====== Antivirus și securitate pe Linux ====== Linux este cunoscut pentru stabilitatea și securitatea sa, însă asta nu înseamnă că este invulnerabil. Un sistem Linux poate deveni vector de transmitere a virusurilor către sisteme Windows, poate fi infectat cu rootkit-uri, sau poate fi compromis prin malware specific Linux. Un antivirus nu este obligatoriu, dar este recomandat în anumite scenarii: servere de fișiere, sisteme cu trafic mare de fișiere sau utilizatori care lucrează cu documente primite din surse externe. Cele mai utilizate unelte open-source pentru securitate pe Linux sunt: * **ClamAV** - antivirus open-source, ideal pentru scanare manuală și automată * **rkhunter** - detectează rootkit-uri, backdoor-uri și fișiere suspecte * **chkrootkit** - unealtă complementară pentru detectarea rootkit-urilor * **Maldet (LMD)** - Linux Malware Detect, orientat spre servere web ---- ===== Antivirus pe Ubuntu ===== > Acest ghid se aplică și pentru distribuțiile bazate pe Ubuntu: **Linux Mint**, **Pop!_OS**, **Zorin OS**, **elementary OS**, **KDE Neon** și altele. ==== ClamAV ==== === Instalare === sudo apt update sudo apt install clamav clamav-daemon -y Verifică versiunea instalată: clamscan --version === Actualizarea bazei de date === Oprește serviciul înainte de actualizare manuală: sudo systemctl stop clamav-freshclam sudo freshclam sudo systemctl start clamav-freshclam Activează actualizarea automată a semnăturilor: sudo systemctl enable --now clamav-freshclam === Configurare === Fișierul de configurare principal se află la ''/etc/clamav/clamd.conf''. Câteva setări utile: # Activează jurnalizarea LogFile /var/log/clamav/clamav.log LogTime yes # Directoare excluse din scanare (opțional) ExcludePath ^/proc/ ExcludePath ^/sys/ ExcludePath ^/dev/ Repornește serviciul după modificări: sudo systemctl restart clamav-daemon === Utilizare === Scanare rapidă a directorului home: clamscan -r --bell -i ~/ Scanare completă a sistemului cu raport salvat: sudo clamscan -r --log=/var/log/clamav/scan-$(date +%F).log / Explicație parametri: * ''-r'' - recursiv (include subdirectoare) * ''--bell'' - sunet la depistarea unui fișier infectat * ''-i'' - afișează doar fișierele infectate * ''--remove'' - șterge automat fișierele infectate (folosiți cu atenție!) * ''--move=/quarantine'' - mută fișierele infectate în carantină Exemplu scanare cu carantină: sudo mkdir -p /quarantine sudo clamscan -r --move=/quarantine /home/ === Scanare automată cu cron === Adaugă o scanare săptămânală automată: sudo crontab -e Adaugă linia: 0 2 * * 0 clamscan -r --log=/var/log/clamav/scan-$(date +\%F).log /home/ --quiet ---- ==== rkhunter ==== === Instalare === sudo apt install rkhunter -y === Configurare inițială === sudo rkhunter --update sudo rkhunter --propupd ''--propupd'' creează o bază de date cu proprietățile actuale ale fișierelor de sistem - rulați-l **după** orice actualizare de sistem! === Utilizare === sudo rkhunter --check Scanare non-interactivă cu raport: sudo rkhunter --check --skip-keypress --logfile /var/log/rkhunter.log === Automatizare zilnică === sudo nano /etc/default/rkhunter Setează: CRON_DAILY_RUN="true" REPORT_EMAIL="utilizator@exemplu.com" ---- ==== chkrootkit ==== === Instalare === sudo apt install chkrootkit -y === Utilizare === sudo chkrootkit Caută doar