Artikel ini dibuat sebagai bagian dari tugas kantor untuk mencoba mengimplementasikan Wazuh di lingkungan kerja. Namun, karena penggunaan API VirusTotal versi gratis memiliki batasan, kita akhirnya memutuskan untuk sedikit memodifikasi ClamAV seperti yang telah kita bahas dalam tutorial sebelumnya tentang hardening Proxmox Mail Gateway. Setelah sebelumnya mengintegrasikan ClamAV dengan Malware Patrol, kali ini kita akan mengombinasikannya dengan alat ClamOnAcc.
ClamAV adalah mesin antivirus open-source yang banyak digunakan untuk mendeteksi virus dan malware pada berkas. ClamAV sering digunakan di server Linux dan Unix, dan sangat populer di kalangan administrator sistem serta profesional keamanan karena keandalannya. Dalam artikel ini, kita akan membahas cara menginstal ClamAV di sistem operasi Linux serta mengonfigurasinya untuk melakukan pemindaian real-time on-access.
Langkah-langkah Instalasi ClamAV dan ClamOnAcc
Langkah 1: Perbarui Sistem
Sebelum menginstal ClamAV, pastikan sistem kita sudah diperbarui dengan menjalankan perintah berikut:
sudo apt-get update && sudo apt-get upgrade
Langkah 2: Instal ClamAV
Untuk mengunduh ClamAV di sistem Linux berbasis Debian, jalankan perintah berikut:
sudo apt-get install clamav
Perintah ini akan menginstal ClamAV beserta daemon-nya.
Langkah 3: Perbarui ClamAV
Setelah instalasi selesai, penting untuk memperbarui database virus ClamAV. Jalankan perintah berikut:
sudo freshclam
Ini akan memperbarui basis data virus yang digunakan ClamAV.
Langkah 4: Konfigurasi ClamOnAcc
Selanjutnya, kita perlu mengonfigurasi ClamOnAcc dengan mengedit file konfigurasi ClamAV yang biasanya terletak di /etc/clamav/clamd.conf. Untuk konfigurasi sederhana, lakukan langkah-langkah berikut:
- Buka file
clamd.confuntuk diedit. - Tentukan jalur yang ingin dipantau secara rekursif dengan mengatur opsi
OnAccessIncludePath. - Atur
OnAccessPreventionkeyes. - Pastikan nama pengguna yang digunakan oleh ClamAV benar.
- Atur
OnAccessExcludeUnameke nama pengguna ClamAV. - Simpan perubahan dan tutup file konfigurasi.
Sebagai contoh, berikut adalah konfigurasi yang digunakan untuk memantau folder /tmp dan /var/tmp:
OnAccessIncludePath /opt/
OnAccessIncludePath /tmp/
OnAccessIncludePath /var/tmp/
OnAccessPrevention yes
OnAccessExtraScanning yes
OnAccessExcludeUname clamav
Langkah 5: Jalankan Layanan ClamAV dan ClamOnAcc
Setelah konfigurasi selesai, kita dapat menjalankan daemon ClamAV dan ClamOnAcc dengan izin tinggi.
sudo clamd
sudo clamonacc
Catatan: Kadang-kadang, kita mungkin mengalami masalah izin ketika menjalankan ClamOnAcc. Hal ini bisa disebabkan oleh direktori /var/run/clamav yang hilang atau pengguna ClamAV tidak memiliki izin yang cukup untuk membuatnya. Jika ini terjadi, kita dapat membuat direktori tersebut dan memberikan izin yang sesuai.
sudo mkdir /var/run/clamav
sudo chown clamav:clamav /var/run/clamav
Uji Keberhasilan
Untuk menguji apakah ClamAV On-Access bekerja, kita dapat mengunduh file uji antivirus eicar ke dalam direktori yang dipantau dan mencoba mengaksesnya. Jika berhasil, kita akan menerima pesan “Operation not permitted” meskipun mencoba mengaksesnya sebagai pengguna root.
https://secure.eicar.org/eicar.com -o /tmp/test.txt
cat /tmp/eicar.txt
Jika layanan berjalan dengan baik, kita tidak akan dapat mengakses file tersebut. Semua peristiwa ini akan dicatat di /var/log/clamav/clamav.log dan syslog, yang bisa kita gunakan untuk analisis lebih lanjut, termasuk untuk solusi SIEM (Security Information and Event Management).
Catatan Penting
Mengaktifkan ClamAV real-time scanner bisa sangat membebani CPU, sehingga penting untuk mengonfigurasinya sesuai dengan sistem dan beban kerja kita. Kita juga dapat menyesuaikan pengaturan seperti OnAccessPrevention dan OnAccessExcludePath dalam file konfigurasi ClamAV untuk mengatur bagaimana ClamAV merespons file yang terinfeksi. Dokumentasi ClamAV atau perintah man clamd.conf dapat memberikan informasi lebih lanjut.
Kesimpulan
ClamOnAcc adalah alat yang sangat berguna untuk memantau direktori di Linux terhadap malware dan virus. Bekerja sama dengan ClamAV, ClamOnAcc dapat meningkatkan efisiensi pemindaian dengan mengurangi operasi I/O dan menggunakan beberapa core CPU. Secara keseluruhan, ClamOnAcc membantu menjaga sistem Linux kita tetap aman dan terlindungi dari ancaman siber.
