摩托學園討論區

[ccy234]

這是我個人最近安裝vscan-clamav與samba的筆記，提供參考，請不吝指教。

Sarge 下 安裝 vscan-clamav 用clamav-daemon進行samba server上掃毒

0. 準備工作:

以aptitude 或 apt-get 正常安裝samba 與 clamav-daemon。
記得configure calmd 時設定是使用LocalSocket來掃毒。
根據vscan-clamav/INSTALL, samba>=2.24或3.0以上預設的binary便已支援vfs所以不須重新編譯。


1.首先將所需source code download後放置在 /usr/local/src 目錄下

samba-vscan-0.3.6.tar.bz2 主程式 ( http://www.openantivirus.org/projects.php )
samba-3.0.14.tar.gz samba 原始檔 ( http://samba.org )
(因為安裝的是samba的binary code 但是samba-vscan的編譯仍需要samba source code提供一些函式庫。)
(Sarge的套件雖是samba 3.0.14a, 但因在make samba-vscan時會出現version只能是integer的error, 就算configue時加了--with-samba-version=3.0.14 一樣無效, 所以我用3.0.14的source code代替就沒問題了。)


2.解壓縮、編譯samba

cd /usr/local/src/
tar zxvf samba-3.0.14.tar.gz
cd smaba-3.0.14/source
./configure
make headers


3.解壓縮、編譯samba-vscan

cd /usr/local/src/smaba-3.0.14/examples/VFS
tar jxvf /usr/local/src/samba-vscan-0.3.6.tar.bz2
cd samba-vscan-0.3.6
./configure
make clamav


4. 安裝samba-vscan

cp vscan-clamav.so /usr/lib/samba/vfs

cd clamav
cp vscan-clamav.conf /etc/samba


5.編輯 /etc/samba/smb.conf ,在要掃毒的分享項目,加入掃毒的參數

#在要掃毒的分享項目,開放部份samba上存檔時的預設權限
create mask = 0755
directory mask = 0755

#再加入下列兩行
vfs object = vscan-clamav
vscan-clamav: config-file = /etc/samba/vscan-clamav.conf


6.編輯 /etc/samba/vscan-clamav.conf 檔案

#設定直接刪除感染病毒的file
將
infected file action = nothing
改成
infected file action = delete

#設定clamd的socket位置與記錄掃毒的過程
將
clamd socket name = /var/run/clamd
verbose file logging = no
修改為
clamd socket name = /var/run/clamav/clamd.ctl
verbose file logging = yes


5.重新啟動 samba
/etc/init.d/smb restart


6. 測試
可以download eicar的測試檔案 (http://www.eicar.org/anti_virus_test_file.htm)
透過samba存入share出的directory
會發現檔案一存入就消失(因為設定處理方式是delete)。

查看var/log/clamav/clamav
會有類似的掃毒記錄
/home/user/eicar.com: Eicar-Test-Signature FOUND。

恭喜，你成功了^^


PS.
如果要在發現病毒時送出message通知使用的Windows samba client

1. sarge要安裝LinPopUp套件
apt-get install linpopup


2. 確定/etc/samba/vscan-clamav.conf 檔案中的設定正確
vi /etc/samba/vscan-clamav.conf
send warning message = yes (這是預設值)


3. Windows要啟動Message服務:
Windows NT / 2000 / XP 需啟動 Messenger 服務:
控制台→系統管理工具→服務→Messenger→按右鍵選“內容”→啟動類型:“停用”改為"啟動"

Windows 95 / 98 / ME 需執行“C:\Windows\Winpopup.exe”


4. 一但有感染的檔案存入便會出現一個popup window通知該使用者。


參考文件
http://wiki.debian.org.hk/w/Scan_virus_ ... ith_ClamAV
http://cha.homeip.net/blog/archives/200 ... vscan.html
http://www.sinsen.com.tw/callboard/scho ... cur_page=1
http://phorum.vbird.org/viewtopic.php?p ... 41388f172f
http://140.111.152.100/archives/2004_05.html
http://cha.homeip.net/blog/archives/200 ... ndows.html
vscan-clamav/INSTALL

[訪客]

加入這兩行後發現從client 寫入samba 之後無法下載剛剛上傳的檔案,
但可以更名,刪除,卻不能編輯和下載.

vfs object = vscan-clamav
vscan-clamav: config-file = /etc/samba/vscan-clamav.conf

不加入這兩行就又可從client 寫入,下載,修改,更名

[訪客]

不好意思是我弄錯了,路徑寫錯
/etc/samba/vscan-clamav.conf
clamd socket name = /var/run/clamav/clamd.ctl <----寫錯

另外一個問題,發現client 有病毒後跳出來的信差服務的內容能修改嗎?

[訪客]

要注意修改clamd.conf，關掉TCPSocket，改用LocalSocket。

代碼: 選擇全部

#LocalSocket /var/run/clamav/clamd.sock
TCPSocket 3310

改成

代碼: 選擇全部

LocalSocket /var/run/clamav/clamd.sock
#TCPSocket 3310

只要改的對，啟動clamd時上述.sock檔就會自動出現。
同時要注意vscan-clamav.conf中的

代碼: 選擇全部

clamd socket name = /var/run/clamav/clamd.sock

路徑要與上述一致。
以上路徑隨不同distribution或有不同，請逕自套用。