在RHEL / CentOS 7.0 / 6.x和Fedora 21-12上安装LMD
LMD不提供在线软件仓库,但分布从该项目的网站上包。包含最新版本的源代码的tarball总是可以在以下链接中找到,它可以通过以下链接下载:# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz然后我们需要解压缩tarball并进入提取其内容的目录。由于目前的版本是 1.4.2,该目录是 maldetect-1.4.2。 在那里,我们会发现安装脚本 ,install.sh。
# tar -xvf maldetect-current.tar.gz # ls -l | grep maldetect
下载Linux恶意软件检测
# ./install.sh
在Linux中安装Linux恶意软件检测
配置Linux恶意软件检测
LMD的配置是通过 /usr/local/maldetect/conf.maldet处理,所有的选项都注释得很好,使配置相当容易的事。 如果您遇到问题,您也可以参考 /usr/local/src/maldetect-1.4.2/README的进一步说明。 在配置文件中,您将找到以下部分,括在方括号中:- 电子邮件警报
- QUARANTINE选项
- 扫描选项
- 统计分析
- 监视选项
- 如果您希望收到的恶意软件检查结果的电子邮件通知设置email_alert = 1。为了简洁起见,我们只会将邮件转发给本地系统用户,但您可以探索其他选项,例如向外发送邮件提醒。
- 如果你以前设置email_alert = 1设置email_subj =“您这儿主题”和EMAIL_ADDR =用户名@本地 。
- 随着quar_hits,恶意软件命中(只有0 =报警,1 =移到隔离区与警告),你会告诉LMD检测到恶意软件时,做什么的默认隔离操作。
- quar_clean将让你决定是否要清洗基于字符串的恶意软件注入。请记住,根据定义,字符串签名是“可能匹配恶意软件家族的许多变体的连续字节序列”。
- quar_susp,默认暂停与命中为用户的行动,将让你禁用其拥有的文件已被确定为命中一个帐户。
- clamav_scan = 1会告诉LMD尝试检测ClamAV的二进制的存在,并作为缺省扫描引擎使用。 这产生一个高达四倍更快的扫描性能和优异的十六进制分析。该选项只使用的ClamAV作为扫描器引擎,和LMD签名还是用于检测威胁的基础。
email_alert=1 email_addr=gacanepa@localhost email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)" quar_hits=1 quar_clean=1 quar_susp=1 clam_av=1