rezultate suspecte: sudo chkrootkit | grep -v "not infected" | grep -v "not found" ---- ==== Sfaturi practice ==== * Rulează ''rkhunter --propupd'' după fiecare actualizare ''sudo apt upgrade'' * Nu te baza exclusiv pe antivirus - menține sistemul actualizat, folosește un firewall (''ufw''), și evită rularea de software din surse necunoscute * Combină ClamAV cu rkhunter pentru o acoperire mai bună * Pe un server, ia în considerare și **Fail2Ban** pentru protecție împotriva atacurilor brute-force ===== Antivirus pe Debian ===== > Acest ghid se aplică și pentru distribuțiile bazate pe Debian: **MX Linux**, **antiX**, **Kali Linux**, **Raspberry Pi OS** și altele. ==== ClamAV ==== === Instalare === sudo apt update sudo apt install clamav clamav-daemon -y Pe Debian, serviciul ''clamav-freshclam'' poate porni automat. Verifică starea: sudo systemctl status clamav-freshclam sudo systemctl status clamav-daemon === Actualizarea bazei de date === sudo systemctl stop clamav-freshclam sudo freshclam sudo systemctl start clamav-freshclam sudo systemctl enable clamav-freshclam === Configurare === Pe Debian, fișierul de configurare este tot ''/etc/clamav/clamd.conf''. Asigură-te că daemon-ul este configurat corect: sudo nano /etc/clamav/clamd.conf Setări recomandate: LogFile /var/log/clamav/clamav.log LogTime yes LogRotate yes MaxFileSize 25M MaxScanSize 100M # Excluderi recomandate ExcludePath ^/proc/ ExcludePath ^/sys/ ExcludePath ^/dev/ ExcludePath ^/run/ Pornește și activează daemon-ul: sudo systemctl enable --now clamav-daemon === Utilizare === Scanare director home: clamscan -r --bell -i ~/ Scanare completă cu jurnal: sudo clamscan -r --log=/var/log/clamav/scan-$(date +%F).log / Scanare cu carantină automată: sudo mkdir -p /var/quarantine sudo clamscan -r --move=/var/quarantine /home/ === Interfață grafică: ClamTk === Pe Debian cu mediu grafic, poți instala interfața grafică pentru ClamAV: sudo apt install clamtk -y ClamTk oferă: * Scanare vizuală a directoarelor * Planificator de scanări * Gestionarea carantinei * Actualizare ușoară a semnăturilor ---- ==== rkhunter ==== === Instalare === sudo apt install rkhunter -y === Configurare și inițializare === sudo rkhunter --update sudo rkhunter --propupd Editează configurația pentru notificări email: sudo nano /etc/rkhunter.conf MAIL-ON-WARNING=utilizator@exemplu.com MAIL_CMD=mail -s "[rkhunter] Avertisment pe $(hostname)" LANGUAGE=en === Utilizare === sudo rkhunter --check --sk ''--sk'' (''--skip-keypress'') rulează fără întreruperi interactive. === Verificare automată zilnică === Debian include rkhunter în cron.daily dacă este configurat: sudo nano /etc/default/rkhunter CRON_DAILY_RUN="true" CRON_DB_UPDATE="true" DB_UPDATE_EMAIL="false" REPORT_EMAIL="utilizator@exemplu.com" NICE="0" RUN_CHECK_ON_BATTERY="false" ---- ==== chkrootkit ==== === Instalare === sudo apt install chkrootkit -y Activează verificarea zilnică automată: sudo nano /etc/chkrootkit.conf RUN_DAILY="true" RUN_DAILY_OPTS="-q" === Utilizare manuală === sudo chkrootkit # Sau doar rezultatele suspecte: sudo chkrootkit -q ---- ==== Maldet (Linux Malware Detect) ==== Maldet este recomandat în special pentru servere Debian ce găzduiesc site-uri web. === Instalare === sudo apt install wget -y cd /tmp wget https://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzf