Гид по технологиям

Установка Linux Malware Detect (LMD) и ClamAV на CentOS 7

5 min read Безопасность Обновлено 06 Oct 2025
LMD и ClamAV на CentOS 7 — установка и настройка
LMD и ClamAV на CentOS 7 — установка и настройка

Кратко о решениях

  • Linux Malware Detect (LMD) — сканер вредоносного ПО для Linux, ориентирован на окружения с общей хостинг-инфраструктурой. Распространяется под лицензией GNU GPLv2.
  • Clam AntiVirus (ClamAV) — открытый антивирус с поддержкой Linux, Windows и macOS. Используется как движок сканирования для LMD.

Предварительные требования

  • Сервер с CentOS 7
  • root-привилегии (или эквивалент sudo)
  • Доступ в интернет для загрузки пакетов и баз вирусов

Важно: выполняйте операции в тестовой среде, прежде чем применять изменения в продакшене.

Шаг 1 — Установка репозитория EPEL и mailx

Установите EPEL (Extra Packages for Enterprise Linux) и пакет mailx, чтобы LMD мог отправлять отчёты по почте:

yum -y install epel-release
yum -y install mailx

Примечание: mailx нужен для отправки почтовых уведомлений от LMD; при необходимости используйте локальный MTA или внешний SMTP.

Шаг 2 — Установка Linux Malware Detect (LMD)

LMD отсутствует в стандартных репозиториях CentOS/EPEL, поэтому ставим с исходников.

Скачайте и распакуйте архив:

cd /tmp
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-current.tar.gz

Перейдите в каталог распакованного архива и запустите инсталлятор от root:

cd maldetect-1.5
./install.sh

Создайте симвссылку на команду maldet в /bin/ для удобства:

ln -s /usr/local/maldetect/maldet /bin/maldet
hash -r

Инсталляция Linux Malware Detect — вывод терминала

Шаг 3 — Настройка Linux Malware Detect

LMD по умолчанию устанавливается в каталог /usr/local/maldetect/. Перейдите в этот каталог и отредактируйте конфигурационный файл conf.maldet:

cd /usr/local/maldetect/
vim conf.maldet

Рекомендованные параметры конфигурации:

  • Включите почтовые оповещения:
email_alert="1"
  • Задайте адрес для отправки отчётов (замените на ваш адрес):
email_addr="[email protected]"
  • Используйте clamscan как движок сканирования (устойчивое и быстрое решение для больших наборов файлов):
scan_clamscan="1"
  • Включите автоматическую отправку найденных файлов в карантин:
quarantine_hits="1"
  • Включите очистку (quarantine clean) для попытки обработки инъекций на основе чистых версий:
quarantine_clean="1"

Сохраните изменения и выйдите.

Важно: проверьте расположение карантинной директории и политику её хранения, чтобы избежать случайной потери данных.

Шаг 4 — Установка ClamAV

ClamAV доступен в EPEL. Установите основной пакет и заголовки для разработки:

yum -y install clamav clamav-devel

Обновите базы сигнатур ClamAV перед сканированием:

freshclam

Обновление базы вирусов ClamAV с помощью freshclam — вывод терминала

Примечание: для автоматического обновления можно настроить cron или systemd timer для freshclam.

Шаг 5 — Тестирование LMD и ClamAV

Протестируем ручное сканирование. Для примера загрузим тестовые файлы EICAR (они безопасны и предназначены для проверки антивирусов).

cd /var/www/html
wget http://www.eicar.org/download/eicar.com.txt
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

Запустите сканирование каталога:

maldet -a /var/www/html

Сканирование каталога с помощью maldet — вывод терминала

LMD должен использовать движок ClamAV и обнаружить «malware hits». Найденные файлы будут перемещены в карантин, если включена соответствующая опция.

Получите отчёт о конкретном сканировании (SCANID выводится в результате команды maldet):

maldet --report 161008-0524.9466

Отчёт сканирования LMD — содержимое отчёта

Проверка почтового отчёта LMD (пример для root):

tail -f /var/mail/root

Проверка почты root — содержимое /var/mail/root

Как видно, отчёт отправлен на указанный e-mail.

Шаг 6 — Полезные команды LMD

  • Сканирование конкретных расширений (например PHP-файлы):
maldet -a /var/www/html/*.php
  • Список всех отчётов:
maldet -e list
  • Сканировать файлы, изменённые за последние X дней:
maldet -r /var/www/html/ 5

Здесь 5 = последние 5 дней.

