一、概要

IT行业日常运维中,安全工作是其中最重要也是主要的一项工作,且随着近几年对IT行业对安全的更加重视,IT服务的安全稳定,日常工作的安全管理都将是我们必须面对和需要掌握的,本文基于此,整理相关安全知识点以作记录,后续日常工作的安全实践也一并汇总录入,以供参考。

二、安全命令

2.1、加密和解密相关

1)openssl命令

OpenSSL是实现安全套接字层 (SSL v2/v3) 和传输层安全 (TLS v1) 网络协议及相关的密码学标准的加密工具包/密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。它提供的安全协议广泛应用于网银、在线支付、电商网站、门户网站、电子邮件等重要网站。OpenSSL有两种运行模式:交互模式(命令行输入openssl回车)和批处理模式(带命令选项的openssl)。OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及配套的应用工具。主要功能:

私钥、公钥和相关参数的创建和管理
公钥加密操作
创建 X.509 证书、CSR 和 CRL
消息摘要的计算
使用密码进行加密和解密
SSL/TLS 客户端和服务器验证
处理 S/MIME 签名或加密邮件
时间戳请求、生成和验证

1>对称加密算法

OpenSSL一共提供了8种对称加密算法,其中7种分组加密算法,仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5,都支持电子密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式(OFB)四种常用的分组密码加密模式。其中,AES使用的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使用的则是64位。事实上,DES算法里面不仅仅是常用的DES算法,还支持三个密钥和两个密钥的3DES算法。

2>非对称加密算法

OpenSSL一共实现了4种非对称加密算法,包括DH算法、RSA算法、DSA算法和椭圆曲线算法(EC)。DH算法一般需与用户密钥交换。RSA算法既可以用于密钥交换,也可以用于数字签名,当然,如果你能够忍受其缓慢的速度,那么也可以用于数据加密。DSA算法则一般只用于数字签名。

3>信息摘要算法

OpenSSL实现了5种信息摘要算法,分别是MD2、MD5、MDC2、SHA(SHA1)和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法,此外,OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。

【命令示例:】

1、消息摘要算法应用例子

用SHA1算法计算文件file.txt的哈西值,输出到stdout:

openssl dgst -sha1 file.txt

用SHA1算法计算文件file.txt的哈西值,输出到文件digest.txt:

openssl sha1 -out digest.txt file.txt

用DSS1(SHA1)算法为文件file.txt签名,输出到文件dsasign.bin。签名的private key必须为DSA算法产生的,保存在文件dsakey.pem中。

openssl dgst -dss1 -sign dsakey.pem -out dsasign.bin file.txt

用dss1算法验证file.txt的数字签名dsasign.bin,验证的private key为DSA算法产生的文件dsakey.pem。

openssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt

用sha1算法为文件file.txt签名,输出到文件rsasign.bin,签名的private key为RSA算法产生的文件rsaprivate.pem。

openssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt

用sha1算法验证file.txt的数字签名rsasign.bin,验证的public key为RSA算法生成的rsapublic.pem。

openssl sha1 -verify rsapublic.pem -signature rsasign.bin file.txt

2、对称加密应用例子

对称加密应用例子,用DES3算法的CBC模式加密文件plaintext.doc,加密结果输出到文件ciphertext.bin。

openssl enc -des3 -salt -in plaintext.doc -out ciphertext.bin

用DES3算法的OFB模式解密文件ciphertext.bin,提供的口令为trousers,输出到文件plaintext.doc。注意:因为模式不同,该命令不能对以上的文件进行解密。

openssl enc -des-ede3-ofb -d -in ciphertext.bin -out plaintext.doc -pass pass:trousers

用Blowfish的CFB模式加密plaintext.doc,口令从环境变量PASSWORD中取,输出到文件ciphertext.bin。

openssl bf-cfb -salt -in plaintext.doc -out ciphertext.bin -pass env:PASSWORD

对文件ciphertext.bin用base64编码,输出到文件base64.txt。

openssl base64 -in ciphertext.bin -out base64.txt

用RC5算法的CBC模式加密文件plaintext.doc,输出到文件ciphertext.bin,salt、key和初始化向量(iv)在命令行指定。

openssl rc5 -in plaintext.doc -out ciphertext.bin -S C62CB1D49F158ADC -iv E9EDACA1BD7090C6 -K 89D4B1678D604FAA3DBFFD030A314B29

