Antivirus și securitate pe Linux

Cuprins

Antivirus și securitate pe Linux

Linux este cunoscut pentru stabilitatea și securitatea sa, însă asta nu înseamnă că este invulnerabil. Un sistem Linux poate deveni vector de transmitere a virusurilor către sisteme Windows, poate fi infectat cu rootkit-uri, sau poate fi compromis prin malware specific Linux. Un antivirus nu este obligatoriu, dar este recomandat în anumite scenarii: servere de fișiere, sisteme cu trafic mare de fișiere sau utilizatori care lucrează cu documente primite din surse externe.

Cele mai utilizate unelte open-source pentru securitate pe Linux sunt:

  • ClamAV - antivirus open-source, ideal pentru scanare manuală și automată
  • rkhunter - detectează rootkit-uri, backdoor-uri și fișiere suspecte
  • chkrootkit - unealtă complementară pentru detectarea rootkit-urilor
  • Maldet (LMD) - Linux Malware Detect, orientat spre servere web

Antivirus pe Ubuntu

Acest ghid se aplică și pentru distribuțiile bazate pe Ubuntu: Linux Mint, Pop!_OS, Zorin OS, elementary OS, KDE Neon și altele.

ClamAV

Instalare

sudo apt update
sudo apt install clamav clamav-daemon -y

Verifică versiunea instalată: 

clamscan --version

Actualizarea bazei de date

Oprește serviciul înainte de actualizare manuală: 

sudo systemctl stop clamav-freshclam
sudo freshclam
sudo systemctl start clamav-freshclam

Activează actualizarea automată a semnăturilor: 

sudo systemctl enable --now clamav-freshclam

Configurare

Fișierul de configurare principal se află la /etc/clamav/clamd.conf. Câteva setări utile: 

# Activează jurnalizarea
LogFile /var/log/clamav/clamav.log
LogTime yes

# Directoare excluse din scanare (opțional)
ExcludePath ^/proc/
ExcludePath ^/sys/
ExcludePath ^/dev/

Repornește serviciul după modificări: 

sudo systemctl restart clamav-daemon

Utilizare

Scanare rapidă a directorului home: 

clamscan -r --bell -i ~/

Scanare completă a sistemului cu raport salvat: 

sudo clamscan -r --log=/var/log/clamav/scan-$(date +%F).log /

Explicație parametri:

  • -r - recursiv (include subdirectoare)
  • –bell - sunet la depistarea unui fișier infectat
  • -i - afișează doar fișierele infectate
  • –remove - șterge automat fișierele infectate (folosiți cu atenție!)
  • –move=/quarantine - mută fișierele infectate în carantină

Exemplu scanare cu carantină: 

sudo mkdir -p /quarantine
sudo clamscan -r --move=/quarantine /home/

Scanare automată cu cron

Adaugă o scanare săptămânală automată: 

sudo crontab -e

Adaugă linia: 

0 2 * * 0 clamscan -r --log=/var/log/clamav/scan-$(date +\%F).log /home/ --quiet

rkhunter

Instalare

sudo apt install rkhunter -y

Configurare inițială

sudo rkhunter --update
sudo rkhunter --propupd

–propupd creează o bază de date cu proprietățile actuale ale fișierelor de sistem - rulați-l după orice actualizare de sistem!

Utilizare

sudo rkhunter --check

Scanare non-interactivă cu raport: 

sudo rkhunter --check --skip-keypress --logfile /var/log/rkhunter.log

Automatizare zilnică

sudo nano /etc/default/rkhunter

Setează: 

CRON_DAILY_RUN="true"
REPORT_EMAIL="utilizator@exemplu.com"

chkrootkit

Instalare

sudo apt install chkrootkit -y

Utilizare

sudo chkrootkit

Caută doar rezultate suspecte: 

sudo chkrootkit | grep -v "not infected" | grep -v "not found"

Sfaturi practice

  • Rulează rkhunter –propupd după fiecare actualizare sudo apt upgrade
  • Nu te baza exclusiv pe antivirus - menține sistemul actualizat, folosește un firewall (ufw), și evită rularea de software din surse necunoscute
  • Combină ClamAV cu rkhunter pentru o acoperire mai bună
  • Pe un server, ia în considerare și Fail2Ban pentru protecție împotriva atacurilor brute-force

Antivirus pe Debian

Acest ghid se aplică și pentru distribuțiile bazate pe Debian: MX Linux, antiX, Kali Linux, Raspberry Pi OS și altele.

