Agora vamos habilitar o On-Access Scanning conhecido também como Proteção em Tempo Real.

Segundo o que está na página oficial do Clamav:

"Varredura ao acessar: o aplicativo ClamOnAcc fornece varredura ao acessar para sistemas Linux. A varredura ao acessar é uma forma de proteção em tempo real que usa o ClamD para verificar os arquivos quando eles são acessados."

O Clamav não tem aquela proteção que fica o tempo todo "escaneando" o computador (aliás, antivírus nenhum tem, mas isso é passível de discussão), ele somente escaneia o diretório e/ou o arquivo quando ele é acessado, o que não é muito diferente. O cliente ClamOnAcc para o daemon de varredura ClamD fornece varredura no acesso em versões modernas do Linux. Isso inclui um recurso opcional para bloquear o acesso ao arquivo até que um arquivo seja verificado (prevenção no acesso).

IMPORTANTE: caso o fanotify não estiver habilitado no Kernel (página 1 - INTRODUÇÃO) não adianta fazer esse procedimento sem antes habilitá-lo.

Acesse o arquivo clamd.conf:

# systemctl stop clamav-daemon
# cd /etc/clamav
# vim clamd.conf

Deixe como está abaixo:


Salve e saia do arquivo.

Com a configuração acima (OnAccessPrevention yes e as outras após o último #) o fanotify bloqueará qualquer evento acionado permitindo que apenas arquivos limpos sejam abertos ou acessados. Essa configuração também alertará imediatamente se um arquivo malicioso for baixado inadvertidamente.

O inotify tem um número limitado de pontos de controle disponíveis para uso por um processo a qualquer momento. Para aumentar o número de inotifywatch-points disponíveis para uso pelo ClamAV (para 524288), execute:

# echo 20971520 | sudo tee -a /proc/sys/fs/inotify/max_user_watches

Saída:

20971520

AVISO: o número ali são 20M convertidos em bytes. Esse número deve ser o mesmo do parâmetro OnAccessMaxFileSize. Caso você mudar o número do parâmetro OnAccessMaxFileSize deve executar esse comando novamente com o novo número.

Por enquanto somente vamos configurar esses parâmetros, em outra oportunidade disponibilizo um arquivo clamd.conf mais completo com outras configurações.

Vejam bem, as opções acrescentadas acima estão todas comentadas mais abaixo no arquivo, somente acrescentei elas no início para evitar que tivessem que procurá-la no gigantesco arquivo, então caso você for configurar por conta o arquivo clamd.conf tenha cuidado de não repetir os parâmetros.

O parâmetro OnAccessIncludePath pode ser utilizado várias vezes, esse parâmetro especifica o(s) diretórios (com arquivos) que serão incluídos no escaneamento no acesso. No parâmetro OnAccessExcludePath excluímos do escaneamento o diretório sys para evitar muitos falsos positivos.

Tal diretório você deve escanear manualmente.

Execute:

# systemctl stop clamav-daemon

Esse comando demora alguns segundos, caso não retornar nada é porque está tudo certo:

# clamd

# systemctl start clamav-daemon
# systemctl start clamav-milter
# clamonacc

IMPORTANTE: cada vez que se alterar o arquivo clamd.conf deve-se executar os comandos na sequência acima. Você pode verificar com o comando top ou htop se o clamonacc está rodando: # htop

Descompactando os bancos de dados cvd adicionais:

# mkdir /tmp/clamav-sigs
# cd /tmp/clamav-sigs/
# sigtool --unpack /var/lib/clamav/main.cvd
# ls
COPYING   main.fp   main.hsb   main.mdb  main.ndb
main.crb  main.hdb  main.info  main.msb  main.sfp

# sigtool --unpack /var/lib/clamav/daily.cvd
# ls
COPYING    daily.ftm  daily.idb   daily.ldu  daily.ndb main.cdb  main.info  main.sfp
daily.cdb  daily.hdb  daily.ign   daily.mdb  daily.ndu main.crb  main.ldb
daily.cfg  daily.hdu  daily.ign2  daily.mdu  daily.pdb main.fp   main.mdb
daily.crb  daily.hsb  daily.info  daily.msb  daily.sfp main.hdb  main.msb
daily.fp   daily.hsu  daily.ldb   daily.msu  daily.wdb main.hsb  main.ndb

Atualizando a base não oficial:

# clamav-unofficial-sigs