3、Diffie-Hellman应用例子

使用生成因子2和随机的1024-bit的素数产生D0ffie-Hellman参数,输出保存到文件dhparam.pem

openssl dhparam -out dhparam.pem -2 1024

从dhparam.pem中读取Diffie-Hell参数,以C代码的形式,输出到stdout。

openssl dhparam -in dhparam.pem -noout -C

4、DSA应用例子应用例子

生成1024位DSA参数集,并输出到文件dsaparam.pem。

openssl dsaparam -out dsaparam.pem 1024

使用参数文件dsaparam.pem生成DSA私钥匙,采用3DES加密后输出到文件dsaprivatekey.pem

openssl gendsa -out dsaprivatekey.pem -des3 dsaparam.pem

使用私钥匙dsaprivatekey.pem生成公钥匙,输出到dsapublickey.pem

openssl dsa -in dsaprivatekey.pem -pubout -out dsapublickey.pem

从dsaprivatekey.pem中读取私钥匙,解密并输入新口令进行加密,然后写回文件dsaprivatekey.pem

openssl dsa -in dsaprivatekey.pem -out dsaprivatekey.pem -des3 -passin

5、RSA应用例子

产生1024位RSA私匙,用3DES加密它,口令为trousers,输出到文件rsaprivatekey.pem

openssl genrsa -out rsaprivatekey.pem -passout pass:trousers -des3 1024

从文件rsaprivatekey.pem读取私匙,用口令trousers解密,生成的公钥匙输出到文件rsapublickey.pem

openssl rsa -in rsaprivatekey.pem -passin pass:trousers -pubout -out rsapubckey.pem

用公钥匙rsapublickey.pem加密文件plain.txt,输出到文件cipher.txt

openssl rsautl -encrypt -pubin -inkey rsapublickey.pem -in plain.txt -out cipher.txt

使用私钥匙rsaprivatekey.pem解密密文cipher.txt,输出到文件plain.txt

openssl rsautl -decrypt -inkey rsaprivatekey.pem -in cipher.txt -out plain.txt

用私钥匙rsaprivatekey.pem给文件plain.txt签名,输出到文件signature.bin

openssl rsautl -sign -inkey rsaprivatekey.pem -in plain.txt -out signature.bin

用公钥匙rsapublickey.pem验证签名signature.bin,输出到文件plain.txt

openssl rsautl -verify -pubin -inkey rsapublickey.pem -in signature.bin -out plain

从X.509证书文件cert.pem中获取公钥匙,用3DES加密mail.txt,输出到文件mail.enc

 openssl smime -encrypt -in mail.txt -des3 -out mail.enc cert.pem

从X.509证书文件cert.pem中获取接收人的公钥匙,用私钥匙key.pem解密S/MIME消息mail.enc,结果输出到文件mail.txt

openssl smime -decrypt -in mail.enc -recip cert.pem -inkey key.pem -out mail.txt

cert.pem为X.509证书文件,用私匙key,pem为mail.txt签名,证书被包含在S/MIME消息中,输出到文件mail.sgn

openssl smime -sign -in mail.txt -signer cert.pem -inkey key.pem -out mail.sgn

验证S/MIME消息mail.sgn,输出到文件mail.txt,签名者的证书应该作为S/MIME消息的一部分包含在mail.sgn中

openssl smime -verify -in mail.sgn -out mail.txt

6、AES和RSA加密过程

RSA加解密速度慢,不适合大量数据文件加密,而AES加密速度很快,因此在某些场合,我们可以综合使用(AES+RSA):使用AES对称加密方法对传输数据加密,同时使用RSA不对称加密机制来传送AES的密钥,实现用AES传递数据,RSA传递AES的秘钥。

1)AES加解密过程:

特点:加解密用同一秘钥;优点:速度快,效率高;但存在秘钥交换安全问题;

IT运维之安全操作维护手册-编程知识网

2)RSA签名和验签流程

特点:只需交换公钥;公/秘钥机制,公钥加密,私钥解密;(或者私钥加密,公钥解密);公钥负责加密,私钥负责解密;私钥负责签名,公钥负责验证。缺点:加解密速度慢,特别是解密;