ClamAV

Instalare

sudo apt update
sudo apt install clamav clamav-daemon -y

Pe Debian, serviciul clamav-freshclam poate porni automat. Verifică starea: 

sudo systemctl status clamav-freshclam
sudo systemctl status clamav-daemon

Actualizarea bazei de date

sudo systemctl stop clamav-freshclam
sudo freshclam
sudo systemctl start clamav-freshclam
sudo systemctl enable clamav-freshclam

Configurare

Pe Debian, fișierul de configurare este tot /etc/clamav/clamd.conf. Asigură-te că daemon-ul este configurat corect: 

sudo nano /etc/clamav/clamd.conf

Setări recomandate: 

LogFile /var/log/clamav/clamav.log
LogTime yes
LogRotate yes
MaxFileSize 25M
MaxScanSize 100M

# Excluderi recomandate
ExcludePath ^/proc/
ExcludePath ^/sys/
ExcludePath ^/dev/
ExcludePath ^/run/

Pornește și activează daemon-ul: 

sudo systemctl enable --now clamav-daemon

Utilizare

Scanare director home: 

clamscan -r --bell -i ~/

Scanare completă cu jurnal: 

sudo clamscan -r --log=/var/log/clamav/scan-$(date +%F).log /

Scanare cu carantină automată: 

sudo mkdir -p /var/quarantine
sudo clamscan -r --move=/var/quarantine /home/

Interfață grafică: ClamTk

Pe Debian cu mediu grafic, poți instala interfața grafică pentru ClamAV: 

sudo apt install clamtk -y

ClamTk oferă:

  • Scanare vizuală a directoarelor
  • Planificator de scanări
  • Gestionarea carantinei
  • Actualizare ușoară a semnăturilor

rkhunter

Instalare

sudo apt install rkhunter -y

Configurare și inițializare

sudo rkhunter --update
sudo rkhunter --propupd

Editează configurația pentru notificări email: 

sudo nano /etc/rkhunter.conf
MAIL-ON-WARNING=utilizator@exemplu.com
MAIL_CMD=mail -s "[rkhunter] Avertisment pe $(hostname)"
LANGUAGE=en

Utilizare

sudo rkhunter --check --sk

–sk (–skip-keypress) rulează fără întreruperi interactive.

Verificare automată zilnică

Debian include rkhunter în cron.daily dacă este configurat: 

sudo nano /etc/default/rkhunter
CRON_DAILY_RUN="true"
CRON_DB_UPDATE="true"
DB_UPDATE_EMAIL="false"
REPORT_EMAIL="utilizator@exemplu.com"
NICE="0"
RUN_CHECK_ON_BATTERY="false"

chkrootkit

Instalare

sudo apt install chkrootkit -y

Activează verificarea zilnică automată: 

sudo nano /etc/chkrootkit.conf
RUN_DAILY="true"
RUN_DAILY_OPTS="-q"

Utilizare manuală

sudo chkrootkit
# Sau doar rezultatele suspecte:
sudo chkrootkit -q

Maldet (Linux Malware Detect)

Maldet este recomandat în special pentru servere Debian ce găzduiesc site-uri web.

Instalare

sudo apt install wget -y
cd /tmp
wget https://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*/
sudo ./install.sh

Actualizare semnături

sudo maldet --update-sigs

Scanare director web

sudo maldet --scan-all /var/www/html/

Sfaturi practice

  • Pe Debian stable, pachetele pot fi mai vechi - verifică periodic dacă există versiuni noi ale uneltelor de securitate în backports
  • Activează actualizările de securitate automate: sudo apt install unattended-upgrades
  • Combină ClamAV (viruși) + rkhunter (rootkits) + chkrootkit (verificare suplimentară) pentru protecție stratificată
  • Pe servere, adaugă și Lynis pentru audit de securitate: sudo apt install lynis && sudo lynis audit system

Antivirus pe Fedora

Acest ghid se aplică și pentru distribuțiile bazate pe Fedora sau compatibile RPM: Red Hat Enterprise Linux (RHEL), AlmaLinux, Rocky Linux, CentOS Stream și altele.

ClamAV

Instalare

Pe Fedora, ClamAV se află în repozitoriul oficial: 

sudo dnf install clamav clamd clamav-update -y

Configurare

Copiază configurația implicită: 

sudo cp /etc/clamd.d/scan.conf /etc/clamd.d/scan.conf.bak
sudo nano /etc/clamd.d/scan.conf

Decomentează sau adaugă: 

# Activează log-ul
LogFile /var/log/clamd.scan
LogTime yes
LogRotate yes

# Socket-ul pentru daemon
LocalSocket /run/clamd.scan/clamd.sock

# Excluderi recomandate
ExcludePath ^/proc/
ExcludePath ^/sys/
ExcludePath ^/dev/

Decomentează linia LocalSocket și comentează TCPSocket dacă există.

