Tbpgr Blog

Employee Experience Engineer tbpgr(てぃーびー) のブログ

ClamAVのオンアクセススキャンについて

ClamAVのオンアクセススキャンについてまとめます

on access scan とは?

Kernel 2.6.36以降の Lunux に含まれる fanotify ベースのオンアクセススキャン機能。
いわゆるリアルタイムスキャン。

設定

オンアクセススキャンの設定は、デーモン起動時のファイルスキャン用の設定ファイルである clamd.conf を共用する。
clamd.conf については以下記事に概要をまとめた。

tbpgr.hatenablog.com

設定例

clamd.conf の設定例。
ScanOnAccess でオンアクセススキャンを有効にします。

OnAccessIncludePath でスキャン対象の指定。
OnAccessExcludePath で除外対象を指定します。

# 略
ScanOnAccess yes
# 略
OnAccessIncludePath /home/user/
OnAccessExcludePath /home/user/some/log/path
  • 検出テスト

テスト用のウイルスファイル(EICARテストファイル)を作成し、 clamav.log を確認。
無事検出できました。

Wed Apr 19 21:24:29 2017 -> ScanOnAccess: /home/user/xxxx.com: Eicar-Test-Signature(69630e4574ec6798239b091cda43dca0:69) FOUND

関連資料