IT运维之安全操作维护手册-编程知识网
3)AES+RSA
IT运维之安全操作维护手册-编程知识网

  • 接收方创建RSA秘钥对,
  • 发送RSA公钥给发送方,自己保留RSA私钥
  • 发送方创建AES密钥,加密待传送的明文,之后用RSA公钥加密该密钥,
  • RSA公钥加密AES的密钥+AES密钥加密明文的密文—-通过Internet发给—->接收方
  • 接收方用RSA私钥解密加密的密钥,之后再用解密后的AES密钥解密数据密文,得到明文。

2)利用openssl创建根证书

1,构建根证书

构建根证书前,需要先生成一个随机数文件(.rand),执行:

openssl rand -out private/.rand 1000

选项说明:

rand 随机数命令。这里将随机数文件输出到private目录下。
-out 输出文件路径,
这里的参数1000,指定来产生伪随机字节数

2,构建根证书私钥

OpenSSL通常使用PEM(Privacy Enbanced Mail)格式来保存私钥,执行:

openssl genrsa -aes256 -out private/ca.key.pem 2048

选项说明:

genrsa——使用RSA算法产生私钥
-aes256——使用256位**的AES算法对私钥进行加密
-out——输出文件的路径
1024——指定私钥长度

3,生成根证书签发申请
完成密钥构建操作后,我们需要生成根证书签发申请文件(ca.csr),执行:

openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=*.lesaas.cn"

选项说明:

-req 产生证书签发申请命令
-new 表示新请求
-key 密钥,这里为private/ca.key.pem文件
-out 输出路径,这里为private/ca.csr文件
-subj 指定用户信息。这里使用泛域名”*.lesaas.cn”
得到根证书签发申请文件后,我们可以将其发生给CA机构签发,当然我们也可以自行签发根证书。

4,签发根证书(自行签发根证书)

openssl x509 -req -days 10000 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer

选项说明:

-x509 签发X.509格式证书命令。
-req 表示证书输入请求。
-days 表示有效天数,这里为10000天。
-shal 表示证书摘要算法,这里为SHA1算法。
-extensions 表示按OpenSSL配置文件v3_ca项添加扩展。
-signkey 表示自签名密钥,这里为private/ca.key.pem。
-in 表示输入文件,这里为private/ca.csr。
-out 表示输出文件,这里为certs/ca.cer。

注意:OpenSSL产生的数据证书不能再JAVA语言环境中直接使用,需要将其转化为PKCS#12编码格式。

5,根证书转化

openssl pkcs12 -export -cacerts -inkey private/ca.key.pem -in certs/ca.cer -out certs/ca.p12

选项说明:

-pkcs12 PKCS#12编码格式证书命令。
-export 表示导出证书。
-cacerts 表示仅导出CA证书。
-inkey 表示输入密钥,这里为private/ca.key.pem
-in 表示输入文件,这里为certs/ca.cer
-out 表示输出文件,这里为certs/ca.p12
个人信息交换文件(PKCS#12) 可以作为密钥库或信任库使用,我们可以通过KeyTool查看密钥库的详细信息。

6,查看密钥库信息

keytool -list -keystore d:/CA/certs/ca.p12 -storetype pkcs12 -v -storepass 123456

注意:这里参数-storetype值为“pkcs12”。我们已经构建了根证书(ca.cer),我们可以使用根证书签发服务器证书和客户证书。

7,构建服务器证书

服务器证书的构建与根证书构建相似,首先需要构建私钥。

(1)构建服务器私钥

openssl genrsa -aes256 -out private/server.key.pem 2048

选项说明:

-genrsa 产生RSA密钥命令。
-aes256 使用AES算法(256位密钥)对产生的私钥加密。可选算法包括DES,DESede,IDEA和AES。
-out 输出路径,这里指private/server.key.pem。
这里的参数2048,指RSA密钥长度位数,默认长度为512位。

(2)生成服务器证书签发申请

因我们已经获得了根证书,可以使用根证书签发服务器证书。执行:

openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=www.lesaas.cn" 

选项说明:

-req 产生证书签发申请命令
-new 表示新请求。
-key 密钥,这里为private/ca.key.pem文件
-out 输出路径,这里为private/ca.csr文件
-subj 指定用户信息,这里使用域名“www.lesaas.cn”作为用户名。

(3)签发服务器证书

openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out 
certs/server.cer

选项说明:

-x509 签发X.509格式证书命令。
-req 表示证书输入请求。
-days 表示有效天数,这里为3650天。
-sha1 表示证书摘要算法,这里为SHA1算法。
-extensions 表示按OpenSSL配置文件v3_req项添加扩展。
-CA 表示CA证书,这里为certs/ca.cer
-CAkey 表示CA证书密钥,这里为private/ca.key.pem
-CAserial 表示CA证书序列号文件,这里为ca.srl
-CAcreateserial表示创建CA证书序列号
-in 表示输入文件,这里为private/server.csr
-out 表示输出文件,这里为certs/server.cer
这里我们同样需要将OpenSSL产生的数子证书转化为PKCS#12编码格式。完整命令如下

(4)服务器证书转换

openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12

选项说明:

-pkcs12 PKCS#12编码格式证书命令。
-export 表示导出证书。
-clcerts 表示仅导出客户证书。
-inkey 表示输入文件,这里为private/server.key.pem
-in 表示输入文件,这里为certs/ca.cer
-out 表示输出文件,这里为certs/server.p12
我们已经构建了服务器证书(server.cer),并可使用该证书构建基于单向认证网络

(5)构建客户证书

客户证书的构建与服务器证书构建基本一致,首先需要构建产生客户私钥。完成客户证书密钥构建后,我们就可以创建客户证书签发申请

openssl genrsa -aes256 -out private/client.key.pem 2048

genrsa 产生RSA密钥命令
-aes256 使用AES算法(256为密钥)对产生的私钥加密。可选算法包括DES,DESede,IDEA和AES。
-out 输出路径,这里指private/client.key.pem
这里的参数2048,指RSA密钥长度位数,默认长度为512位

(6)生成客户证书签发申请

openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=lesaas"

req 产生证书签发申请命令
-new 表示新的请求。
-key 密钥,这里为private/client.csr文件
-subj 指定用户信息,这里使用“lesaas”作为用户名

(7)签发客户证书(用根证书签发客户证书(client.cer))

openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem

-ca 签发证书命令
-days 表示证书有效期,这里为3650天。
-in 表示输入文件,这里为private/client.csr
-out 表示输出文件,这里为certs/server.cer
-cert 表示证书文件,这里为certs/ca.cer
-keyfile 表示根证书密钥文件,这里为private/ca.key.pem
最后,我们需要将获得客户证书转化Java语言可以识别的PKCS#12编码格式。

(8)客户证书转换

openssl pkcs12 -export -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12

-pkcs12 PKCS#12编码格式证书命令、
-export 表示导出证书
-clcerts 表示仅导出客户证书。
-inkey 表示输入密钥,这里为private/client.key.pem
-in 表示输入文件,这里为certs/client.cer
-out 表示输出文件,这里为certs/client.p12

至此,我们完成了双向认证的所需的全部证书。数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。JKS文件(通常为.jks或.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者PKCS#12文件(通常为.p12或.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。

当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行!

【案例】:合作方交给你一个.pfx文件,需要从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作.pfx文件?密钥库操作需要获知密钥库别名,*.pfx(PKCS#12是base64编码的)别名是什么?!接下来就解决这些问题!

【方案】:

通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。
检索新生成的密钥库文件,提取别名信息。
由密钥库文件导出数字证书(这里将用到别名)。
通过代码提取公钥/私钥、签名算法等

1、格式转换

通过下面这个操作,我们能够获得所需的密钥库文件zlex.keystore。这时,只要确定对应的别名信息,就可以提取公钥/私钥,以及数字证书,进行加密交互了!

keytool -importkeystore -v  -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore zlex.keystore -deststoretype jks -deststorepass 123456  

-importkeystore导入密钥库,通过格式设定,我们可以将PKCS#12文件转换为JKS格式。
-v显示详情
-srckeystore源密钥库,这里是zlex.pfx
-srcstoretype源密钥库格式,这里为pkcs12
-srcstorepass源密钥库密码,这里为123456
-destkeystore目标密钥库,这里为zlex.keystore
-deststoretype目标密钥库格式,这里为jks,默认值也如此
-deststorepass目标密钥库密码,这里为123456

2、查看证书

keytool -list -keystore zlex.keystore -storepass 123456 -v  

-list列举密钥库
-keystore密钥库,这里是zlex.keystore
-storepass密钥库密码,这里是123456
-v显示详情

3、导出证书

keytool -exportcert -alias 1 -keystore zlex.keystore -file zlex.crt -storepass 123456

