技術 - ClamAV安裝與使用說明－讓你的郵件主機也具有防毒能力

[Chin-Wei]

ClamAV安裝與使用說明

適用系統：　因為是使用 tarball 安裝，只要是 Linux 應該都行。

簡介： ClamAV 是在 Linux 上很有名的一套掃毒軟體，只要透過 sendmail 的 milter(mail filter) 機制，就可以把 sendmail 和 ClamAV 綁在一起。當其他 Mail Server 與你自己的 sendmail 建立 SMTP Session 時(就是收信的時候)，senamail 會呼叫 ClamAV 來進行掃毒，並視需要進行退信或丟棄該信件。

註：你也可以使用 YUM 來安裝，會方便很多，但這就像 windows 的 "Next"。當凸鎚的時候，你知道怎麼解決嗎？



1.至ClamAV官網下載source code。
http://www.clamav.net/ -> Download -> stable




2.為了安裝clamav-milter，必須要先下載sendmail的source code(看server上裝的是哪一個版本，就下載哪個版本)，然後編譯與安裝libmilter。
http://www.sendmail.org/ftp/
cd ./sendmail-8.13.x/libmilter
./Build
make install




3.建立所需的使用者、群組，與設定檔、LOG檔所在目錄
useradd clamav (記得把shell改成/sbin/nologin)
mkdir /etc/clamav
mkdir /var/log/clamav
mkdir /var/run/clamav
chown clamav.clamav /etc/clamav
chown clamav.clamav /var/log/clamav
chown clamav.clamav /var/run/clamav
chmod 700 /etc/clamav
chmod 700 /var/log/clamav
chmod 700 /var/run/clamav



4.編譯與安裝clamav與clamav-milter
cd ./clamav-0.88.7
./configure --sysconfdir=/etc/clamav --enable-milter --disable-zlib-vcheck
make
make install



5.修改clamav的設定檔(/etc/clamav/clamd.conf)
#Example
LogFile /var/log/clamav/clamd.log
LogFileMaxSize 200M
LogTime
PidFile /var/run/clamav/clamd.pid
TemporaryDirectory /tmp
DatabaseDirectory /usr/local/share/clamav
LocalSocket /var/run/clamav/clamd
User clamav
AllowSupplementaryGroups



6.修改freshclam的設定檔(/etc/clamav/freshclam.conf)
#Example
DatabaseDirectory /usr/local/share/clamav
UpdateLogFile /var/log/clamav/freshclam.log
PidFile /var/run/clamav/freshclam.pid
DatabaseOwner clamav
AllowSupplementaryGroups
DatabaseMirror db.tw.clamav.net



7.修改sendmail.mc，讓sendmail使用clamav-milter
在OSTYPE之後，MAILER之前加入：
INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clamav/clmilter.sock,F=, T=S:4m;R:4m')dnl
define(`confINPUT_MAIL_FILTERS', `clmilter')dnl

要記得重新啟動sendmail。



8.啟動clamd、freshclam、clamav-milter
clamd
-->chown clamav.clamav /var/log/clamav/clamd.log
(不然clamav-milter會無法啟動)

freshclam -d(daemon模式)
clamav-milter --noreject --local --outgoing --max-children=50 --quiet local:/var/run/clamav/clmilter.sock --pidfile=/var/run/clamav/clmilter.pid

要記得重新啟動sendmail。



9.開機後自動啟用clamav，須修改/etc/rc.local
/usr/local/sbin/clamd
chown clamav.clamav /var/log/clamav/clamd.log
/usr/local/bin/freshclam -d
/usr/local/sbin/clamav-milter --noreject --local --outgoing --max-children=50 --quiet local:/var/run/clamav/clmilter.sock --pidfile=/var/run/clamav/clmilter.pid

