Progetto #21: Antivirus per Linux con ClamAV su Raspberry PI

HomeTutti gli articoli...Progetto #21: Antivirus per Linux con ClamAV...
Guide e Tutorials, Progetti, Sicurezza 0Comments

In questa guida, ti mostreremo come configurare il miglior Antivirus per GNU/Linux sul tuo Raspberry Pi (o qualsiasi altro computer/board che esegua una distro GNU/Linux) utilizzando il software ClamAV.

ClamAV è un popolare motore antivirus gratuito e open source progettato per rilevare un’ampia varietà di minacce su sistemi basati su Unix come Raspberry PI OS, Debian e Ubuntu.

Utilizzando ClamAV sul tuo Raspberry Pi, sarai in grado di eseguire la scansione del dispositivo alla ricerca di trojan, virus, malware e altre minacce dannose.

Anche se i sistemi Linux sono in genere erroneamente considerati non vulnerabili ai virus, è comunque bene tenere d’occhio il sistema.

L’utilizzo di un antivirus è particolarmente utile se si utilizza Raspberry Pi per ospitare file accessibili da altri dispositivi.

Ad esempio, se si utilizza Raspberry Pi come NAS o si ospita un server Owncloud o Nextcloud.

Requisiti

Come al solito, elenchiamo di seguito le componenti richieste raccomandate:

  • Raspberry PI (dal modello 1 A in poi, va bene qualsiasi modello, basta che ci sia sopra una distribuzione GNU/Linux) o equivalente;
  • Scheda SD / micro-SD da almeno 8 GB;
  • Connettività internet via LAN o Wi-Fi.

Installare ClamAV su GNU/Linux

In questa sezione, ti mostreremo come installare il software ClamAV Antivirus sul tuo Raspberry Pi o qualsiasi altro computer che esegua una distribuzione basata su Debian.

1. Prima di configurare il software antivirus sul nostro Raspberry Pi, dobbiamo aggiornare l’elenco dei pacchetti.

È possibile aggiornare l’elenco dei pacchetti eseguendo il seguente comando:

sudo apt update

2. Dopodiché, grazie ad APT, saremo in grado di installare ClamAV in maniera semplice e veloce, scaricandolo dai repository software della nostra distribuzione GNU/Linux.

Procediamo quindi eseguendo il comando sottostante:

sudo apt install clamav -y

Quando ClamAV viene installato, imposterà automaticamente un servizio che aggiornerà il suo database di virus ogni ora.

È possibile aumentare o diminuire la frequenza di controllo degli aggiornamenti delle definizioni antivirus utilizzate da ClamAV, qualora fosse necessario.

Eseguire una scansione antivirus su GNU/Linux

In questa sezione, ti guideremo nell’utilizzo del software ClamAV per effettuare la scansione dei file sul Raspberry Pi o qualsiasi altra board/computer sulla quale hai installato questo software.

Introduzione a clamscan

Grazie a ClamAV, il processo di scansione è molto semplice, tramite il comando “clamscan“.

Per eseguire una scansione, digitiamo semplicemente:

clamscan

In questo modo verrà eseguita la scansione della /home ad un livello molto superficiale (nessun check ricorsivo).

Scansione ricorsiva di file e directory

Possiamo anche eseguire il comando clamscan scansionando la nostra directory home ricorsivamente.

Tutto quello che dobbiamo fare è aggiungere il parametro -r dopo il comando clamscan

clamscan -r

Scansionare più directory

È possibile specificare più directory e file su cui effettuare la scansione tramite ClamAV. Il comando è sempre il solito, semplicemente andremo a specificare più percorsi.

Ad esempio, se vogliamo scansionare tutte le directory home e la nostra directory di mount, possiamo usare il seguente comando:

clamscan -r /home /mount

Rimozione automatica dei file infetti

Se volessi far rimuovere a clamscan eventuali virus rilevati sul tuo Raspberry Pi in maniera automatica, puoi utilizzare l’opzione --remove.

N.B: Attenzione, poiché con questa opzione, eventuali file considerati infetti verranno eliminati definitivamente e non saranno quindi recuperabili.

clamscan -r --remove /home /mount

Spostamento automatico dei file infetti in quarantena

In alternativa, se desideri che il software antivirus sposti i file rilevati piuttosto che rimuoverli, puoi utilizzare un’opzione aggiuntiva.