-exportcert导出证书
-alias别名,这里是1
-keystore密钥库,这里是zlex.keystore
-file证书文件,这里是zlex.crt
-storepass密钥库密码,这里是123456

证书导出后,我们可以提取公钥/私钥,进行加密/解密,签名/验证操作了!当然,即便没有证书,我们也能够通过密钥库(JKS格式)文件获得证书,以及公钥/私钥、签名算法等。

8、创建CA证书脚本

#!/bin/sh# 生成私钥 key 文件
openssl genrsa -out private/ca.key 2048# 生成证书请求 csr 文件
openssl req -new -key private/ca.key -out private/ca.csr -extensions v3_req -config "./conf/openssl.conf"# 生成凭证 crt 文件
openssl x509 -req -days 3650 -in private/ca.csr -signkey private/ca.key -out private/ca.crt# 为我们的 key 设置起始***和创建 CA 键库
echo '01' > serial   # 可以是任意四个字符
touch index.txt# 为 "用户证书" 的移除创建一个证书撤销列表
openssl ca -gencrl -out ./private/ca.crl -crldays 7 -config "./conf/openssl.conf"

脚本2:

#!/bin/sh# 查看KEY信息
# openssl rsa -noout -text -in users/client.key
# 查看CSR信息
# openssl req -noout -text -in users/client.csr
# 查看证书信息
# openssl x509 -noout -text -in users/client.crt########## CA证书 ########### 生成私钥 key 文件
openssl genrsa -out private/ca.key 2048# 生成证书请求 csr 文件
openssl req -new -key private/ca.key -out private/ca.csr -extensions v3_req -config "./conf/openssl.conf"# 生成凭证 crt 文件
openssl x509 -req -days 365 -extensions v3_req -in private/ca.csr -signkey private/ca.key -out private/ca.crt# 为我们的 key 设置起始***和创建 CA 键库
echo FACE > serial   # 可以是任意四个字符
touch index.txt# 为 "用户证书" 的移除创建一个证书撤销列表
openssl ca -gencrl -out ./private/ca.crl -crldays 7 -config "./conf/openssl.conf"########## 服务器证书 ########### 创建一个 key
openssl genrsa -out server/server.key 2048# 为我们的 key 创建一个证书签名请求 csr 文件
openssl req -new -key server/server.key -out server/server.csr -extensions v3_req -config "./conf/openssl.conf"# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./conf/openssl.conf"########## 客户端证书 ########### 为用户创建一个 key
openssl genrsa -des3 -out ./users/client.key 2048# 为 key 创建一个证书签名请求 csr 文件
openssl req -new -key ./users/client.key -out ./users/client.csr -extensions v3_req -config "./conf/openssl.conf"# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in ./users/client.csr -cert ./private/ca.crt -keyfile ./private/ca.key -out ./users/client.crt -config "./conf/openssl.conf"# 将证书转换为大多数浏览器都能识别的 PKCS12 文件
openssl pkcs12 -export -clcerts -in ./users/client.crt -inkey ./users/client.key -out ./users/client.p12

脚本3:

#!/bin/sh# 为用户创建一个 key
openssl genrsa -des3 -out ./users/client.key 2048# 为 key 创建一个证书签名请求 csr 文件
openssl req -new -key ./users/client.key -out ./users/client.csr -extensions v3_req -config "./conf/openssl.conf"# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in ./users/client.csr -cert ./private/ca.crt -keyfile ./private/ca.key -out ./users/client.crt -config "./conf/openssl.conf"# 将证书转换为大多数浏览器都能识别的 PKCS12 文件
openssl pkcs12 -export -clcerts -in ./users/client.crt -inkey ./users/client.key -out ./users/client.p12

脚本4:

#!/bin/sh# 创建一个 key
openssl genrsa -out server/server.key 2048# 为我们的 key 创建一个证书签名请求 csr 文件
openssl req -new -key server/server.key -out server/server.csr -extensions v3_req -config "./conf/openssl.conf"# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./conf/openssl.conf"