Configurare freshclam

sudo nano /etc/freshclam.conf

Asigură-te că există: 

DatabaseOwner clamupdate
UpdateLogFile /var/log/freshclam.log
LogTime yes
DatabaseDirectory /var/lib/clamav

Actualizarea bazei de date

sudo freshclam

Activează actualizarea automată: 

sudo systemctl enable --now clamav-freshclam

Pornirea serviciului

sudo systemctl enable --now clamd@scan
sudo systemctl status clamd@scan

Utilizare

Scanare director home: 

clamscan -r --bell -i ~/

Scanare completă: 

sudo clamscan -r --log=/var/log/clamav-scan-$(date +%F).log /home/

Scanare cu ștergere automată (atenție!): 

sudo clamscan -r --remove /tmp/

Scanare cu carantină: 

sudo mkdir -p /var/quarantine
sudo clamscan -r --move=/var/quarantine /home/

SELinux și ClamAV

Pe Fedora, SELinux poate bloca accesul ClamAV la anumite fișiere. Verifică și rezolvă: 

sudo ausearch -c 'clamd' --raw | audit2allow -M clamd-custom
sudo semodule -i clamd-custom.pp

Sau, dacă vrei să verifici fără SELinux temporar: 

sudo setenforce 0  # Permisiv temporar
sudo clamscan -r /home/
sudo setenforce 1  # Reactivează

rkhunter

Instalare

sudo dnf install rkhunter -y

Configurare

sudo rkhunter --update
sudo rkhunter --propupd

Editează configurația: 

sudo nano /etc/rkhunter.conf
MAIL-ON-WARNING=utilizator@exemplu.com
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.static

Utilizare

sudo rkhunter --check --sk

Actualizare și verificare completă: 

sudo rkhunter --update && sudo rkhunter --check --sk --rwo

–rwo (–report-warnings-only) - afișează doar avertismentele.

Automatizare

Creează un script de verificare zilnică: 

sudo nano /etc/cron.daily/rkhunter-check
#!/bin/bash
/usr/bin/rkhunter --update
/usr/bin/rkhunter --check --skip-keypress --report-warnings-only \
  --logfile /var/log/rkhunter.log
sudo chmod +x /etc/cron.daily/rkhunter-check

chkrootkit

Pe Fedora, chkrootkit nu se află în repozitoriile oficiale. Îl poți instala din surse:

Instalare din surse

sudo dnf install gcc make -y
cd /tmp
wget ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
tar -xzf chkrootkit.tar.gz
cd chkrootkit-*/
make sense
sudo ./chkrootkit

Lynis - Audit complet de securitate

Lynis este o unealtă excelentă de audit pe sisteme bazate pe Fedora/RHEL:

Instalare

sudo dnf install lynis -y

Utilizare

sudo lynis audit system

Raportul complet se salvează la /var/log/lynis.log, iar raportul de date la /var/log/lynis-report.dat.

Sfaturi practice

  • Pe Fedora, SELinux este activ implicit și oferă un strat suplimentar de securitate - nu îl dezactiva permanent
  • Actualizează sistemul regulat: sudo dnf upgrade –refresh
  • Activează firewalld: sudo systemctl enable –now firewalld
  • Verifică porturile deschise: sudo ss -tulnp
  • Pe Fedora Server, ia în considerare și sudo dnf install aide (Advanced Intrusion Detection Environment)

Antivirus pe Arch Linux

Acest ghid se aplică și pentru distribuțiile bazate pe Arch: Manjaro, EndeavourOS, Garuda Linux, ArcoLinux și altele.

ClamAV

Instalare

ClamAV este disponibil în repozitoriile oficiale Arch: 

sudo pacman -S clamav

Configurare inițială

Actualizează baza de date de semnături înainte de a porni serviciul: 

sudo freshclam

Creează directoarele necesare dacă nu există: 

sudo mkdir -p /var/log/clamav
sudo chown clamav:clamav /var/log/clamav

Configurare clamd

sudo nano /etc/clamav/clamd.conf

Setări recomandate pentru Arch: 

# Utilizator pentru daemon
User clamav

# Socket local
LocalSocket /run/clamav/clamd.ctl
LocalSocketMode 660

# Jurnalizare
LogFile /var/log/clamav/clamd.log
LogTime yes
LogRotate yes

# Performanță
MaxScanSize 150M
MaxFileSize 30M
MaxRecursion 16
MaxFiles 10000

# Excluderi
ExcludePath ^/proc/
ExcludePath ^/sys/
ExcludePath ^/dev/
ExcludePath ^/run/

Configurare freshclam

sudo nano /etc/clamav/freshclam.conf
DatabaseOwner clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogTime yes
LogRotate yes
DatabaseDirectory /var/lib/clamav
NotifyClamd /etc/clamav/clamd.conf

Pornire servicii

sudo systemctl enable --now clamav-freshclam.service
sudo systemctl enable --now clamav-daemon.service
sudo systemctl status clamav-daemon.service

Utilizare

Scanare director curent: 

clamscan -r --bell -i .

