Ubuntu Weekly Recipe

第31回 アンチウイルスソフトウェアClamAVの活用(2)

この記事を読むのに必要な時間:およそ 3 分

havpのアクセス制限

havpはデフォルトではアクセス制限が行われておらず,他のPCからも利用できてしまいます。LAN内で利用するには問題がありませんが,グローバルIPアドレスが振られる環境では外部のユーザにも利用できてしまい,望ましくありません。

この動作を抑制するためには,/etc/havp/havp.configで設定を行います。⁠# BIND_ADDRESS 127.0.0.1」というコメントアウトされた行があるはずですので,行頭のコメント記号を除去してください。

設定変更後,次の操作を行います。

$ sudo lsof -i |grep havp
havp      12398  havp    4u  IPv4 23251309       TCP *:webcache (LISTEN)
havp      12399  havp    4u  IPv4 23251309       TCP *:webcache (LISTEN)
havp      12401  havp    4u  IPv4 23251309       TCP *:webcache (LISTEN)
※ havpプロセスが *:webcache で待ち受けていることを確認します。

$ sudo /etc/init.d/havp restart
※ havpを再起動します。

$ sudo lsof -i |grep havp
havp      18743  havp    3u  IPv4 23291773       TCP localhost:webcache (LISTEN)
havp      18744  havp    3u  IPv4 23291773       TCP localhost:webcache (LISTEN)
havp      18746  havp    3u  IPv4 23291773       TCP localhost:webcache (LISTEN)
※ havpプロセスが localhost:webcache で待ち受けていることを確認します。

再起動以前は*:webcacheで待ち受けていた(webcacheはTCP:8080を意味します)havpプロセスが,localhost:webcacheで待ち受けるようになることを確認してください。

新種のマルウェアを発見した場合

ClamAVではhttp://www.clamav.net/sendvirus/で,新種のマルウェアの検体を受け付けています(⁠⁠マルウェアの検体」とは,トロイの木馬やワームであればファイルそのものですし,ファイル感染型のウイルスであれば『ウイルスに感染したファイル』です。⁠⁠。もしClamAVでチェックできないマルウェアを見つけた場合は,上記のURLから検体を提供すると良いでしょう(できればClamAVだけでなく,商用アンチウイルスソフトウェアベンダーの検体受付にも送付すべきです⁠⁠。

ClamAVをターミナルから使う

ここまで色々な形でClamAVを使う方法を紹介してきましたが,ClamAVはターミナルから利用することもできます。簡単な使い方を説明しましょう。

まず,ClamAVが対応しているマルウェアの一覧は次のコマンドで出力できます。そのままでは出力量が非常に多いので,以下のようにlessに流し込むのが良いでしょう。

$ sigtool --list-sigs | less 

ClamAVの現在のパターンファイルバージョンを確認するには次のコマンドを用います。出力は「ClamAVそのもののバージョン/パターンファイルのバージョン/パターンファイルの更新日」です。

$ sigtool --version
ClamAV 0.92.1/7999/Sun Aug 10 20:05:47 2008

パターンファイルの更新はclamav-freshclamパッケージが導入されていれば自動的に実行されていますが,手動で実行することもできます。以下のようにfreshclamコマンドを実行してください。

$ sudo freshclam
ClamAV update process started at Mon Aug 11 01:08:43 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.92.1 Recommended version: 0.93.3
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cvd is up to date (version: 47, sigs: 312304, f-level: 31, builder: sven)
daily.cvd is up to date (version: 7999, sigs: 82973, f-level: 33, builder: ccordes)

実際のスキャンは次のコマンドで行えます。例では /tmp 以下をスキャン対象にしています。ディレクトリを対象にした場合,そのディレクトリ以下にある全てのファイルがスキャンされます。標準では1ファイルごとに結果が表示されてしまいますので,例では⁠OK⁠⁠Empty file⁠が含まれる行を表示しないように抑制しています。通常は「clamscan /tmp | egrep "FOUND|Infected"」とし,マルウェアに関する出力だけを得ても良いでしょう。

$ clamscan /tmp | egrep -v "OK|Empty file"
/tmp/eicar.com.txt: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 394242
Engine version: 0.92.1
Scanned directories: 1
Scanned files: 10
Infected files: 1
Data scanned: 0.03 MB
Time: 8.274 sec (0 m 8 s)

KlamAVなどのフロントエンドを用いない場合,これらのコマンドをcronに登録して自動実行するのが有効です。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。