三、安全加固

3.1、Linux 开源杀毒软件安装使用

  为增强 Linux 服务器的安全性,这里我们来一起看下一款开源的防病毒软件 ClamAV。 ClamAV 杀毒软件是Linux平台最受欢迎的杀毒软件,ClamAV这款免费开源产品支持多种平台,如:Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV实际是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。它有多种接口从邮件服务器扫描邮件,支持文件格式有如:ZIP、RAR、TAR、GZIP、BZIP2、HTML、DOC、PDF,、SIS CHM、RTF等等。ClamAV具有自动的数据库更新器,还可以从共享库中运行。目前,ClamAV已经是很多Linux安全扫描的首选。

IT运维之安全操作维护手册-编程知识网

  • 官网地址:http://www.clamav.net/downloads ;更多参看参考文档。

1)安装

apt-get install clamav
或
yum install -y epel-release
yum install clamav  clamav-server clamav-data clamav-update clamav-filesystem clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd pcre* gcc zlib zlib-devel libssl-devel libssl openssl openssl-devel-y  //yum方式安装的话,配置文件都会在/etc目录下,病毒库默认地址是/var/lib/clamavInstalled:clamav.x86_64 0:0.103.6-1.el7 clamav-data.noarch 0:0.103.6-1.el7 clamav-devel.x86_64 0:0.103.6-1.el7 clamav-filesystem.noarch 0:0.103.6-1.el7 clamav-lib.x86_64 0:0.103.6-1.el7 clamav-update.x86_64 0:0.103.6-1.el7clamd.x86_64 0:0.103.6-1.el7 Dependency Installed:gnutls.x86_64 0:3.3.29-9.el7_6            libprelude.x86_64 0:5.2.0-2.el7            libtool-ltdl.x86_64 0:2.4.2-22.el7_3            nettle.x86_64 0:2.7.1-9.el7_9            trousers.x86_64 0:0.3.14-2.el7           Complete!#rpm安装,rpm安装方式需要复制模板配置文件
wget http://www.clamav.net/downloads/production/clamav-0.100.0.tar.gz
tar zxvf clamav-0.100.0.tar.gz
cd clamav-0.100  
./configure --prefix=/usr/local/clamav --with-pcre  
make && make install#创建配置文件
cd /usr/local/clamav/etc  
cp clamd.conf.sample clamd.conf  
cp freshclam.conf.sample freshclam.conf

注:默认安装后,病毒库默认位置为:/var/lib/clamav

2)配置

#创建clamav用户和存放病毒库目录
groupadd clamav && useradd -g clamav clamav && id clamav#创建日志存放目录
mkdir -p /var/log/clamav/logs     
touch /var/log/clamav/logs/clamd.log
touch /var/log/clamav/logs/freshclam.log
chown clamav.clamav /var/log/clamav/logs/clamd.log
chown clamav.clamav /var/log/clamav/logs/freshclam.log#创建病毒存放目录
mkdir -p /tmp/clamav/updata
chown -R root.clamav /tmp/clamav/
chown -R clamav.clamav /tmp/clamav/updata/vim /etc/freshclam.conf  //yum安装方式找到包含 Example 的行, 添加 # 号, 进行注释。
找到包含 #DatabaseOwner clamav 的行,改为 DatabaseOwner root。
找到包含 #UpdateLogFile /var/log/freshclam.log 的行,将 # 号去除。
找到包含 #LogFileMaxSize 2M 的行,将 # 号去除, 并设置相应的大小,比如 20M。
找到包含 #LogRotate yes 的行,将 # 号去除。
找到包含 #LogTime yes 的行,将 # 号去除。
找到包含 #DatabaseDirectory /var/lib/clamav 的行,将 # 号去除。#现场实际,yum安装后配置文件如下
vim /etc/clamd.d/scan.conf  //内容如下
LogFile /var/log/clamd.scan
LogFileMaxSize 2M
DatabaseDirectory /var/lib/clamav
LogRotate yes
LogTime yesvim /etc/freshclam.conf
DatabaseDirectory /var/lib/clamav
UpdateLogFile /var/log/freshclam.log
LogFileMaxSize 2M
LogTime yes
LogRotate yes
PidFile /var/run/freshclam.pid
DatabaseOwner root
DatabaseMirror database.clamav.netvim ./etc/clamd.conf  //编译安装,或vim scan.confLogFile /var/log/clamd.scan
PidFile /var/run/clamd.scan/clamd.pid  
DatabaseDirectory /var/lib/clamav# 这里定义服务器类型(本地或者TCP,如果定义为使用本地socket则将此注释打开)
LocalSocket /var/run/clamd.scan/clamd.sock# 这里定义服务器类型(本地或者TCP,如果定义为使用TCP socket则将此注释打开)
TCPSocket 3310TCPAddr 127.0.0.1#检查库文件权限,755
ll -d /var/lib/clamav

