仮想マシンでFedoraサーバ - 安全性をより高めるための各種セキュリティ設定（２）

Clam AntiVirusはオープンソースのアンチウィルスソフトです。特にメールサーバ向けの機能は充実していて、サーバ側でのウィルススキャンなどの機能があります。このソフトを導入してみましょう。

インストールする際には下記のようにコマンドを打ちます。

[root@testserver ~]# yum install clamav clamav-update

確認を求められたら"y"を入力します。

インストールが終わりましたら、/etc/freshclam.confを編集します。

[root@testserver ~]# vi /etc/freshclam.conf

設定ファイルの上部に"Example"という行がありますので、これをコメントアウトします。

#Example

保存して閉じます。

Clam AntiVirusの設定ができましたら、動作確認を行う前に、先に定義ファイルの更新をしておきます。

[root@testserver ~]# freshclam

これで定義ファイルが最新になります。

続いてファイルのスキャンを行ってみます。

[root@testserver ~]# clamscan --infected --remove --recursive /

上記のコマンドの最後に指定している"/"は、スキャンするディレクトリです。この場合は全ファイルシステムをスキャンします。しばらく（２～３０分程度）待つとスキャンが終了して、結果（SCAN SUMMARY）が表示されます。その中に、

Infected files: 0

と表示されればウィルスは検出されなかったということになります。ウィルスが検出された場合は、自動的に削除されます。

次に、スキャン結果を専用のログファイルに出力するようにしてみます。例えば、下記のようにログファイル名を指定してスキャンを実行すると、

[root@testserver ~]# clamscan --infected --remove --recursive --log=/var/log/clam.log /

スキャン終了後/var/log/clam.logが作成され、ファイルを開くと結果ログが出力されていることがわかります。

最後に、ファイルスキャンが定期的に実行されるように設定します。

まず定義ファイルの更新が毎日定期的に行われるよう設定を変更します。
/etc/sysconfig/freshclamを編集します。

[root@testserver ~]# vi /etc/sysconfig/freshclam

最後の一行をコメント化して保存します。

#FRESHCLAM_DELAY=disabled-warn

また、ファイルスキャンがスケジュールに従って行われるよう設定するにはcronを利用します。以下のコマンドでcronの設定ファイルを開きます。

[root@testserver ~]# crontab -e

ファイルの最後尾に1行追加して保存します。

30 13 * * * clamscan --infected --remove --recursive --log=/var/log/clam.log /
> /dev/null 2>&1

上記の例では毎日１３：３０にスキャンが始まるように設定しています。

　◇　　　　　◇　　　　　◇

メールサーバ用の設定

メールサーバ上でメールのウィルススキャンが行われるようにするには、上記に加えて以下の設定も行います。

まずClamSMTPをインストールします。

[root@testserver ~]# yum install clamsmtp

確認を求められたら"y"を入力します。

続いて/etc/clamsmtpd.confを開いて下記の各行の設定を行います。

  OutAddress: 127.0.0.1:10026                ･･･IPとポート番号
  Listen: 127.0.0.1:10025            ･･･このポートからclamsmtpがメールを受け取り、検査後↑の
                                                        ポートからpostfixへ戻します。
  Header: X-Virus-Scanned: ClamAV using ClamSMTP            ･･･非コメント化
  Action: drop                                                ･･･非コメント化

次にpostfixの設定ファイル/etc/postfix/main.cfに以下を追加します。

content_filter = scan:127.0.0.1:10025

さらに、/etc/postfix/master.cfには下記の行を追加します。

  scan      unix  -      -      n      -      16      smtp
    -o smtp_send_xforward_command=yes
  127.0.0.1:10026  inet  n    -      n      -      16      smtpd
    -o content_filter=
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks_style=host
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8

最後にサービスを起動します。

[root@testserver ~]# service clamsmtp-clamd start
[root@testserver ~]# service clamsmtpd start
[root@testserver ~]# service postfix restart
[root@testserver ~]# chkconfig clamsmtp-clamd on
[root@testserver ~]# chkconfig clamsmtpd on

メールウィルススキャン機能テスト用のウィルスEICARを使って、設定したメールウィルススキャン機能をテストしてみましょう。

http://www.eicar.org/　（EICARのサイト）

からテスト用のウィルスファイルをダウンロード（または専用の文字列をテキストにコピーして）eicar.comファイルを入手します。このファイルをメールに添付して送信を行うと、サーバ上でウィルスメールと認識されて、宛先には届きません。

postfixのログ/var/log/maillogを見ると、Virus Detected; Discarded Emailと出力があり、メールが破棄されたことがわかります。 clamsmtpdのログ/var/log/clamd.clamsmtp/clamsmtpd.logでも、clamsmtpによりウィルスが発見されていることが確認できます。

また添付したeicar.comは、通常のclamscanでremoveされます。

　◇　　　　　◇　　　　　◇

次ページでは、アプリケーションレベルでのファイアウォール、mod_securityを導入します。