CentOS 8にmaldetect を導入しClamAV と連携させマルウェアの検疫を行う方法
今回はCentOS 8 にmaldetect を導入しセキュリティスキャンツールのClamAV と連携しマルウェアの検疫を行う方法について説明します。本記事は2020年6月5日現在の記事であり、現在ではOS のサポートが切れているため、手順などに違いがある可能性があるため、そのあたりを考慮の上確認をお願いします。
5 June, 2020
実施環境
OS | CentOS 8 最小限のインストール |
|---|---|
maldetect | 1.6.4 |
maldetectとは
maldetectはGNU GPLv2ライセンスの下で開発されたLinux用のマルウェアをスキャンし検疫するソフトウェアです。Windows等で使用されるウィルスバスターやカスペルスキーといったウィルス対策ソフトのLinux版のイメージです。最新のマルウェアに対応するためのシグネチャの更新やマルウェア検知時のメール通知等、Linuxサーバのセキュリティ対策に必要な機能があるため、セキュリティを高めるためにも導入しておきたいソフトウェアです。
事前準備
初めにmaldetectのソースファイルをダウンロード、展開するためにwgetとtarをインストールします。
# wget、tarをインストールする。
dnf -y install wget tarmaldetectのインストール
次にmaldetectのソースファイルを公式サイトからダウンロードし展開します。
# maldetectのソースファイルをダウンロードし展開する
cd /usr/local/src
wget https://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxf maldetect-current.tar.gzソースファイルのダウンロード後、フォルダ内のinstall.sh を実行します。インストール用のシェルスクリプト実行後は自動でインストールを行ってくれます。
# install.shを実行しmaldetectをインストールする
cd maldetect-1.6.4/
./install.shClamAVのインストール
今回はClamAVと連携を行うため、ClamAVをインストールします。ClamAVはepelリポジトリからインストールするため、epelリポジトリを先にインストールします。
# epelリポジトリをインストールしClamAVとinotify-toolsをインストールする
dnf -y install epel-release
dnf -y install clamav clamav-devel clamav-update inotify-toolsClamAVのインストール後、ClamAVをアップデートします。
# ClamAVをアップデートする
freshclamconf.maldetの設定
maldetect、ClamAVのインストール後、maldetectの設定をします。maldetectをソースインストールした場合の設定ファイルは/usr/local/maldetect/conf.maldetとなるため、conf.maldetを編集します。
# maldetectの設定ファイルを編集する。
vi /usr/local/maldetect/conf.maldet
■conf.maldet
E-mailアラートを有効にする
email_alert="1"
アラートを送信するメールアドレスを設定する
email_addr="hogehoge@example.com"
maldetectのcron.dailyを有効にする
cron_daily_scan="1"
ClamAVスキャンを有効にする
scan_clamscan="1"
検疫を有効にする
quarantine_hits="1"
マルウェア部分の文字列を削除する
quarantine_clean="1"
マルウェアの検出されたユーザーを無効にする
quarantine_suspend_user="1"
マルウェアの検出されたユーザーの無効時間を設定する
quarantine_suspend_user_minuid="500"------------------------------------------------------------サンプルウィルスのダウンロード
今回はmaldetectで意図的にマルウェアを検出させるため、eicarよりサンプルウィルスをダウンロードします。
# eicarからサンプルウィルスをダウンロードするcd /tmpwget https://secure.eicar.org/eicar.comもし、rootユーザーでサンプルウィルスをダウンロードした場合、conf.maldetのデフォルトではrootユーザーのファイルを無視する設定となっているため、ファイルの所有者等をテスト用の一般ユーザーに変更しておきます。今回はtestuserという一般ユーザーに変更します。
# サンプルウィルスの所有者を一般ユーザーに変更するchown testuser.testuser eicar.com今回はconf.maldetにてマルウェアを検出したユーザーを一時的に無効とする設定にしているため、マルウェア検出の確認を行う際は無効となっても問題ないユーザーで行ってください。
maldetectの起動、アップデート、スキャン
設定が一通り完了したらmaldetectを起動します。maldetect起動後、コマンドおよびシグネチャファイルのアップデートをします。
# maldetectを起動するsystemctl start maldet
maldetectのコマンドをアップデートする
maldet -d
maldetectのシグネチャファイルをアップデートする
maldet -umaldetectの起動、アップデートが完了したら、先程サンプルウィルスをダウンロードした/tmpファイルに対してスキャンを行います。
# /tmpに対しmaldetectでスキャンするmaldet -a /tmp# /tmpに対しmaldetectでスキャンするmaldet -a /tmp
Linux Malware Detect v1.6.4 (C) 2002-2019, R-fx Networks <proj@rfxn.com> (C) 2019, Ryan MacDonald <ryan@rfxn.com>This program may be freely redistributed under the terms of the GNU GPL v2
maldet(13880): {scan} signatures loaded: 17030 (14210 MD5 | 2035 HEX | 785 YARA | 0 USER) maldet(13880): {scan} building file list for /tmp, this might take awhile... maldet(13880): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6maldet(13880): {scan} file list completed in 0s, found 2 files...maldet(13880): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine... maldet(13880): {scan} scan of /tmp (2 files) in progress...maldet(13880): {clean} could not find clean rule for hit EICAR.TEST or file /usr/local/maldetect/quarantine/eicar.com.138411663 no longer exists. maldet(13880): {scan} processing scan results for hits: 1 hits 0 cleaned maldet(13880): {scan} scan completed on /tmp: files 2, malware hits 1, cleaned hits 0, time 17s maldet(13880): {scan} scan report saved, to view run: maldet --report 200601-2208.13880</ryan@rfxn.com></proj@rfxn.com>malware hitsの部分がマルウェアを検出した数となります。今回はサンプルウィルスのeicar.com をダウンロードしているため1件検出しています。
スキャンレポートの確認
スキャンレポートを確認するためには「scan report saved, to view run:」の後に記載されているコマンドを実行します。
# maldetectのスキャンレポートを表示するmaldet --report 200601-2208.13880# maldetectのスキャンレポートを表示するmaldet --report 200601-2208.13880
HOST: centos8-testSCAN ID: 200601-2208.13880STARTED: 6月 1 2020 22:08:21 +0900COMPLETED: 6月 1 2020 22:08:38 +0900ELAPSED: 17s [find: 0s]
PATH: /tmpTOTAL FILES: 2TOTAL HITS: 1TOTAL CLEANED: 0
FILE HIT LIST:{HEX}EICAR.TEST.3 : /tmp/eicar.com => /usr/local/maldetect/quarantine/eicar.com.138411663
Linux Malware Detect v1.6.4 < proj@rfxn.com >------------------------------------------------------------FILE HIT LISTの部分より、eicar.com が検疫されたことを確認できます。
検疫されたファイルの確認
検疫されたファイルは/usr/local/maldetect/quarantine 配下に移動します。移動されたファイルを確認すると、権限が無効化されていることが確認できます。
# 検疫されたeicar.comを確認するls -la /usr/local/maldetect/quarantine/# 検疫されたeicar.comを確認するls -la /usr/local/maldetect/quarantine/
----------. 1 root root 68 6月 1 22:08 eicar.com.138411663-rw-r--r--. 1 root root 187 6月 1 22:08 eicar.com.138411663.info