Linuxでよく利用されるOSSのウィルスチェックソフトであるClamAVでは、他のウィルスチェックソフトと同様にリアルタイムスキャン(オンアクセススキャン)を行うように設定できる。 設定方法は簡単で、ClamAVの設定ファイルである「/etc/clamd.d/scan.conf(/etc/clamd.conf)」にて以下の内容を追記するだけだ。 (前提として、すでにClamAVのデーモンでのインストール・設定ができているものとする)
/etc/clamd.d/scan.confScanOnAccess yes OnAccessIncludePath /オンアクセススキャンをするPATH1 OnAccessIncludePath /オンアクセススキャンをするPATH2 ...
デフォルトではDDDが有効になっているはずなので、再帰的にスキャンを行ってくれるはずだ(ただ、「/」を指定するのはできない様子)。 上記設定追記後、ClamAVのサービスを再起動してやる(と同時に、SELinuxのポリシーも定義しておく)。
setsebool -P antivirus_can_scan_system 1
systemctl restart clamd@scan
あとは、ウィルス発見後は都度ログを出力してくれるようになる。 (削除はしてくれない様子)
Fri Dec 23 16:05:18 2016 -> ScanOnAccess: /opt/eicar.com: Eicar-Test-Signature FOUND
Fri Dec 23 16:05:18 2016 -> ScanOnAccess: /opt/test/eicar.com: Eicar-Test-Signature FOUND
SyslogサーバとしてGraylogなどを導入していれば、とりあえずログからSlackにアラートを発報させることもできるので、まぁ削除されなくても問題ないだろう。