scannen

Bis jetzt hast du ClamAV installiert und die Datenbanksignatur über den Dienst „clamav-freshclam“ konfiguriert. In diesem Abschnitt erfährst du, wie du Dateien und Verzeichnisse mit dem ClamAV-Befehl „clamscan“ scannen kannst.

Bevor du Dateien oder Verzeichnisse scannst, musst du sicherstellen, dass der Dienst „clamav-daemon“ läuft. Überprüfe ihn mit dem unten stehenden Befehl.

sudo systemctl status clamav-daemon

Wenn er läuft, siehst du eine Ausgabe wie „active(running)„.

clamav daemon status

Um die Datei mit ClamAV zu scannen, führst du den Befehl „clamscan“ gefolgt von dem Dateinamen wie folgt aus.

clamscan file.docx

Um ein Verzeichnis zu scannen, kannst du dem Verzeichnisnamen wie folgt folgen.

clamscan /home/

Jetzt kannst du den folgenden Befehl ausführen, um alle Ergebnisse mit dem Status „OK“ zu überspringen.

clamscan -o /home/

Oder du kannst dir mit der Option „-i“ nur die infizierte Datei anzeigen lassen.

clamscan -i /home/

Führe den folgenden Befehl aus, um das Verzeichnis rekursiv zu durchsuchen und infizierte Dateien auszugeben.

clamscan -i -r /home

Schließlich kannst du die Option „-r“ mit dem Parameter „–move“ verwenden, um infizierte Dateien in das Zielverzeichnis zu verschieben.

clamscan -i -r --move=/home/$USER/infected /home/

Automatisches Scannen mit ClamAV Daemon

ClamAV bietet automatische Scans über den Dienst „clamav-daemon“. Jetzt erfährst du, wie du den „clamav-daemon“ so konfigurierst, dass er deine Systemverzeichnisse wie „/home„,„/etc“ und „/var“ automatisch scannt.

Öffne die Konfiguration des ClamAV-Daemons „/etc/clamav/clamd.conf“ mit dem Editor „nano“.

sudo nano /etc/clamav/clamd.conf

Füge die unten stehende Konfiguration ein, um den automatischen Scan für Verzeichnisse wie „/home“, „/etc“ und „/var“ zu konfigurieren. Die Option „ScanOnAccess“ aktiviert den Echtzeitschutz durch „clamd“, um Dateien zu scannen, wenn auf sie zugegriffen wird.

ScanOnAccess yes
OnAccessIncludePath /home
OnAccessIncludePath /etc
OnAccessIncludePath /var

Speichere die Datei und beende den Editor, wenn du fertig bist.

Führe nun den Befehl„systemctl“ aus, um den Dienst „clamav-daemon“ zu starten und zu aktivieren.

sudo systemctl restart clamav-daemon

Überprüfe abschließend den Status des Dienstes „clamav-daemon„, um sicherzustellen, dass er läuft.

sudo systemctl status clamav-daemon

Unten siehst du, dass der Dienst „clamav-daemon“ läuft, was bedeutet, dass der ClamAV-Scan automatisch ausgeführt wird.

clamav daemon status

Fehlersuche bei ClamAV

Die Standard-Logdatei für ClamAV befindet sich in der Datei „/var/log/clamav/clamav.log„. Du kannst die Logdatei mit dem unten stehenden „tail“-Befehl überprüfen.

tail -f /var/log/clamav/clamav.log

Führe nun den Befehl „tail“ aus, um die Logdatei für den Dienst „freshclam“ zu überprüfen, der deine Antiviren-Datenbank automatisch aktualisiert.

tail -f /var/log/clamav/freshclam.log

Du kannst den Status des ClamAV-Dienstes auch mit dem Befehl „clamdtop“ überwachen.

clamdtop

Fazit

Herzlichen Glückwunsch! Du hast die Installation von ClamAV auf dem Debian 12 Server abgeschlossen. Außerdem hast du den „DatabaseMirror“ für ClamAV-Signaturen konfiguriert und den Befehl „freshclam“ kennengelernt, mit dem du Datenbanksignaturen über die Kommandozeile aktualisieren kannst. Als Nächstes hast du gelernt, wie du Dateien und Verzeichnisse mit ClamAV über den Befehl „clamscan“ scannst. Schließlich hast du einen automatischen Scan nach Viren und Malware mit ClamAV über den „clamav-daemon“ konfiguriert und gelernt, wie du ClamAV-Protokolle und -Prozesse überprüfen kannst.

Das könnte dich auch interessieren …