Конфигурационные файлы антивируса ClamAV

Опубликовано nekit - вс, 05/08/2018 - 13:00
В данной статье приведен вольный перевод конфигурационных файлов известного антивируса ClamAV. Файлы взяты с версии 0.102

Конфигурационный файл clamd.conf:
  1. ##
  2. ## Конфигурационный файл демона ClamAV
  3. ## Рекомендуется прочитать ман clamd.conf(5) перед редактированием данного файла.
  4. ##
  5.  
  6.  
  7. # Закомментируйте или удалите строку ниже перед запуском демона clamd.
  8. #Example
  9.  
  10. # Раскомментируйте параметр, чтобы включить ведение лог файла.
  11. # Лог файл должен быть доступен для записи пользователю, по которым
  12. # будет запускаться демон clamd. Необходимо указывать полный путь до файла.
  13. # По умолчанию: выключено
  14. LogFile /var/log/clamav/clamd.log
  15.  
  16. # Для защиты от множественного запуска демона clamd, по умолчанию
  17. # на лог файл устанавливается блокировка (если есть необходимость запускать
  18. # несколько демонов clamd, тогда создайте отдельный конфигурационный файл
  19. # для каждого демона и указывайте другое значение в параметре LogFile.
  20. # Также при запуске другого экземпляра демона используйте параметр командной
  21. # строки --config-file для указания соответствующего конфигурационного файла).
  22. # Данный параметр параметр отключает процедуру установки блокировки на лог файл .
  23. # По умолчанию: no
  24. #LogFileUnlock yes
  25.  
  26. # Максимальный размер лог файла. При установке параметра в 0 ограничение будет снято.
  27. # Вы можете указывать единицы измерения, например, 'M' или 'm' для мегабайт
  28. # (1M = 1m = 1048576 байт), 'K' or 'k' для килобайт (1K = 1k = 1024 байт). Для задания параметра
  29. # в байтах просто не указывайте единицы измерения. Если параметр LogFileMaxSize включен,
  30. # тогда ротация логов (параметр LogRotate) всегда будет активна.
  31. # По умолчанию: 1M
  32. LogFileMaxSize 10M
  33.  
  34. # Добавлять информацию о дате и времени в каждое записываемое сообщение в лог файл .
  35. # По умолчанию: no
  36. LogTime yes
  37.  
  38. # Also log clean files. Useful in debugging but drastically increases the
  39. # log size.
  40. # Default: no
  41. #LogClean yes
  42.  
  43. # Писать лог через syslog (может работать совместно с LogFile).
  44. # По умолчанию: no
  45. #LogSyslog yes
  46.  
  47. # Specify the type of syslog messages - please refer to 'man syslog'
  48. # for facility names.
  49. # Default: LOG_LOCAL6
  50. #LogFacility LOG_MAIL
  51.  
  52. # Выводить в лог отладочную информацию.
  53. # По умолчанию: no
  54. #LogVerbose yes
  55.  
  56. # Включить ротацию логов. Всегда включено, когда значение LogFileMaxSize установлено не в 0.
  57. # По умолчанию: no
  58. LogRotate yes
  59.  
  60. # Выводить в лог дополнительную информацию о найденных зараженных фалах
  61. # (имя вируса, размер, хэш сумма и т.п.).
  62. # По умолчанию: no
  63. #ExtendedDetectionInfo yes
  64.  
  65. # Записывать идентификатор процесса (PID) clamd в файл.
  66. # По умолчанию: disabled
  67. PidFile /var/run/clamav/clamd.pid
  68.  
  69. # Путь до директории для хранения временных файлов.
  70. # По умолчанию: зависит от системы (обычно /tmp или /var/tmp).
  71. #TemporaryDirectory /var/tmp
  72.  
  73. # Путь до директории с базой вирусных сигнатур.
  74. # По умолчанию: используется знгачение, указанное при компиляции
  75. DatabaseDirectory /var/db/clamav
  76.  
  77. # Использовать только официальную (от проекта ClamAV) базу вирусных сигнатур.
  78. # По умолчанию: no
  79. OfficialDatabaseOnly yes
  80.  
  81.  
  82. # Демон может взаимодействовать с удаленными и локальными клиентами.
  83. # По соображениям безопасности, рекомендуется не разрешать подключения с удаленных хостов.
  84.  
  85. # Путь до файла (unix-сокета), через который будет осуществляться взаимодействие с клиентами.
  86. # По умолчанию: выключено
  87. LocalSocket /var/run/clamav/clamd.sock
  88.  
  89. # Группа владелец файла (unix-сокета).
  90. # По умолчанию: выключено (то есть устанавливается группа, под которой работает демон)
  91. #LocalSocketGroup virusgroup
  92.  
  93. # Права доступа к фалу (unix-сокету).
