Clamav & filesystem [Résolu]

[syl20059]

Bonjour,

J'ai installé, il y a quelques temps, le réputé antivitus Clamav. L'installation s'est déroulée avec succès, l'application fonctionne très bien.
Seulement, il est nécessaire de lancer l'application systématiquement lorsqu'on veut un scan de répertoire.

C'est pouquoi, j'aimerais savoir s'il est possible de récupérer facilement un événement sur le filesystem (ajout, modification d'un fichier par exemple) et de lancer par la suite clamav, afin d'avoir un antivirus intéractif (similaires aux antivirus de win$).

Pour résumé, je cherche une appli similaire à CRON à la différence près que l'exécution est basée sur un événement du filesystem et non pas un événement temps.

Merci !

[ovh]

D'après la page d'accueil de clamav http://www.clamav.net/ je lis ceci :

Citation:

Envoyé par www.clamav.net

command-line scanner
fast, multi-threaded daemon
milter interface for sendmail
database updater with support for digital signatures
virus scanner C library
on-access scanning (Linux and FreeBSD)
detection of over 20000 viruses, worms and trojans
built-in support for RAR (2.0), Zip, Gzip, Bzip2
built-in support for Mbox, Maildir and raw mail files

Et effectivement je l'ai installé aussi sur une machine et il y a un démon qui tourne, je pense donc qu'il scanne les fichiers à la volée sans aucun problème. J'ai aussi configuré la mise à jour automatique sous forme de démon (freshclam si je me rappelle bien), comme ça tout se fait tout seul et de manière transparente.

[syl20059]

En effet, il existe un démon. Mais d'après ce que j'ai compris de la doc, le démon ne scanne rien à la volée. En fait, il s'agit de la même application que clamav, sauf que le démon tourne en arrière plan. D'ailleur on peut préciser à clamavd le répertoire à scanner mais je ne pense pas que celui-ci détecte la présence de virus qui viennent d'être copié ....

Oui, c'est bien freshclam qui permet d'obtenir les signatures des derniers virus.

[malek]

Bonjour,
Je ne connaissais pas Clamav avant. Je l'ai installé hier soir sans problème, clamd et freshclam tournent en démon, ce matin voilà un extrait de freshclam.log:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
ClamAV update process started at Tue Apr 20 08:40:49 2004
ERROR: Can't get information about database.clamav.net host.
ERROR: Connection with database.clamav.net (IP: ???) failed.
Trying again...
ClamAV update process started at Tue Apr 20 08:41:08 2004
ERROR: Can't get information about database.clamav.net host.
ERROR: Connection with database.clamav.net (IP: ???) failed.
Trying again...
ClamAV update process started at Tue Apr 20 08:41:27 2004
ERROR: Can't get information about database.clamav.net host.
ERROR: Connection with database.clamav.net (IP: ???) failed.
Giving up...
--------------------------------------
Received signal 14, wake up
ClamAV update process started at Tue Apr 20 09:41:45 2004
main.cvd is up to date (version: 22, sigs: 20229, f-level: 1, builder: tkojm)
daily.cvd updated (version: 269, sigs: 927, f-level: 1, builder: tomek)
Database updated (21156 signatures) from database.clamav.net (62.210.153.201).
Clamd successfully notified about the update.
--------------------------------------

ce qui veut dire que la mise à jour marche.
Par contre pour clamd j'ai l'impression qu'il ne scanne pas à la volée ou en temp réel, la preuve je suis allé sur ce site(il n'y a aucun risque !) pour le tester et ça n'a pas marché mais après avoir téléchargé les fichiers de test je les ai scannés avec clamscan ils ont été détectés.

[ovh]

OK j'ai compris.

En fait oui il y a un scan à la volée, mais il faut l'activer dans le fichier de configuration /etc/clamav.conf, il s'agit de l'option Clamuko, comme expliqué ici :
http://www.clamav.net/doc/0.70/html/node20.html

Le problème est que j'ai testé en téléchargeant moi aussi le fameux virus test EICAR :
http://www.eicar.org/anti_virus_test_file.htm
Mais clamav n'a pas l'air de réagir...

Hum apparemment il faudrait intégrer un nouveau module au noyau : Dazuko !
http://dazuko.org
Ca a l'air relativement compliqué tout ça...
A creuser !

[MarcG]

Lisez la DOCUMENTATION (qui existe sur leur site en FRANCAIS !!!!! )
page 6 §2.5

Citation:

Une autre caract¶eristique de clamd est l'analyse lors de l'accµes, bas¶ee sur le module
Dazuko, disponible µa l'adresse http ://dazuko.org. Ceci n'est pas n¶ecessaire pour
lancer clamd - de plus vous ne devriez pas lancer Dazuko sur des systµemes
de production. Un thread sp¶ecial dans clamd est responsable de la communication avec
Dazuko et s'appelle "Clamuko" (µa cause du nom rigolo de Dazuko - je ne sais pas ce que
"Clamuko" signi¯e). Clamuko est support¶e par les noyaux Linux 2.2 et 2.4 seulement. Pour ........

Puis a partir de la page 16 § 5 les module ou logiciel tournant avec

[ovh]

Citation:

Envoyé par MarcG

Lisez la DOCUMENTATION (qui existe sur leur site en FRANCAIS !!!!! )
page 6 §2.5

Ben oui c'est bien ce que j'ai fait, mais je n'ai pas le temps de tout lire et de m'investir dans ce sujet pour le moment, donc j'ai donné quelques trucs que j'ai trouvé en vitesse.

[syl20059]

Effectivement la solution est Dazuko. Mais après installation et, d'après la doc, il est nécessaire de posséder le compilateur gcc identique à celui qui a servi à compiler le noyau. Je suis donc dans l'obligation de le recompiler :-/

Merci pour votre aide !