Scanare home cu jurnal: 

clamscan -r -i --log=/tmp/clamav-$(date +%F).log ~/

Scanare completă sistem (poate dura mult): 

sudo clamscan -r --exclude-dir="^/sys" \
              --exclude-dir="^/proc" \
              --exclude-dir="^/dev" \
              --log=/var/log/clamav/fullscan-$(date +%F).log /

Carantină

sudo mkdir -p /var/quarantine
sudo clamscan -r --move=/var/quarantine /home/

Script de scanare rapidă

Creează un script comod: 

sudo nano /usr/local/bin/scan-home
#!/bin/bash
echo "=== ClamAV Scan - $(date) ==="
clamscan -r --bell -i \
  --log=/var/log/clamav/scan-$(date +%F_%H%M).log \
  /home/
echo "Scanare completă. Verifică /var/log/clamav/ pentru raport."
sudo chmod +x /usr/local/bin/scan-home

rkhunter

Instalare

sudo pacman -S rkhunter

Configurare

sudo rkhunter --update
sudo rkhunter --propupd
Important: Rulează sudo rkhunter –propupd după fiecare actualizare de sistem cu sudo pacman -Syu!

Editează configurația: 

sudo nano /etc/rkhunter.conf

Setări recomandate pentru Arch: 

UPDATE_MIRRORS=1
MIRRORS_MODE=0
MAIL-ON-WARNING=""
LANGUAGE=en

# Fișiere și directoare specifice Arch care pot apărea ca false pozitive
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
ALLOWHIDDENDIR=/dev/.udev
PKGMGR=PACMAN

Utilizare

sudo rkhunter --check --sk

Doar avertismente: 

sudo rkhunter --check --sk --rwo

Automatizare cu systemd timer

Creează un serviciu și un timer systemd: 

sudo nano /etc/systemd/system/rkhunter.service
[Unit]
Description=rkhunter rootkit scan

[Service]
Type=oneshot
ExecStart=/usr/bin/rkhunter --update
ExecStart=/usr/bin/rkhunter --check --skip-keypress --report-warnings-only
sudo nano /etc/systemd/system/rkhunter.timer
[Unit]
Description=rkhunter daily scan

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target
sudo systemctl enable --now rkhunter.timer
sudo systemctl list-timers rkhunter*

chkrootkit

Instalare din AUR

# Cu yay
yay -S chkrootkit
 
# Cu paru
paru -S chkrootkit
 
# Manual
git clone https://aur.archlinux.org/chkrootkit.git
cd chkrootkit
makepkg -si

Utilizare

sudo chkrootkit
# Sau compact:
sudo chkrootkit -q

Lynis - Audit de securitate

Instalare

sudo pacman -S lynis

Utilizare

sudo lynis audit system

Raportul se generează la /var/log/lynis.log. Lynis oferă un scor de securitate și recomandări specifice sistemului tău.

Sfaturi practice pentru Arch

  • Arch primește actualizări frecvente - rulează sudo rkhunter –propupd după fiecare sudo pacman -Syu
  • Abonează-te la Arch Linux Security Advisories pentru notificări de securitate
  • Activează un firewall simplu: sudo pacman -S ufw && sudo ufw enable
  • Verifică pachetele AUR cu atenție - citește PKGBUILD-ul înainte de instalare
  • Folosește sudo pacman -Qm pentru a lista pachetele din afara repozitoriilor oficiale (AUR/foreign)
  • Ia în considerare sudo pacman -S aide pentru monitorizarea integrității fișierelor de sistem

Comparație unelte de securitate

Unealtă Tip Interfață Distribuții
ClamAV Antivirus CLI + GUI (ClamTk) Toate
rkhunter Rootkit detector CLI Toate
chkrootkit Rootkit detector CLI Toate
Maldet Malware (servere web) CLI Debian/Ubuntu/RHEL
Lynis Audit securitate CLI Toate
AIDE Integritate fișiere CLI Toate

Concluzie

Pe Linux, securitatea este un proces continuu, nu un produs. Combinând un antivirus (ClamAV), un detector de rootkits (rkhunter), actualizări regulate ale sistemului și un firewall activ, obții o protecție solidă pentru uzul de zi cu zi. Pe sisteme critice sau servere, adaugă Lynis pentru audituri periodice și AIDE pentru monitorizarea integrității fișierelor de sistem.