Linux MINTで平和に過ごしております。セキュリティ対策の基本方針として「ソフトウェアをきちんとアップデートするから、ウィルス対策アプリなんて要らん。ノーガード戦法や」ということにしていましたが、今頃になって「いかがなものか…」という気がしてきて、ようやく重たい腰をあげて ClamAV を利用することにしました。
今回自分でやってみて分かりましたが、導入/構成がこれほど大変だとは思いもしませんでした。まぁ、その「大変さ」の多くは自分の知識/技術が足りてないせい、ではありますが…。
Ubuntuにパッケージが準備されているので導入自体は簡単な話です。問題は「きちんと動かすこと」でして、これがまぁ、手数が多いうえに思った通りの結果にならずにナンギしました…。
OnAccess Scanもバッチ一括のフルスキャンも、基本的には以下のページに書いてある通りに実施しました。
Setting up ClamAV - GitHub
https://gist.github.com/johnfedoruk/19820540dc096380784c8cf0b7ef333b
この中で示されているscan.shの内容が一部間違ってて上手く動作しなかったので、以下の赤字の箇所を手直ししました。
また、ウィルス検知した時の通知とは別に、一括検査が終了した時に結果をメール通知するようにしました(その為に Postfix/dovecotまでインストール/設定しましたがな…)。日常運用的に問題が無くなってきたらメール通知は止めてしまうつもりです。
OnAccess Scanですが、説明通りに設定して実行すると猛烈なパフォーマンス悪影響で「こりゃダメや」となりました。チューニングして問題回避する(or症状緩和する)余地は何かあるんだろうと思いますが、他にやることがいっぱいあるので後回しにして、とりあえず、OnAccessPrevention false として逃げました。
OnAccess Scanが想定通りに機能させれたら定例的な一括検査はするつもりは無かったんですが、そうではなくなったので日次でフルスキャンをかけるようにしました。/proc, /devなど一部ディレクトリを除外しつつ / からのフルスキャン。普通に端末を使ってる裏でフルスキャンをかけてみましたが、端末操作に気になる影響は無く、ざっと2時間ほどでスキャン完了するので、まぁ、ヨシとしました。
今回導入したClamAVは v0.103.8ですが、バグが原因なのか妙なエラーやワーニングが山ほどログに記録されており、パッケージのアップデートが待たれます(と他力本願)。「そもそも」という話でいけば、VirusEvent が全く機能しないのはこの手のプロダクトとして「いかがなものか」という気がします。
OnAccess Scanのパフォーマンス影響の対策、clamd.confの整理整頓、など宿題が残っていますが、ぼちぼち対処していくことにします。
0 件のコメント:
コメントを投稿