etchでリアルタイムウィルススキャン(dazuko + clamav -> dazuko + avira antivir)

debian linux

linuxでもリアルタイムスキャンが必要だよねということで。
当初、dazuko + clamavオープンソースな組合せを予定してましたがClamukoが起動せず、dazuko + avira antivirに変更しました。

dazuko

dazukoのサイトにあるdebパッケージを使ってインストール。
ダウンロードはここから。

$ sudo aptitude install module-assistant
$ sudo dpkg -i dazuko-source_2.3.3-1_all.deb
$ sudo m-a a-i dazuko

capabilitiesモジュールがビルドされてないよと怒られました。

verifying capabilities are not built-in... built-in :(
error: capabilities are built-in to the kernel:
you will need to recompile a kernel with capabilities
as a kernel module
make[1]: *** [kdist_config] エラー 1
make[1]: ディレクトリ `/usr/src/modules/dazuko' から出ます
make: *** [kdist_build] エラー 2


どうやら、etchカーネルのcapabilityesモジュールは、dazukoのロードを許可してないようです。(Johnさん情報)
そういえば、dazuko-sourceパッケージがetchからなくなってました。dazukoはいらないってことでしょうか???


dazukoを使うには、

  1. カーネル再構築
  2. 手動でdazukoをビルド

のいずれかとなるようです。迷わず、dazukoのビルドを選択。


Johnさんがビルド方法も記載していますが、私の環境ではmake時にエラーがでたのでconfigureオプションを追加しました。
make時のエラー。

scripts/Makefile.build:17: /usr/src/linux-headers-2.6.18-6-amd64/scripts/basic/Makefile: そのようなファイルやディレクトリはありません
make[3]: *** ターゲット `/usr/src/linux-headers-2.6.18-6-amd64/scripts/basic/Makefile' を make するルールがありません. 中止.
make[2]: *** [scripts_basic] エラー 2
CHK include/linux/version.h
make[1]: `include/asm' は更新済みです
scripts/Makefile.build:17: /usr/src/linux-headers-2.6.18-6-amd64/scripts/basic/Makefile: そのようなファイルやディレクトリはありません
make[2]: *** ターゲット `/usr/src/linux-headers-2.6.18-6-amd64/scripts/basic/Makefile' を make するルールがありません. 中止.
make[1]: *** [scripts_basic] エラー 2
make[1]: ディレクトリ `/usr/src/linux-headers-2.6.18-6-amd64' から出ます
make: *** [dummy_rule] エラー 2

以下の方法でビルドしました。

$ tar xzvf dazuko-2.3.4.tar.gz
$ cd dazuko-2.3.4
$ ./configure --enable-syscalls --mapfile=/boot/System.map-2.6.18-6-amd64 --without-dep
./configure successful
$ make
$ su
$ sudo make test
/sbin/insmod ./dazuko.ko
/sbin/rmmod dazuko
--> test successful :)
$ sudo make install

ロードします。

$ sudo modprobe dazuko
$ sudo lsmod | grep dazuko
dazuko                 47904  0

ロード時にwarningがでてますがロードできているようなので、/etc/modulesにdazukoを追加。
warningメッセージ。

kernel: dazuko: warning: using local __dpath() dangerous for SMP kernels

clamav

debian-volatileのパッケージを使ってインストール。
1. /etc/apt/sources.listに、以下のサイトを追加

deb http://ftp2.jp.debian.org/debian-volatile etch/volatile main contrib non-free
deb http://ftp2.jp.debian.org/debian-volatile etch/volatile-sloppy main contrib non-free

2. インストール

$ sudo aptitude update
$ sudo aptitude install clamav clamav-daemon

3. 設定

$ sudo dpkg-reconfigure clamav-base 
$ sudo dpkg-reconfigure clamav-freshclam

4. clamuko設定
clamukoは、dazuko + clamavで使用可能になるclamdのリアルタイムスキャン機能です。(Clam Antivirusに関するメモ)
/etc/clamav/clamd.confに、以下の設定を追加。

ClamukoScanOnAccess yes
ClamukoScanOnOpen yes
ClamukoScanOnClose yes
ClamukoScanOnExec yes
ClamukoIncludePath /
ClamukoExcludePath /proc

5. clamd起動
clamdを起動すると、「Clamuko is not available.」というログが出力され、clamukoが起動しませんでした。。
/dev/dazukoの確認、clamdの起動をrootで行うなど、あやしいところは試してみましたが解決せず。
ということで、avira antivirに変更しました。


続きは、次回。。。


http://www.dazuko.org/indexold.shtml
ClamavNet
Clam Antivirusに関するメモ