  94. # По умолчанию: выключено (то есть, сокет доступен всем)
  95. #LocalSocketMode 660
  96.  
  97. # Удалять перед запуском оставшийся файл (unix-сокет) после сбоя демона.
  98. # По умолчанию: yes
  99. FixStaleSocket yes
  100.  
  101. # Порт TCP.
  102. # По умолчанию: no
  103. #TCPSocket 3310
  104.  
  105. # IP адрес для TCP соединений.
  106. # По умолчанию демон принимает подключения на всех сетевых адресах компьютера.
  107. # По соображениям безопасности, рекомендуется указывать конкретный IP адрес для приема входящих подключений.
  108. # Параметр может быть зада несколько раз, для указания нескольких IP адресов.
  109. # На данный момент поддержка протокола IPv6 недоступна
  110. # По умолчанию: no
  111. #TCPAddr 127.0.0.1
  112.  
  113. # Максимальный размер очереди подключений.
  114. # По умолчанию: 200
  115. #MaxConnectionQueueLength 30
  116.  
  117. # Демон clamd использует FTP-подобный (FTP-like) протокол для получения данных от клиентов.
  118. # Если вы используете Clamav-milter для балансировки нагрузки между удаленными демонами clamd
  119. # на компьютере, выполняющем функции фаервола, тогда Вам необходимо настройку параметров ниже.
  120.  
  121. # Закрывать подключение, когда размер данных превышает указанный здесь.
  122. # Значение параметро должно совпадать с настройками MTA в части максимального размера вложения.
  123. # Default: 25M
  124. #StreamMaxLength 10M
  125.  
  126. # Диапазон используемых портов.
  127. # Default: 1024
  128. #StreamMinPort 30000
  129. # Default: 2048
  130. #StreamMaxPort 32000
  131.  
  132. # Максимальное количество используемых одновременно потоков.
  133. # Default: 10
  134. #MaxThreads 20
  135.  
  136. # Максимальное время простоя соединения (в секундах).
  137. # Default: 120
  138. #ReadTimeout 300
  139.  
  140. # Параметр определяет время (в секундах), через которое демон clamd закроет подключение,
  141. # в случае если клиент не отправит никаких данных после подключения.
  142. # Default: 30
  143. #CommandReadTimeout 30
  144.  
  145. # Параметр определяет время ожидания (в миллисекундах) в случае полного заполнения буфера отправки.
  146. # Рекомендуется сохранять значение параметра небольших с целью предотвращения подвисания демона.
  147. # Default: 500
  148. #SendBufTimeout 200
  149.  
  150. # Maximum number of queued items (including those being processed by MaxThreads threads)
  151. # It is recommended to have this value at least twice MaxThreads if possible.
  152. # WARNING: you shouldn't increase this too much to avoid running out  of file descriptors,
  153. # the following condition should hold:
  154. # MaxThreads*MaxRecursion + (MaxQueue - MaxThreads) + 6< RLIMIT_NOFILE (usual max is 1024)
  155. #
  156. # Default: 100
  157. #MaxQueue 200
  158.  
  159. # Waiting for a new job will timeout after this time (seconds).
  160. # Default: 30
  161. #IdleTimeout 60
  162.  
  163. # Не сканировать файлы и директории подпадающие под указанное здесь регулярное выражение
  164. # Директива может быть использована несколько раз.
  165. # Default: scan all
  166. #ExcludePath ^/proc/
  167. #ExcludePath ^/sys/
  168.  
  169. # Максимальная глубина сканируемых директорий.
  170. # Default: 15
  171. #MaxDirectoryRecursion 20
  172.  
  173. # Переходить ли по ссылкам (symlinks) на директории?
  174. # Default: no
  175. #FollowDirectorySymlinks yes
  176.  
  177. # Переходить ли по ссылкам (symlinks) на файлы?
  178. # Default: no
  179. #FollowFileSymlinks yes
  180.  
  181. # Сканировать файлы и директории, расположенных на других файловых системах.
  182. # Default: yes
  183. #CrossFilesystems yes
  184.  
  185. # Период проверки внутренней базы данных.
  186. # Default: 600 (10 min)
  187. #SelfCheck 600
  188.  
  189. # выполнять указанную здесь команду при обнаружении инфицированных файлов.
  190. # (Примечание: Вместо обозначения %v будет подставлено имя вируса)
  191. # Default: no
  192. #VirusEvent /usr/local/bin/send_sms 123456789 "VIRUS ALERT: %v"
  193.  
  194. # Запускать демон clamd под определенным пользователем (clamd должен запускать от пользователя root, чтобы опция работала)
  195. # Default: don't drop privileges
  196. User clamav
  197.  