註：
freshclam -d：daemon模式
若是沒有將clamd.log的權限改為clamav使用者可以存取，則clamav-milter會無法啟動。



10.在/etc/logrotate.d/clamav(自己新增這個檔案）
/var/log/clamav/freshclam.log /var/log/clamav/clamd.log {
missingok
create 644 clamav clamav
postrotate
　/bin/kill -HUP `cat /var/run/clamav/clamd.pid 2> /dev/null` 2> /dev/null
|| true
　/bin/kill -HUP `cat /var/run/clamav/freshclam.pid 2> /dev/null` 2> /dev/null
|| true
endscript
}




============================================================
clamav-milter 常用的啟動參數：
--postmaster-only：如果沒有使用 --quiet 的參數，發現有毒的信件，發信通知管理員(postmaster)。
--local：掃瞄由區網送來的信件。
--outgoing：掃瞄由外面送進來的信件。
--max-children=50：可啟動掃毒程序數的上限，如果達上限時會停止一分鐘再繼續。
--noreject：掃瞄到有毒的信件時直接刪除 (discard)。
--quiet：不發出任何警示信件，這個選項會讓 --bounce 和 --postmaster-only 失效。
--pidfile=FILE：指定pid檔案存放的地點。

[飛鳥]

http://www.mailscanner.info/downloads.shtml

mailscanner又有新版本了，不知道要怎麼升級，有空k一下q&a

[Chin-Wei]

本來想用 tarball 安裝 mailscanner,但是沒想到居然有這麼多的相依套件 =.=
(等偶一個一個裝完可能都民國100年了 )

引用:

POSIX (ships with perl 5)
Sys::Syslog (ships with perl 5)
Net-CIDR (I used version 0.08)
IO-stringy (I used version 2.108)
MIME-Base64 (I used version 2.12)
MailTools (I used version 1.50)
File-Spec (I used version 0.82)
HTML-Tagset (I used version 3.03)
HTML-Parser (I used version 3.26)
MIME-tools with an important security patch,
and a 2nd important security patch,
and a 3rd important security patch,
and a 4th important security patch
(version 5.411, I used version 5.411 and I advise against any of the newer versions)
Note: To make life easier for you, here is a copy already patched.
File-Temp (at least version 0.12)
Convert-TNEF (at least version 0.17)
Net-CIDR
Compress-Zlib
Archive-Zip
Convert-BinHex

好家在作者有提供速成安裝法: install.sh
根本就是windows 的setup了嘛 XXXXDDDDDDDD
很好用,不過有點小問題,不知道它抓不抓得到偶用 tarball 裝的 clamav =.=
試試看.....不然的話,就要去抓 src.rpm 回來 compile =<>=




==
實在是很不想重裝 clamav,milter都設好了說
反正 procmail + spamassassin + clamd + clamav-milter + sendmail + dnsbl 好像也不錯，就此打住？

考慮一下XD

[飛鳥]

Chin-Wei大大沒用yum套件嗎，FC和RH系列可自動線上安裝新套件

也會自動上網找相依套件裝完

[Chin-Wei]

引用:

作者: 飛鳥

Chin-Wei大大沒用yum套件嗎，FC和RH系列可自動線上安裝新套件
也會自動上網找相依套件裝完

有....

前一陣把手上所有的機子全換成了 CentOS ^^a
很好用，感謝阿鳥老大的推薦 <(_ _)>
CentOS 的 yum repo，尤其是 centosplus，真是好用，可以直接把 MySQL 升到 5.0 系列，讓我不用痴痴等待 RHEL 5 上市。但如果時間允許的話，小老弟偏好使用 tarball 安裝
因為這樣子比較容易掌握狀況，雖然要啃man很累，但是出包的時候通常都可以很快就找到問題；若是用yum，因為太方便，打一個指令就什麼都裝到好了，反而搞不清楚來龍去脈。常常會看到有人在Linux 專業論壇問一些明明manual就有寫的問題，就是因為yum太方便....。結果大家都很會安裝，就是不會trouble shooting = =+

