En los tiempos que corren, las amenazas de virus y malware son muy frecuentes. Debemos de protegernos todo lo posible, incluso en sistemas Linux.

En este post vamos a ver como instalar el antivirus ClamAV y configurarlo para tener protección en tiempo real.

Instalación

Todo el proceso a sido realizado en Debian, pero debería funcionar perfectamente en cualquier distribución derivada de esta.

• Actualizamos repositorios y el sistema:

$ sudo apt update && sudo apt upgrade

• Instalamos ClamAV:

$ sudo apt install clamav clamav-daemon

Por defecto, ClamAV actualizará de forma automática sus base de datos de virus, pero si queremos hacerlo manualmente:

$ sudo service clamav-freshclam stop
$ sudo freshclam
$ sudo service clamav-freshclam start

Hemos parado el servicio que hace automáticamente la actualización, actualizado manualmente y vuelto a arrancar el servicio.

Protección en tiempo real

Ahora vamos a configurar la protección en tiempo real u on acces de ClamAV. En esta definiremos que directorios queremos monitorear para esta protección.

Es muy importante que escojamos los directorios cuidadosamente, ya que si ponemos alguno con mucho uso podremos bloquear el sistema de forma drástica.

• Editamos el fichero de configuración:

$ sudo nano /etc/clamav/clamd.conf

• Pegamos al final lo siguiente, modificando los directorios incluidos según tus necesidades:

# Protección en tiempo real
OnAccessIncludePath /tmp/
OnAccessIncludePath /var/tmp/
OnAccessIncludePath /home/rlodeiro/Downloads
OnAccessPrevention yes
OnAccessExtraScanning yes
OnAccessExcludeUname clamav
OnAccessExcludeUname root
User root

He puesto User root ya que con el por defecto no me funcionaba. Si tienes presente en el fichero la linea User clamav coméntala.

• Creamos el directorio de cuarentena, donde los virus detectados en los directorios que hemos indicado serán movidos de forma automática:

$ sudo su -
$ cd /root/
$ mkdir quarantine
$ exit

• Reiniciamos el servicio de clamav-daemon:

$ sudo systemctl restart clamav-daemon.service

• Habilitamos e iniciamos el servicio de clamonacc, encargado de la protección en tiempo real:

$ sudo systemctl enable clamav-clamonacc.service
$ sudo systemctl start clamav-clamonacc.service

Para probar que la protección se ha activado correctamente, descargaremos un fichero utilizado para probar los antivirus. Es totalmente inocuo.

• Situados en uno de los directorios incluidos en la configuración:

$ curl https://secure.eicar.org/eicar.com -o test.txt

El archivo debe ser detectado como virus inmediatamente y movido a /root/quarantine.

• Para ver el log con las acciones tomadas:

$ sudo nano /var/log/clamav/clamonacc.log

Interfaz gráfica

Por último, instalaremos una interfaz gráfica para ClamAV, la cual nos simplificará tareas de detección de virus entre otras.

$ sudo apt install clamtk

La interfaz luce tal que así:

Desde ella podemos realizar múltiples acciones de forma visual. Destaco la facilidad de escanear archivos o carpetas de forma manual.