maldetect-current.tar.gz cd maldetect-*/ sudo ./install.sh === Actualizare semnături === sudo maldet --update-sigs === Scanare director web === sudo maldet --scan-all /var/www/html/ ---- ==== Sfaturi practice ==== * Pe Debian **stable**, pachetele pot fi mai vechi - verifică periodic dacă există versiuni noi ale uneltelor de securitate în backports * Activează actualizările de securitate automate: ''sudo apt install unattended-upgrades'' * Combină ClamAV (viruși) + rkhunter (rootkits) + chkrootkit (verificare suplimentară) pentru protecție stratificată * Pe servere, adaugă și **Lynis** pentru audit de securitate: ''sudo apt install lynis && sudo lynis audit system'' ===== Antivirus pe Fedora ===== > Acest ghid se aplică și pentru distribuțiile bazate pe Fedora sau compatibile RPM: **Red Hat Enterprise Linux (RHEL)**, **AlmaLinux**, **Rocky Linux**, **CentOS Stream** și altele. ==== ClamAV ==== === Instalare === Pe Fedora, ClamAV se află în repozitoriul oficial: sudo dnf install clamav clamd clamav-update -y === Configurare === Copiază configurația implicită: sudo cp /etc/clamd.d/scan.conf /etc/clamd.d/scan.conf.bak sudo nano /etc/clamd.d/scan.conf Decomentează sau adaugă: # Activează log-ul LogFile /var/log/clamd.scan LogTime yes LogRotate yes # Socket-ul pentru daemon LocalSocket /run/clamd.scan/clamd.sock # Excluderi recomandate ExcludePath ^/proc/ ExcludePath ^/sys/ ExcludePath ^/dev/ Decomentează linia ''LocalSocket'' și comentează ''TCPSocket'' dacă există. === Configurare freshclam === sudo nano /etc/freshclam.conf Asigură-te că există: DatabaseOwner clamupdate UpdateLogFile /var/log/freshclam.log LogTime yes DatabaseDirectory /var/lib/clamav === Actualizarea bazei de date === sudo freshclam Activează actualizarea automată: sudo systemctl enable --now clamav-freshclam === Pornirea serviciului === sudo systemctl enable --now clamd@scan sudo systemctl status clamd@scan === Utilizare === Scanare director home: clamscan -r --bell -i ~/ Scanare completă: sudo clamscan -r --log=/var/log/clamav-scan-$(date +%F).log /home/ Scanare cu ștergere automată (atenție!): sudo clamscan -r --remove /tmp/ Scanare cu carantină: sudo mkdir -p /var/quarantine sudo clamscan -r --move=/var/quarantine /home/ === SELinux și ClamAV === Pe Fedora, SELinux poate bloca accesul ClamAV la anumite fișiere. Verifică și rezolvă: sudo ausearch -c 'clamd' --raw | audit2allow -M clamd-custom sudo semodule -i clamd-custom.pp Sau, dacă vrei să verifici fără SELinux temporar: sudo setenforce 0 # Permisiv temporar sudo clamscan -r /home/ sudo setenforce 1 # Reactivează ---- ==== rkhunter ==== === Instalare === sudo dnf install rkhunter -y === Configurare === sudo rkhunter --update sudo rkhunter --propupd Editează configurația: sudo nano /etc/rkhunter.conf MAIL-ON-WARNING=utilizator@exemplu.com SCRIPTWHITELIST=/usr/bin/egrep SCRIPTWHITELIST=/usr/bin/fgrep ALLOWHIDDENDIR=/dev/.udev ALLOWHIDDENDIR=/dev/.static === Utilizare === sudo rkhunter --check --sk Actualizare și verificare completă: sudo rkhunter --update && sudo rkhunter --check --sk --rwo ''--rwo'' (''--report-warnings-only'') - afișează doar avertismentele. === Automatizare === Creează un script de verificare zilnică: sudo nano /etc/cron.daily/rkhunter-check #!