  198. # Запускать демон clamd под определенной группой (clamd должен запускать от пользователя root, чтобы опция работала)
  199. # Default: no
  200. AllowSupplementaryGroups yes
  201.  
  202. # Завершать работу демона clamd, в случае отсутствия свободной памяти в системе.
  203. ExitOnOOM yes
  204.  
  205. # Переходить ли в фоновый режим?
  206. # Default: no
  207. #Foreground yes
  208.  
  209. # Включить вывод отладочных сообщений.
  210. # Default: no
  211. #Debug yes
  212.  
  213. # Не удалять временные файлы (в целях отладки).
  214. # Default: no
  215. #LeaveTemporaryFiles yes
  216.  
  217. # Разрешить использовать команду ALLMATCHSCAN. Если параметр установлен в no, тогда clamd будет отклонять
  218. # любые попытки использовать команду ALLMATCHSCAN.
  219. # Default: yes
  220. #AllowAllMatchScan no
  221.  
  222. # Проводить проверку на предмет "нежелательные приложения" (Detect Possibly Unwanted Applications).
  223. # Default: no
  224. DetectPUA yes
  225.  
  226. # Исключить определенные категории PUA. Данный параметр может быть использован несколько раз.
  227. # Полный список категорий PUA приведен тут  https://github.com/vrtadmin/clamav-faq/blob/master/faq/faq-pua.md
  228. # Default: Load all categories (if DetectPUA is activated)
  229. #ExcludePUA NetTool
  230. #ExcludePUA PWTool
  231.  
  232. # Включить определенные категории PUA. Данный параметр может быть использован несколько раз.
  233. # Default: Load all categories (if DetectPUA is activated)
  234. #IncludePUA Spy
  235. #IncludePUA Scanner
  236. #IncludePUA RAT
  237.  
  238. # This option causes memory or nested map scans to dump the content to disk.
  239. # If you turn on this option, more data is written to disk and is available
  240. # when the LeaveTemporaryFiles option is enabled.
  241. #ForceToDisk yes
  242.  
  243. # Кэшировать проверенные не зараженные файлы с целью исключения их повторного сканирования.
  244. # ClamAV сохраняет информацию о проверенных не зараженных файлах в MD5 хэше. После нескольких попаданий по
  245. # какой-нибудь записи в кэше, информация о такой записи удаляется из кэша (это если я правильно понял комментарий
  246. # в оригинале). Отключение данной опции может негативно отразиться на производительности при большом объеме
  247. # сканируемых файлов.
  248. # Default: no
  249. #DisableCache yes
  250.  
  251. # Использовать для некоторых типов файлов (eg. complex malware, exploits in graphic files, and others),
  252. # специальные алгоритмы определения на предмет содержания вредоносного кода с целью обеспечения
  253. # более точных (аккуратных) результатов сканирования.
  254. # Default: yes
  255. #HeuristicAlerts yes
  256.  
  257. # Allow heuristic alerts to take precedence.
  258. # When enabled, if a heuristic scan (such as phishingScan) detects
  259. # a possible virus/phish it will stop scan immediately. Recommended, saves CPU
  260. # scan-time.
  261. # When disabled, virus/phish detected by heuristic scans will be reported only
  262. # at the end of a scan. If an archive contains both a heuristically detected
  263. # virus/phish, and a real malware, the real malware will be reported
  264. #
  265. # Keep this disabled if you intend to handle "*.Heuristics.*" viruses
  266. # differently from "real" malware.
  267. # If a non-heuristically-detected virus (signature-based) is found first,
  268. # the scan is interrupted immediately, regardless of this config option.
  269. #
  270. # Default: no
  271. #HeuristicScanPrecedence yes
  272.  
  273.  
  274. ##
  275. ## Heuristic Alerts
  276. ##
  277.  
  278. # Антивирус может определять исполняемые файлы (PE и ELF) на предмет
  279. # повреждения их структуры (заголовков). Если в процессе сканирования
  280. # будет обнаружен подобный файл, то тогда он будет помечен,
  281. # как Broken.Executable.
  282. # Default: no
  283. #AlertBrokenExecutables yes
  284.  
  285. # Помечать зашифрованные архивы и документы как вирусы (Encrypted .zip,
  286. # .7zip, .rar, .pdf).
  287. # Default: no
  288. #AlertEncrypted yes
  289.  
  290. # Помечать зашифрованные архивы как вирусы (Encrypted .zip, .7zip, .rar)
  291. # Default: no
  292. #AlertEncryptedArchive yes
  293.  
  294. # Помечать зашифрованные документы как вирусы (Encrypted .pdf)
  295. # Default: no
  296. #AlertEncryptedDoc yes
  297.  
  298. # Помечать OLE2 файлы с VBA макросами и не определенные ClamAV
  299. # как содержащие вирусные сигнатуры "Heuristics.OLE2.ContainsMacros".