但是yum又真的很方便，總之小老弟是只有在遇到怪獸級的軟體安裝時(eg. mysql)，才會搬出yum repo，在能力範圍內，小老弟偏好使用 tarball 安裝 ^ ^



tarball 才是王道

[Chin-Wei]

Sendamil+MailScanner+Camav+SpamAssassin 終於裝起來了XD
但是對於MailScanner的設定還不熟悉,先啃完man再來決定要怎麼佈署到server上

http://www.mailscanner.info/MailScanner.conf.index.html

http://www.fsl.com/support/MailScann...sion-1.0.5.pdf



==
與spam的戰爭,依然持續中 = =+

[飛鳥]

加油

spam只是評分，通常是被呼叫的

#spamassassin -t /tmp/123.txt

像用spamassassin -t指令就可呼叫spam作評分

會出現各評分條件分數

先做一個文字檔在/tmp/123.txt

引用:

1231231231231
tall me name

使用spamassassin

引用:

# spamassassin -t /tmp/123.txt
X-Spam-Checker-Version: SpamAssassin 3.1.0 (2005-09-13) on windmusic.com.tw
X-Spam-Level: ****
X-Spam-Status: No, score=4.4 required=5.0 tests=BAYES_50,MISSING_HB_SEP,
MISSING_SUBJECT,NO_RECEIVED,NO_RELAYS,TO_CC_NONE autolearn=no
version=3.1.0
1231231231231
tall me name
Spam detection software, running on the system "xxxxx.com.tw", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
y for details.

Content preview: [...]

Content analysis details: (4.4 points, 5.0 required)

pts rule name description
---- ---------------------- --------------------------------------------------
-0.0 NO_RELAYS Informational: message was not relayed via SMTP
2.5 MISSING_HB_SEP Missing blank line between message header and body
0.0 BAYES_50 BODY: Bayesian spam probability is 40 to 60%
[score: 0.5298]
1.8 MISSING_SUBJECT Missing Subject: header
-0.0 NO_RECEIVED Informational: message has no Received headers
0.1 TO_CC_NONE No To: or Cc: header

[Chin-Wei]

感謝阿鳥老大的指導 ^^a

自己啃man學雖然可以掌握到個大概，但大部份的man都寫的很不人性化，都是以作者(hacker)自己的角度來寫說明文件，很多東西都會假設這是你應該要知道的，當遇到不懂的東西就只好自己上google狂查資料 XD

以下這二篇是偶目前看到 "最簡易" 的安裝教學，有需要的版友可參考看看：

http://phorum.vbird.org/viewtopic.ph...sassin&start=0

http://cha.homeip.net/blog/archives/...il_mailsc.html


==

MailScanner 的 Manual 終於啃完了....



準備把它部署到測試機上test一下，沒問題再部署到正式的機子上



BUT，man 有幾個地方搞不太懂，可能要再試一下。就是那個：
Still Deliver Silent Viruse = no
Deliver Cleaned Messages = yes

結果偶測試寄病毒信還是會被discard掉(丟進/dev/null)
不管它，反正不重要XXXXXDDDDDDD

[Chin-Wei]

剛才檢查了一下之前佈署的 sendmail+clamd+clamav-milter+dnsbl+spamassassin
成效還不錯,才二天就discard 掉 5000 千多封spam,掃掉500多封病毒信。
真是無法想像以前是怎麼在沒有anti-spam機制下生存下來的XXXDDDDD

[飛鳥]

MailScanner有好幾個相關設定檔要注意的

不允許通過的附件的副檔名-設定檔(可禁止寄公司機密文章檔,ex:doc,pdf,xls....)
filename.rules.conf

不允許通過的附件的檔案類型-設定檔(可禁止寄影片檔)
filetype.rules.conf

不會被設成廣告信的寄件者名單-(像電子報的)
rules/spam.whitelist.rules
這是在MailScanner.conf裡設呼叫的檔案路徑

引用:

作者: MailScanner.conf

Is Definitely Not Spam = %rules-dir%/spam.whitelist.rules

那一樣可設一定是spam來源domain
spam.lists.conf

多設這幾個，對是不是廣告信，是不是危險檔案，更能一手掌握

[Chin-Wei]

阿鳥老大真是未卜先知啊

小老弟剛才在測試的時候，就出了類似的狀況。
偶從自己的server寄出去的信居然被打上 "{這可能是廣告信}" = =+
再測試寄病毒，果然也是被打上 "{這可能是病毒}"" XXXDDDDD
真是無言........