/bin/bash /usr/bin/rkhunter --update /usr/bin/rkhunter --check --skip-keypress --report-warnings-only \ --logfile /var/log/rkhunter.log sudo chmod +x /etc/cron.daily/rkhunter-check ---- ==== chkrootkit ==== Pe Fedora, chkrootkit nu se află în repozitoriile oficiale. Îl poți instala din surse: === Instalare din surse === sudo dnf install gcc make -y cd /tmp wget ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz cd chkrootkit-*/ make sense sudo ./chkrootkit ---- ==== Lynis - Audit complet de securitate ==== Lynis este o unealtă excelentă de audit pe sisteme bazate pe Fedora/RHEL: === Instalare === sudo dnf install lynis -y === Utilizare === sudo lynis audit system Raportul complet se salvează la ''/var/log/lynis.log'', iar raportul de date la ''/var/log/lynis-report.dat''. ---- ==== Sfaturi practice ==== * Pe Fedora, **SELinux este activ implicit** și oferă un strat suplimentar de securitate - nu îl dezactiva permanent * Actualizează sistemul regulat: ''sudo dnf upgrade --refresh'' * Activează **firewalld**: ''sudo systemctl enable --now firewalld'' * Verifică porturile deschise: ''sudo ss -tulnp'' * Pe Fedora Server, ia în considerare și ''sudo dnf install aide'' (Advanced Intrusion Detection Environment) ===== Antivirus pe Arch Linux ===== > Acest ghid se aplică și pentru distribuțiile bazate pe Arch: **Manjaro**, **EndeavourOS**, **Garuda Linux**, **ArcoLinux** și altele. ==== ClamAV ==== === Instalare === ClamAV este disponibil în repozitoriile oficiale Arch: sudo pacman -S clamav === Configurare inițială === Actualizează baza de date de semnături **înainte** de a porni serviciul: sudo freshclam Creează directoarele necesare dacă nu există: sudo mkdir -p /var/log/clamav sudo chown clamav:clamav /var/log/clamav === Configurare clamd === sudo nano /etc/clamav/clamd.conf Setări recomandate pentru Arch: # Utilizator pentru daemon User clamav # Socket local LocalSocket /run/clamav/clamd.ctl LocalSocketMode 660 # Jurnalizare LogFile /var/log/clamav/clamd.log LogTime yes LogRotate yes # Performanță MaxScanSize 150M MaxFileSize 30M MaxRecursion 16 MaxFiles 10000 # Excluderi ExcludePath ^/proc/ ExcludePath ^/sys/ ExcludePath ^/dev/ ExcludePath ^/run/ === Configurare freshclam === sudo nano /etc/clamav/freshclam.conf DatabaseOwner clamav UpdateLogFile /var/log/clamav/freshclam.log LogTime yes LogRotate yes DatabaseDirectory /var/lib/clamav NotifyClamd /etc/clamav/clamd.conf === Pornire servicii === sudo systemctl enable --now clamav-freshclam.service sudo systemctl enable --now clamav-daemon.service sudo systemctl status clamav-daemon.service === Utilizare === Scanare director curent: clamscan -r --bell -i . Scanare home cu jurnal: clamscan -r -i --log=/tmp/clamav-$(date +%F).log ~/ Scanare completă sistem (poate dura mult): sudo clamscan -r --exclude-dir="^/sys" \ --exclude-dir="^/proc" \ --exclude-dir="^/dev" \ --log=/var/log/clamav/fullscan-$(date +%F).log / === Carantină === sudo mkdir -p /var/quarantine sudo clamscan -r --move=/var/quarantine /home/ === Script de scanare rapidă === Creează un script comod: sudo nano /usr/local/bin/scan-home #!