Pocketstudio'z log

■ ClamAV のセットアップと初期設定（参考：ドキュメント）

１．セットアップ前に専用のユーザとアカウントを作成しておきます。

# /usr/sbin/groupadd -g 205 clamav
# /usr/sbin/useradd -g clamav -u 205 -s /bin/false -c "Clam Antivirus" clamav

２．アーカイブを取得します。

# wget http://jaist.dl.sourceforge.net/sourceforge/clamav/clamav-0.84.tar.gz

３．ファイルを展開してから make します。

# tar xfz clamav-0.84.tar.gz
# ./configure
# make
# make install

４．ログファイルを作ります

# touch /var/log/freshclam.log
# chmod 600 /var/log/freshclam.log
# chown clamav /var/log/freshclam.log

　これで基本的なセットアップは終わりました（ドキュメントの 4.4 Setting up auto-updateing あたりです）。

　次にウイルス定義情報を最新のものに更新します。freshclam コマンドです。でも、なにも設定していない状態ではエラーを吐いてしまいます。

# /usr/local/bin/freshclam
ERROR: Please edit the example config file /usr/local/etc/freshclam.conf.
ERROR: Please edit the example config file /usr/local/etc/clamd.conf.
ERROR: Can't parse the config file /usr/local/etc/clamd.conf

　次の作業ではそれぞれの設定ファイルを編集します。

# vi /usr/local/etc/freshclam.conf
# vi /usr/local/etc/clamd.conf

　どちらのファイルも上の方に「Example」と書かれた箇所があります。不要なので、この行を削除するか「#Example」のようにコメントしておきます。

　これで freshclam コマンドを再実行するとデータベースが最新のものへと更新されます。

# /usr/local/bin/freshclam

ClamAV update process started at Wed May 4 17:47:45 2005
main.cvd is up to date (version: 31, sigs: 33079, f-level: 4, builder: tkojm)
Downloading daily.cvd [*]
daily.cvd updated (version: 866, sigs: 1070, f-level: 4, builder: arnaud)
Database updated (34149 signatures) from database.clamav.net (IP: 129.250.169.81)

　ｷﾀ━━━━（ﾟ∀ﾟ）━━━━ｯ！！ですね。
　あとは、定期的にウイルス定義情報ファイルを更新するように freshclam をデーモンとして常駐させます。-d オプションを付けます。

# /usr/local/bin/freshclam -d

　なお、初期状態では 3600 秒（１時間）毎にウイルス定義情報ファイルを自動更新します。
　これで一応 ClamAV 側の設定は終わります。

　clamscan コマンドを使うと、ウイルスの検出が可能です。たとえばメールの保存がされている /var/spool/mail 以下をチェックさせると、次のようになりました。

# clamscan /var/spool/mail/
/var/spool/mail/AAA: OK ← OK の場合はウイルスに感染していません
/var/spool/mail/BBB: Empty file ← カラッポのファイル、という意味です
（略）
/var/spool/mail/XXX: Worm.SomeFool.P FOUND ← ワームが見つかりました
/var/spool/mail/ZZZ: Worm.SomeFool.Q FOUND ← これもワームが見つかったものです

----------- SCAN SUMMARY -----------
Known viruses: 34149 ← ウイルス定義情報ファイルにあるウイルス数です
Engine version: 0.84　← ウイルス検索エンジン(ClamAV)のバージョンです
Scanned directories: 1　← スキャン対象のディレクトリ数です
Scanned files: 24 ← スキャン対象のファイル数です
Infected files: 3 ← 影響のあった＝感染しているファイル数です
Data scanned: 195.24 MB ← スキャンしたファイルの合計数です
Time: 811.975 sec (13 m 31 s) ← スキャンが完了するまでに経過した時間です

　実際に手動で clamscan を用いるときに使うオプションは --remove （削除）でしょう。このオプションがあれば、対象ファイルを「削除」します。

　ところが、この「削除」というのが厄介です。例えば mbox 形式でメールを保存している場合、/var/spool/mail/webmaster を対象として考えてみましょう。いくつメールが届いていても、その中に１つでもウイルスメールがあれば、スプールファイルがごっそり削除されてしまいます。

　これじゃ使い物になりませんね。。ClamAV に期待するのは、感染したメールだけを除去したいのですから。そこで登場するのが次の clamassassin です。

■ clamassassin のセットアップと設定

　ドキュメントの８章を読むと、ClamAV と連係して動作するソフトについての情報が整理されています。たとえば、Sendamil + libmilter を組み合わせる方法ですね。色々な方法があるようですが、自分としては慣れた procmail に記述を行うことで動作する clamassassin を選ぶことにしました。セットアップ方法は README に記述がありましたが、、シンプルです。

１．ファイルをダウンロードする

# wget http://drivel.com/clamassassin/clamassassin-1.2.2.tar.gz

２．ファイルを展開、セットアップする

# tar xvfz clamassassin-1.2.2.tar.gz
# cd clamassassin-1.2.2
# ./configure
# make
# make install

　以上で clamassassin ｎセットアップは完了です。初期状態では /usr/local/bin/clamassassin にファイルが作成されます。

　次に .procmailrc ファイルの編集です。サーバ内の全ユーザに適用させたい場合は /etc/procmailrc ファイルを編集します。

# ---------------------------------------------#
# clamassassin
:0fw
| /usr/local/bin/clamassassin

:0:
* ^X-Virus-Status: Yes
/tmp/virus.txt

# ---------------------------------------------#

　これだけで設定は終わりです。clamassassin を通すと、メールのヘッダ情報に「 X-Virus-Status: 」と「X-Virus-Checker-Version 」が追加されます。

　もしウイルスが検出（ X-Virus-Status: Yes というヘッダ情報）された場合には /tmp/virus.txt にメール情報が書き出されるという仕組みです。特定のメールアドレスに転送させたい場合は「/tmp/virus.txt」を「! xxx@example.co.jp 」のように「! メールアドレス」と書き換えることで OK です。

　以上で、Linux サーバ側でウイルスメールを自動除去できるようになりました。
　問題等ありましたらご指摘下さい。。