Primeiramente vamos configurar o clamav.

Vamos iniciar o clamd.

Edite o arquivo /etc/clamd.conf e coloque seu usuário como root.

Altere:

User clamav

Para:


E depois inicie o serviço:

# service clamd start

Caso dê um erro como esse descrito abaixo:

Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't open directory /var/clamav

Faça o seguinte, digite "setup", ele vai entrar num utilitário de configuração, depois disso escolha "Firewall configuration" e na opção SELinux marque a opção "Disabled", dê ok e saia. Então tente novamente iniciar o serviço:

# service clamd start

Agora rode o comando de atualização do clamav:

# freshclam

E pronto, o clamd está rodando.

Agora vamos configurar o proftpd.

Vamos editar o /etc/proftpd.conf. Adicione a seguinte linha:


Com isso tudo será logado no arquivo citado acima. E assim poderemos debugar o funcionamento do serviço.

Adicione as seguintes linhas para que o clamav verifique todos os arquivos que forem carregados para o servidor:


E pronto. Salve e saia.

Vamos iniciar o serviço:

# service proftpd start

Agora teoricamente estamos com um servidor ftp que varre todos os arquivos carregados. Vamos fazer um teste. Baixe um arquivo do eicar no site:

http://www.eicar.org/anti_virus_test_file.htm

E então faça o upload dele para o servidor. Esse arquivo é uma assinatura de vírus que serve pra testar serviços que rodam antivírus. Fazendo esse teste aqui eu obtive a seguinte resposta:

ftp 10.62.102.189
Connected to 10.62.102.189.
220 FTP Server ready.
500 AUTH not understood
500 AUTH not understood
KERBEROS_V4 rejected as an authentication type
Name (10.62.102.189:thiagoa): admin
331 Password required for admin
Password:
230 User admin logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> send eicar.com
local: eicar.com remote: eicar.com
227 Entering Passive Mode (10,62,102,189,135,152).
150 Opening BINARY mode data connection for eicar.com
550 Virus Detected and Removed: Eicar-Test-Signature
68 bytes sent in 0.016 seconds (4.2 Kbytes/s)

Essa é a mensagem que ele mostra para quem está fazendo o upload:

"550 Virus Detected and Removed: Eicar-Test-Signature"

No arquivo de log ele deve mostrar o seguinte:

(::ffff:10.62.102.122[::ffff:10.62.102.122]): mod_clamav/0.11rc: Virus 'Eicar-Test-Signature' found in '/home/admin/eicar.com'

E pronto, seu servidor está funcionando!

Obs.: Caso não consiga conectar no servidor mesmo após subir o serviço de ftp, adicione a seguinte linha ao arquivo /etc/sysconfig/iptables:


E reinicie o iptables.

# service iptables restart

Para configurar esses serviços (clamd e proftpd) para sempre iniciarem junto ao boot, use o comando ntsysv:

# ntsysv

Selecione os dois serviços, saia e pronto. Sempre que a máquina for iniciada eles também vão iniciar.

E pronto. Tudo ok.

Conclusão

Então é isso.

Podemos assim melhorar um pouco da segurança e certificar que nossos servidores de ftp não fiquem guardando vírus e nem prejudique rede MS.

Caso tenha alguma dúvida, sugestão, correção, poste aí um comentário que a gente responde.

Referências:

• http://www.google.com.br
• http://www.eicar.org
• http://www.thrallingpenguin.com/resources/mod_clamav.htm
• http://www.proftpd.org
• http://www.clamav.net

Obrigado.