現在正在試看能不能讓 MailScanner 只過濾 Incoming Mail，不過濾Outgoing Mail
但好像不能，只能夠對各別的偵測項目寫白名單
but，項目很多耶
每個都要改白名單啊....XXXXXXXXDDDDDDDDDDD




==
man 好像說舊版的有類似選項可以用，新版的就取消了，只能改用白名單

[Chin-Wei]

已經佈署完畢,只剩下最後一點小問題: 貝氏演算法的 database 有辦法合併嗎?

不然每台 mail server 都要各別 train 過,很沒效率。不知有無方法可以將多台 mail server 的 bayes database 整合起來 ^^

hint:
NFS + bayes_path ????????

[Chin-Wei]

Re:Bayes question
http://article.gmane.org/gmane.mail.....general/60376

引用:

Now, that being said, lets say you did an analysis and found that the
two databases had no overlap, or at least very little (I have no idea
what very little would mean in this case). You could probably
convince yourself, and it's math and statistics so I'm horrible at it
but I'd beat some folks on this list could provide a formula, that the
amount of overlap is statistically insignificant. If you could do
that then you could combine the databases, in which case I leave it as
an exercise to the reader.

找到這一篇，作者說最好不要這樣搞.... XXXXDDDD

只好乖乖地 train 每台機器 = =+

[飛鳥]

我小公司，一台sendmail就夠用

如果是多台，我會寫shell scripts

用scp指令，每更新一次，就執行一次這個shell scripts，做list檔的同步，這樣就方便多了

(ps:唉~忙公司的電話系統中……)

[Chin-Wei]

引用:

作者: 飛鳥

我小公司，一台sendmail就夠用
如果是多台，我會寫shell scripts
用scp指令，每更新一次，就執行一次這個shell scripts，做list檔的同步，這樣就方便多了
(ps:唉~忙公司的電話系統中……)

雖然小老弟手上有三台 mail server 要處理，但其實真正重要的也是只有其中一台
另外二台使用率低，不特定去train應該也沒關係
總之，決定 bayes_auto_learn 給它 ON
(讓它自動學習 )


阿鳥老大怎麼會在忙電話系統呢？難道是 Service Center




==
原先的目標：
Sendamil+MailScanner+Camav+SpamAssassin+DNSBL+gray-list

就剩下一個 gray-list，把這個搞定，小老弟的Anti-Spam戰線就算是完全建立完成了。估計是要從sendmail 的milter 著手，比較麻煩的是在MailScanner把sendmail分成二個Process，不知道針對不同的process是否要套用不同的設定檔?(一個加掛milter、一個不要，不然MailScanner發出去的信可能也會被曙光三百秒......)

[Chin-Wei]

安裝 MailScanner-MRTG 中，但是有些圖形跑不出來 and BOSS 說要偶用一台機器監控全部的server..... XXXXDDDDDD

看了一下 MailScanner-MRTG 的設定檔，有點小複雜；要用一台監控全部似乎不容易，要研究一下。因為小老弟對 SNMP protocol "完全不熟"，所以之前是用 Bash + Apache + ACL，自己想辦法work around，硬是用一台機器監控所有的server，包含cpu,ram,load,http線上人數，apache負載，流量等 = =+

看了看 MailScanner-MRTG 的設定檔，似乎是採用 SNMP 協定取得相關資料，難到接下來要開始啃 SNMP 的 Manual ？





==
與spam的奮戰，似乎還不到落幕的時候 = =+