  • Восстановление файлов из карантина (по SCANID):
maldet -s SCANID

Восстановление файла из карантина — вывод maldet

  • Включить мониторинг директории (inotify):
maldet -m /var/www/html/

Посмотреть лог монитора:

tail -f /usr/local/maldetect/logs/inotify_log

Мониторинг каталога maldet — inotify лог

Когда это не подходит

  • Если вы управляете крупной корпоративной антивирусной инфраструктурой с централизованным EDR — LMD+ClamAV подходят меньше, чем коммерческие решения с поддержкой SIEM/EDR.
  • Для систем с очень строгими политиками обработки данных возможно потребуется доработать автоматический карантин и процедуры логирования.

Альтернативы и добавления

  • Коммерческие AV-решения (Trend, McAfee, Symantec) — глубокая интеграция и поддержка.
  • Open-source дополнения: rkhunter, chkrootkit — для расширенной проверки руткитов.
  • Централизованное логирование (ELK/Graylog) для сбора и корреляции событий LMD.

Мини-методология внедрения

  1. Разверните LMD+ClamAV в тестовом окружении.
  2. Настройте оповещения и карантин, сохраните политики хранения.
  3. Проведите серию тестов (EICAR, реальные подозрительные выборки).
  4. Отключите автоматическую очистку до утверждения политики восстановления.
  5. Интегрируйте в рабочие процессы инцидент-менеджмента.

Чек-листы по ролям

Системный администратор:

  • Установить EPEL и mailx
  • Установить LMD и ClamAV
  • Настроить автоматическое обновление баз
  • Настроить мониторинг директорий

Инженер безопасности:

  • Проверить политику карантина
  • Настроить отправку уведомлений в SIEM
  • Провести тестовую операцию восстановления

Хостинг-провайдер:

  • Настроить исключения для легитимных скриптов
  • Проверить влияние на производительность при пиковых нагрузках

Критерии приёмки

  • LMD успешно сканирует целевые каталоги
  • ClamAV обновляет базы без ошибок
  • Почтовые оповещения приходят на указанный адрес
  • Найденные файлы корректно попадают в карантин и могут быть восстановлены

Тесты и сценарии приёмки

  • Тест EICAR: все три файла обнаружены и перемещены в карантин
  • Производительность: полное сканирование веб-контента выполняется в приемлемое время
  • Восстановление: файл восстановлен из карантина без повреждений

Подсказки по отладке

  • Если maldet не видит clamscan: проверьте, установлен ли clamscan в PATH и что scan_clamscan=”1” в conf.maldet.
  • Ошибки обновления ClamAV: запустите freshclam вручную и изучите /var/log/clamav/freshclam.log.
  • Проверьте права доступа на /usr/local/maldetect и карантинную папку.

Рекомендации по безопасности

  • Ограничьте доступ к карантинной директории и логам;
  • Настройте ротацию логов и политику хранения;
  • Тестируйте процедуру восстановления перед автоматизацией очистки;
  • Интегрируйте оповещения в вашу систему инцидент-менеджмента.

Совместимость и миграция

  • Руководство ориентировано на CentOS 7. Для других дистрибутивов (Debian/Ubuntu) используйте соответствующие менеджеры пакетов (apt) и пути установки; конфигурационные опции LMD аналогичны.
  • При миграции на более новые версии Linux проверьте совместимость systemd unit-файлов для clamav/freshclam.

Краткая сводка

  • LMD + ClamAV — простое и эффективное решение для хостинг-сред и веб-каталогов.
  • Включайте карантин и оповещения, но сначала проверьте процедуру восстановления.
  • Интегрируйте обновления сигнатур и мониторинг в ежедневные операции.

Ссылки

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Включение Wake-on-LAN в Ubuntu
Linux

Включение Wake-on-LAN в Ubuntu

Сочетание клавиш «Не беспокоить» на Mac
macOS

Сочетание клавиш «Не беспокоить» на Mac

Ускорение передачи на внешние USB‑диски
Windows

Ускорение передачи на внешние USB‑диски

Создать однотонные обои на Samsung
Телефоны

Создать однотонные обои на Samsung

Markup на Mac: быстрый гид
Mac

Markup на Mac: быстрый гид

Убрать красные подчёркивания в Word
Советы

Убрать красные подчёркивания в Word