OS

Linuxサーバーで「maldetect」「ClamAV」を使ってマルウェアを自動検出するには

「Linux」サーバーをマルウェアから保護するために「Linux Malware Detection」と「ClamAV」をインストールして設定する方法を解説する。

 オープンソースプラットフォームが提供する信頼性とセキュリティを享受するために、読者の皆さんが「Linux」をデータセンターサーバーとして導入したとしよう。Linuxを使用することで、セキュリティ関連のニーズが完全に満たされると誤解してはいけない。ネットワークに接続されている限り、どんなコンピューターも脆弱である。このことは、常に肝に銘じておくべきだ。皆さんのLinuxサーバーでは、任意の数のユーザーがログインして、ファイルを多数のディレクトリーに保存しているかもしれない。あるいは、Linuxをメールサーバーとして使用し、そこで添付ファイルを送受信している人もいるかもしれない。

 Linuxサーバーの用途が何であれ、それらのサーバーとユーザーを保護するために必要な予防措置を講じることが重要である。

 マルウェアに対する保護レイヤーを追加する1つの方法は、「Linux Malware Detection」(LMDまたは「maldetect」)と「ClamAV」を組み合わせることだ。この方法では、LMDをマルウェア検出ツールとして使用し、ClamAVをウイルス対策エンジンとして利用する。これら2つのツールをインストールして設定すると、より効果的にLinuxサーバーをマルウェアから保護することが可能になる。

必要なもの

  • Linuxサーバー(ここでは、「Ubuntu Server 20.04」を使って説明を進める)。
  • sudo権限を持つユーザー。

LMDをインストールして設定する方法

 最初に、LMDをインストールする。サーバーにログインして、以下のコマンドで最新バージョンをダウンロードする。

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

 ダウンロードが完了したら、以下のコマンドでファイルを解凍する。

tar xvzf maldetect-current.tar.gz

 以下のコマンドでmaldetectをインストールする。

sudo ./install.sh

 maldetectのインストールが完了したら、ClamAV(後でインストールする)と連携できるように設定する必要がある。以下のコマンドで設定ファイルを開く。

sudo nano /usr/local/maldetect/conf.maldet

 そのファイルで、以下のオプションを設定する必要がある。

email_alert=1
email_addr=EMAIL
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quarantine_hits=1
quarantine_clean=1
quarantine_susp=1
scan_clamscan="1"

 EMAILはアラートを受信する電子メールアドレスだ。電子メールアラートを受信する必要がない場合は、email_alertを0のままにして、email_addrに変更を加えなければいい。

 ファイルを保存して閉じる。

ClamAVをインストールする方法

 次に、ClamAVをインストールする。これを行うには、以下のコマンドを実行する。

sudo apt-get install clamav clamav-daemon -y

 Red Hatベースのディストリビューションを使用している場合は、最初に以下のコマンドでEPELリポジトリーを有効にする必要がある。

sudo dnf install epel-release -y

 EPELリポジトリーのインストールが完了したら、以下のコマンドでClamAVをインストールできる。

sudo dnf update
sudo dnf install clamd

LDM/ClamAVをテストする方法

 このシステムをテストするために、悪名高いEICARファイルをサーバーにダウンロードする。/svrディレクトリーに移動して(cd /srvコマンドを使用)、以下のコマンドを実行する。

sudo wget http://www.eicar.org/download/eicar.com 
sudo wget http://www.eicar.org/download/eicar.com.txt 
sudo wget http://www.eicar.org/download/eicar_com.zip 
sudo wget http://www.eicar.org/download/eicarcom2.zip

 ファイルをダウンロードしたら、以下のコマンドでそのディレクトリーのスキャンを実行する。

sudo maldet --scan-all /srv

 スキャンが完了すると、システムがそれらのファイルを検出して隔離したことを確認できるはずだ。4つのEICARファイルはすべて/srvディレクトリーから削除される。

 maldetは(「cron」を通して)毎日実行されるように設定されているため、手動でスキャンを開始する必要はない(ただし、手動スキャンはいつでも実行可能だ)。

 信頼性の高いマルウェア/ウイルス検出システムをLinuxサーバーに導入する方法の解説は、以上である。

提供:Getty Images/iStockphoto
提供:Getty Images/iStockphoto

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

「OS」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
OS
ミドルウェア
アプリケーションサーバー
開発
データベース
運用
セキュリティ

ホワイトペーパーランキング

  1. 最先端のデータサイエンティストでいるための5つのヒント—AIによる高度化でデータの達人であり続ける
  2. 経理部門 554人に聞いた「新しい経理部門の働き方」 その実現に向けた具体的な行動指針を解説
  3. パンデミックに乗じたサイバー攻撃に屈しない 最新の脅威分析レポートに見る攻撃パターンと対応策
  4. DX時代にIBM i は継続利用できるのか? モダナイゼーション実施で考えておくべき5つの視点
  5. サイバー攻撃でPCに何が起きている? サイバーディフェンス研究所の名和氏が語るフォレンジックのいま

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]