3)启动服务

systemctl start clamav-freshclam
systemctl status clamav-freshclam
● clamav-freshclam.service - ClamAV virus database updaterLoaded: loaded (/usr/lib/systemd/system/clamav-freshclam.service; disabled; vendor preset: disabled)Active: active (running) since Tue 2022-07-12 23:36:48 CST; 8s agoDocs: man:freshclam(1)man:freshclam.conf(5)https://docs.clamav.net/Main PID: 11073 (freshclam)CGroup: /system.slice/clamav-freshclam.service└─11073 /usr/bin/freshclam -d --foreground=trueJul 12 23:36:48 3-bc-21-hb-centos7 systemd[1]: Started ClamAV virus database updater.
Jul 12 23:36:48 3-bc-21-hb-centos7 freshclam[11073]: Tue Jul 12 23:36:48 2022 -> ClamAV update process started at Tue Jul 12 23:36:48 2022
Jul 12 23:36:48 3-bc-21-hb-centos7 freshclam[11073]: Tue Jul 12 23:36:48 2022 -> daily database available for update (local version: 26532, remote version: 26599)systemctl enable clamav-freshclam
Created symlink from /etc/systemd/system/multi-user.target.wants/clamav-freshclam.service to /usr/lib/systemd/system/clamav-freshclam.service.

4)更新病毒库

ystemctl stop clamav-freshclam
/usr/bin/freshclam --datadir=/var/lib/clamav/   //Tue Jul 12 23:41:19 2022 -> ClamAV update process started at Tue Jul 12 23:41:19 2022
Tue Jul 12 23:41:19 2022 -> daily.cld database is up-to-date (version: 26599, sigs: 1989772, f-level: 90, builder: raynman)
Tue Jul 12 23:41:19 2022 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Tue Jul 12 23:41:19 2022 -> bytecode.cvd database is up-to-date (version: 333, sigs: 92, f-level: 63, builder: awillia2)#自动更新病毒库;默认情况下是禁止了自动更新功能,需要移除文件/etc/sysconfig/freshclam配置文件最后一行的配置才能启用;# FRESHCLAM_DELAY=
vim /etc/cron.d/clamav-update  //默认配置如下0  */3 * * * root /usr/share/clamav/freshclam-sleep > /dev/null

5)扫描

1、扫描文件
clamscan targetfile
2、递归扫描home目录,并且记录日志
clamscan -r -i /home -l /var/log/clamscan.log
3、递归扫描home目录,将病毒文件删除,并且记录日志
clamscan -r -i /home –remove -l /var/log/clamscan.log
4、建议##扫描指定目录,然后将感染文件移动到指定目录,并记录日志
clamscan -r -i /home –move=/opt/infected -l /var/log/clamscan.log
5、启动clamd服务,执行速度较快,不依赖服务(不需要开启服务也能用),默认会递归扫描子目录
clamdscan /home

———– SCAN SUMMARY ———–
Infected files: 0
Total errors: 1
Time: 0.000 sec (0 m 0 s)
Start Date: 2022:07:12 23:49:18
End Date: 2022:07:12 23:49:18
6、扫描过程中,只显示有问题的文件并且发出警报声音
clamscan -r –bell -i /home/
7、扫描到有问题的文件,直接删除
clamscan -r –remove /home/

定期扫描:

crontab -e
30 2 * * * /bin/freshclam --datadir=/var/lib/clamav/
30 3 * * * /bin/clamscan -ri <path/to/scan> | mail -s "clamscan daily report" 'youremailaddress'

6)clamscan命令选项

-r/--recursive[=yes/no]             所有文件
--log=FILE/-l FILE        增加扫描报告
--move [路径]          移动病毒文件至..
--remove [路径]              删除病毒文件
--quiet                  只输出错误消息
--infected/-i                       只输出感染文件
--suppress-ok-results/-o                   跳过扫描OK的文件
--bell                         扫描到病毒文件发出警报声音
--unzip(unrar)                 解压压缩文件扫描

……未完待续