在 EC2 Linux 操作系统上部署 ClamAV 并开启实时防护、集中日志采集和统一告警
在 EC2 Linux 操作系统上部署 ClamAV 并开启实时防护、集中日志采集和统一告警 日期: 2023-03-10 一、背景 计算机信息系统等级保护(俗称等保)的要求之一是应用服务器具有病毒防护手段,并定期升级病毒特征库。这个防护场景通常被称为Endpoint Detection and Response(EDR),也可简称终端防护。EDR一般是采用侵入性的防护方式。所谓侵入性意味着需要在EC2虚拟机内植入专门的Agent才可以进行安全防护。在亚马逊云科技上,可通过Marketplace方式订阅多个第三方厂家的EDR,也可以线下采购。 商用的EDR方案有完整的检测、识别、发现、预防、干预、强化、集中管控等一整套管理功能,不过相对带来的问题是成本较高。在一些非严格等保的场合,如果只是要求实现病毒扫描和防护能力,那么可使用本文介绍的ClamAV方案进行替代。 ClamAV是一个开源的引擎,用于检测病毒、木马、恶意软件和其他威胁。ClamAV支持Windows、Linux和MacOS等系统。Github官网在这里。ClamAV由Talos所有,后者又被Cisco收购,用于为Cisco供应威胁情报。ClamAV社区提供了免费的持续的病毒特征库升级。因此可实现一次部署,长期使用。 本文介绍如何在Amazon Linux 2操作系统上部署,其他系统如Ubuntu安装过程相仿请参考对应文档。 二、安装ClamAV并执行手工扫描 1、安装软件包 注意:ClamAV加载特征库和全盘扫描比较消耗CPU和内存资源,因此建议在不小于4GB内存的机型上安装部署。内存仅为1GB、2GB的机型运行速度可能较为缓慢,甚至出现部分时间假死的情况。 本文采用操作系统自带的软件源。执行如下命令安装。 yum update -y amazon-linux-extras install epel yum install clamav clamd -y 安装好的ClamAV有几个主要组成部分: clamscan:手工扫描程序 clamdscan:依赖后台服务的扫描程序 clamonacc:按需扫描程序(实时监控),对应配置文件 /etc/clamd.d/scan.conf clamd:按需扫描的后台进程,对应配置文件 /etc/clamd.d/scan.conf fleshclam:病毒库升级工具,对应配置文件 /etc/fleshclam.conf clamconf:配置文件生成工具 2、手工更新病毒库 首次安装后,必须先下载病毒库。执行如下命令更新病毒库: …