Cài Đặt ClamAV Để Bảo Vệ Máy Chủ Khỏi Virus Trên Ubuntu

ClamAV (Clam AntiVirus) là một bộ công cụ phần mềm diệt virus mã nguồn mở hoàn toàn miễn phí, được thiết kế đặc biệt cho môi trường UNIX/Linux. Mặc dù hệ điều hành Linux nổi tiếng về tính bảo mật và ít bị virus tấn công hơn Windows, nhưng việc trang bị một phần mềm diệt virus như ClamAV để quét các tệp tin tải xuống hoặc đính kèm qua email là vô cùng cần thiết để bảo vệ hệ thống toàn diện.

Bài viết này sẽ hướng dẫn bạn từng bước cài đặt, cập nhật cơ sở dữ liệu và cách quét virus cơ bản bằng ClamAV trên máy chủ Ubuntu.

1. Cài Đặt ClamAV Trên Ubuntu

Để cài đặt phần mềm ClamAV, bạn chỉ cần sử dụng trình quản lý gói apt. Hãy chạy lệnh sau dưới quyền root (hoặc dùng sudo):

apt -y install clamav

Mặc định, dịch vụ cập nhật dữ liệu virus của ClamAV là freshclam sẽ được chạy ngầm.

2. Cập Nhật Cơ Sở Dữ Liệu Virus (Pattern Files)

Sau khi cài đặt xong, việc quan trọng nhất là phải cập nhật cơ sở dữ liệu nhận diện virus (database) mới nhất.

Đầu tiên, bạn cần cấu hình lại một chút trong tệp /etc/clamav/freshclam.conf và tạm dừng dịch vụ tự động cập nhật:

# Vô hiệu hóa NotifyClamd trong file cấu hình
sed -i -e "s/^NotifyClamd/#NotifyClamd/g" /etc/clamav/freshclam.conf

# Dừng dịch vụ freshclam đang chạy ngầm
systemctl stop clamav-freshclam

Tiếp theo, hãy chạy lệnh sau để tiến hành tải bản cập nhật virus mới nhất bằng phương pháp thủ công:

freshclam

Output tham khảo cho thấy quá trình tải bản cập nhật thành công:

ClamAV update process started at Wed May  8 14:09:44 2024
Wed May  8 14:09:44 2024 -> daily.cvd database is up-to-date (version: 27268, sigs: 2060748, f-level: 90, builder: raynman)
Wed May  8 14:09:44 2024 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Wed May  8 14:09:44 2024 -> bytecode.cvd database is up-to-date (version: 335, sigs: 86, f-level: 90, builder: raynman)

Cuối cùng, hãy bật lại dịch vụ cập nhật tự động để ClamAV có thể tự tải dữ liệu mới mỗi ngày:

systemctl start clamav-freshclam

3. Hướng Dẫn Quét Virus Cơ Bản Bằng ClamAV

Bạn có thể sử dụng công cụ dòng lệnh clamscan để quét virus. Dưới đây là lệnh ví dụ để quét toàn bộ thư mục /home.

Các tham số được sử dụng:

• --infected: Chỉ in ra màn hình các file bị nhiễm virus.
• --remove: Tự động xóa file nếu phát hiện có virus.
• --recursive: Quét đệ quy (quét cả các thư mục con bên trong thư mục gốc).

clamscan --infected --remove --recursive /home

Kết quả sau khi quét xong (Scan Summary):

----------- SCAN SUMMARY -----------
Known viruses: 8692578
Engine version: 1.0.5
Scanned directories: 4
Scanned files: 4
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 12.707 sec (0 m 12 s)
Start Date: 2024:05:08 14:10:34
End Date:   2024:05:08 14:10:47

Như trong ví dụ trên, phần Infected files: 0 nghĩa là máy chủ an toàn và không phát hiện mã độc.

4. Kiểm Tra Thử Nghiệm Với File Virus (EICAR)

Để đảm bảo ClamAV đang thực sự hoạt động tốt, chúng ta có thể tải xuống một tệp tin chứa “virus giả lập” an toàn mang tên EICAR (một mẫu thử nghiệm virus tiêu chuẩn trong ngành bảo mật).

Tải file giả virus:

wget https://files.trendmicro.com/products/eicar-file/eicar.com

Tiến hành quét thư mục hiện tại (./):

clamscan --infected --remove --recursive ./

Kết quả màn hình sẽ hiển thị việc phát hiện và xóa mã độc:

/root/eicar.com: Win.Test.EICAR_HDB-1 FOUND
/root/eicar.com: Removed.

----------- SCAN SUMMARY -----------
Known viruses: 8692578
Engine version: 1.0.5
Scanned directories: 3
Scanned files: 6
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 12.682 sec (0 m 12 s)
Start Date: 2024:05:08 14:11:55
End Date:   2024:05:08 14:12:08

Tuyệt vời! ClamAV đã lập tức nhận diện eicar.com là mối đe dọa (Win.Test.EICAR_HDB-1 FOUND) và tự động gỡ bỏ nó khỏi hệ thống (Removed.).

---

Qua bài viết này, bạn đã trang bị thêm một lớp bảo mật vững chắc cho máy chủ Linux của mình bằng cách cài đặt thành công trình diệt virus ClamAV. Hãy nhớ thực hiện quét (scan) định kỳ ở các khu vực chứa nhiều dữ liệu nhạy cảm để đảm bảo an toàn tuyệt đối nhé. Chúc bạn thực hiện thành công!