/bin/bash echo "=== ClamAV Scan - $(date) ===" clamscan -r --bell -i \ --log=/var/log/clamav/scan-$(date +%F_%H%M).log \ /home/ echo "Scanare completă. Verifică /var/log/clamav/ pentru raport." sudo chmod +x /usr/local/bin/scan-home ---- ==== rkhunter ==== === Instalare === sudo pacman -S rkhunter === Configurare === sudo rkhunter --update sudo rkhunter --propupd > **Important:** Rulează ''sudo rkhunter --propupd'' după fiecare actualizare de sistem cu ''sudo pacman -Syu''! Editează configurația: sudo nano /etc/rkhunter.conf Setări recomandate pentru Arch: UPDATE_MIRRORS=1 MIRRORS_MODE=0 MAIL-ON-WARNING="" LANGUAGE=en # Fișiere și directoare specifice Arch care pot apărea ca false pozitive SCRIPTWHITELIST=/usr/bin/egrep SCRIPTWHITELIST=/usr/bin/fgrep SCRIPTWHITELIST=/usr/bin/which ALLOWHIDDENDIR=/dev/.udev PKGMGR=PACMAN === Utilizare === sudo rkhunter --check --sk Doar avertismente: sudo rkhunter --check --sk --rwo === Automatizare cu systemd timer === Creează un serviciu și un timer systemd: sudo nano /etc/systemd/system/rkhunter.service [Unit] Description=rkhunter rootkit scan [Service] Type=oneshot ExecStart=/usr/bin/rkhunter --update ExecStart=/usr/bin/rkhunter --check --skip-keypress --report-warnings-only sudo nano /etc/systemd/system/rkhunter.timer [Unit] Description=rkhunter daily scan [Timer] OnCalendar=daily Persistent=true [Install] WantedBy=timers.target sudo systemctl enable --now rkhunter.timer sudo systemctl list-timers rkhunter* ---- ==== chkrootkit ==== === Instalare din AUR === # Cu yay yay -S chkrootkit # Cu paru paru -S chkrootkit # Manual git clone https://aur.archlinux.org/chkrootkit.git cd chkrootkit makepkg -si === Utilizare === sudo chkrootkit # Sau compact: sudo chkrootkit -q ---- ==== Lynis - Audit de securitate ==== === Instalare === sudo pacman -S lynis === Utilizare === sudo lynis audit system Raportul se generează la ''/var/log/lynis.log''. Lynis oferă un scor de securitate și recomandări specifice sistemului tău. ---- ==== Sfaturi practice pentru Arch ==== * Arch primește actualizări frecvente - rulează ''sudo rkhunter --propupd'' după fiecare ''sudo pacman -Syu'' * Abonează-te la [[https://security.archlinux.org/|Arch Linux Security Advisories]] pentru notificări de securitate * Activează un firewall simplu: ''sudo pacman -S ufw && sudo ufw enable'' * Verifică pachetele AUR cu atenție - citește PKGBUILD-ul înainte de instalare * Folosește ''sudo pacman -Qm'' pentru a lista pachetele din afara repozitoriilor oficiale (AUR/foreign) * Ia în considerare ''sudo pacman -S aide'' pentru monitorizarea integrității fișierelor de sistem ---- ===== Comparație unelte de securitate ===== ^ Unealtă ^ Tip ^ Interfață ^ Distribuții ^ | ClamAV | Antivirus | CLI + GUI (ClamTk) | Toate | | rkhunter | Rootkit detector | CLI | Toate | | chkrootkit | Rootkit detector | CLI | Toate | | Maldet | Malware (servere web) | CLI | Debian/Ubuntu/RHEL | | Lynis | Audit securitate | CLI | Toate | | AIDE | Integritate fișiere | CLI | Toate | ===== Concluzie ===== Pe Linux, securitatea este un proces continuu, nu un produs. Combinând un antivirus (ClamAV), un detector de rootkits (rkhunter), actualizări regulate ale sistemului și un firewall activ, obții o protecție solidă pentru uzul de zi cu zi. Pe sisteme critice sau servere, adaugă Lynis pentru audituri periodice și AIDE pentru monitorizarea integrității fișierelor de sistem. {{tag>antivirus securitate clamav rkhunter chkrootkit lynis malware rootkit ubuntu debian fedora arch linux-mint pop-os zorin-os endeavouros manjaro rocky-linux almalinux}}