Per spostare i file, è possibile utilizzare il parametro --move=/DIRECTORY/ in cui /DIRECTORY/ rappresenta la directory in cui si desidera spostare i file (sostanzialmente rappresenterebbe la nostra quarantena).

Questa opzione sposterà i file rilevati in una directory che agirà da quarantena, in cui potremo verificare che non ci siano falsi positivi.

clamscan -r --move=/quarantine/ /home /mount

Segnalare i file infetti e basta

Per rendere le cose un po’ più pulite, puoi dire al motore antivirus di limitarsi a segnalare i file infetti.

Per fare questo, tutto quello che dobbiamo fare è aggiungere il parametro -i. Questa opzione fa sì che lo scanner ci indichi in output solo i file infetti.

Di seguito abbiamo un esempio di combinazione di questa opzione con l’opzione ricorsiva:

clamscan -ri /home/

Scansione antivirus automatica su GNU/Linux

In questa sezione, ti mostreremo come puoi impostare un cronjob per la ricerca di virus ogni giorno, in maniera automatica.

1. Per eseguire il software antivirus sul nostro Raspberry Pi ogni giorno, creeremo un piccolo script che andrà ad effettuare il log della scansione (fornendoci quindi la possibilità di mantenere un registro delle scansioni) e ci permetterà anche di impostare quali directory scansionare.

Iniziamo quindi a scrivere questo script bash eseguendo il seguente comando:

sudo nano /root/checkvirus.sh

2. All’interno di questo script, inseriamo le seguenti righe di codice.

Questo script che scriveremo è abbastanza semplice, quindi dovrebbe essere facile estenderlo ulteriormente in base al tuo utilizzo.

#!/bin/bash

La prima riga è quella che fa capire che questo è uno script Bash, conseguentemente qualsiasi cosa invocherà il nostro script, dovrà lanciarlo con Bash.

LOGNAME="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";

La seconda riga crea la variabile chiamata LOGNAME. All’interno di questa variabile imposteremo il percorso in cui salveremo i log delle scansioni antivirus, oltre al nome che avrà il file (nel nostro caso, “clamav-<anno-mese-giorno>”).

DIRTOSCAN="/home";

Nella terza riga, specifichiamo la directory che vogliamo scansionare con ClamAV tramite la variabile DIRTOSCAN. Per i nostri scopi, questa directory sarà la /home.

clamscan -ri "$DIRTOSCAN" &>"$LOGNAME";

Infine, inseriamo il comando clamscan con i parametri che attivano la ricorsione (-r) e la segnalazione di eventuali infezioni rilevate (-i).

Passiamo attraverso la variabile DIRTOSCANla cartella su cui eseguire la scansione e utilizziamo l’operatore di re-indirizzamento per salvare l’output del comando nel nostro file di log.

Il file di log è memorizzato nella variabileLOGNAME.

3. Una volta inserito tutto il codice, il risultato finale dovrebbe essere così:

#!/bin/bash
LOGNAME="/var/log/clamav/clamav-$(date +'%Y-%m-%d').log";
DIRTOSCAN="/home";

clamscan -ri "$DIRTOSCAN" &>"$LOGNAME";

Procediamo quindi salvando il file e uscendo dall’editor, premendo CTRL + X seguito da Y  e quindi  ENTER.

4. Con lo script creato, modifichiamo il crontab per eseguirlo una volta al giorno.

Eseguiremo lo script come utente root, in modo tale da assicurarci di avere abbastanza privilegi per leggere tutti i file all’interno della directory home.

sudo crontab -e

Se ti venisse chiesto quale editor vuoi utilizzare, ti consigliamo di selezionare nano.

5. Nel crontab, scorriamo fino in fondo al file e aggiungiamo la seguente riga.

Questa linea eseguirà il nostro script bash, ogni giorno a mezzanotte.

0 0 * * * bash /root/checkvirus.sh

Una volta fatto, salviamo il file e usciamo, premendo CTRL + X seguito da Y e quindi ENTER.

A questo punto, dovresti aver installato con successo il software antivirus ClamAV sul tuo Raspberry Pi o su qualsiasi altro dispositivo che esegua una distribuzione GNU/Linux basata su Debian.

Se hai riscontrato problemi con l’installazione del software, hai domande o altro, lascia pure un commento qui sotto.

Tags: , , , , , , , , , , , ,

Rispondi