  300. # Default: no
  301. #AlertOLE2Macros yes
  302.  
  303. # Alert on SSL mismatches in URLs, even if the URL isn't in the database.
  304. # This can lead to false positives.
  305. # Default: no
  306. #AlertPhishingSSLMismatch yes
  307.  
  308. # Alert on cloaked URLs, even if URL isn't in database.
  309. # This can lead to false positives.
  310. # Default: no
  311. #AlertPhishingCloak yes
  312.  
  313. # Alert on raw DMG image files containing partition intersections
  314. # Default: no
  315. #AlertPartitionIntersection yes
  316.  
  317.  
  318. ##
  319. ## Исполняемые файлы
  320. ##
  321.  
  322. # PE (Portable Executable) - формат исполняемых файлов, ипользуемый на 32-х и 64-х битных
  323. # платформах Windows. Включение данного параметра позволяет ClamAV производить дополнительный
  324. # анализ исполняемых файлов в формате PE, в результате которого антивирус может определить
  325. # дополнительную важную информацию  о файел, например если исполняемый файл запакован с помощью
  326. # упаковщиков (UPX, FSG, и Petite), тогда ClamAV произведет декомпрессию файлу и сканирование
  327. # распакованных данных. Если данный параметр будет отключен, тогда файлы будут сканироваться
  328. # без дополнительного анализа.
  329. # Default: yes
  330. ScanPE yes
  331.  
  332. # Некоторые исполняемые файлы могут содержать подпись (криптографическую). По умолчанию, в
  333. # случае если файл является подозрительным или определен как вирус, антивирус проверяет
  334. # цепочку сертификатов, содержащихся в файле. Если сертификаты из цепочки являются
  335. # действующими (то есть ни один сертификат не является отозванным), тогда файл помечается
  336. # как безопасный. Если файл содержит хотя бы один отозванный сертификат, тогда файл помечается
  337. # как вирус. Если данный параметр включен, тогда ClamAV проверку подписи осуществлять не будет.
  338. # Default: no
  339. DisableCertCheck yes
  340.  
  341. # Executable and Linking Format является стандартным форматом для исполняемых файлов в U*NIX системах.
  342. # Включение данного параметра позволит ClamAV производить дополнительный анализ исполняемых файлов
  343. # в формате ELF. Если данный параметр будет отключен, тогда файлы будут сканироваться
  344. # без дополнительного анализа.
  345. # Default: yes
  346. ScanELF yes
  347.  
  348.  
  349. ##
  350. ## Документы
  351. ##
  352.  
  353. # ClamAV может производить дополнительный анализ OLE2 файлов, таких как документы Microsoft Office
  354. # и файлы  *.msi. Если данный параметр выключен, тогда антивирус будет производить сканирование
  355. # таких файлов без дополнительного анализа.
  356. # Default: yes
  357. ScanOLE2 yes
  358.  
  359. # ClamAV может производить дополнительный анализ PDF файлов. Если данный параметр выключен,
  360. # тогда антивирус будет производить сканирование таких файлов без дополнительного анализа.
  361. # Default: yes
  362. ScanPDF yes
  363.  
  364. # ClamAV может производить дополнительный анализ SWF файлов. Если данный параметр выключен,
  365. # тогда антивирус будет производить сканирование таких файлов без дополнительного анализа.
  366. # Default: yes
  367. ScanSWF yes
  368.  
  369. # Данная опция включает сканирование содержимого xml документов с разбором.
  370. # Если вы отключите данную опцию, то xml файл будет просканирован
  371. # без дополнительных проверок, учитывающих его содержимое.
  372. # Default: yes
  373. #ScanXMLDOCS yes
  374.  
  375. # This option enables scanning of HWP3 files.
  376. # If you turn off this option, the original files will still be scanned, but
  377. # without additional processing.
  378. # Default: yes
  379. #ScanHWP3 yes
  380.  
  381.  
  382. ##
  383. ## Файлы почтовых сообщений
  384. ##
  385.  
  386. # Включить функцию сканирования почтовых сообщений. Если вы отключите данную функцию, тогда
  387. # вложения в почтовых сообщениях просканированы не будут.
  388. # Default: yes
  389. ScanMail yes
  390.  
  391. # Scan RFC1341 messages split over many emails.
  392. # You will need to periodically clean up $TemporaryDirectory/clamav-partial directory.
  393. # WARNING: This option may open your system to a DoS attack.
  394. #      Never use it on loaded servers.
  395. # Default: no
  396. #ScanPartialMessages yes
  397.  
  398. # При включении данного параметра, ClamAV будет производить проверку почтовых сообщений
  399. # на предмет содержания фишинговых ссылок.
  400. # Default: yes
  401. PhishingSignatures yes
  402.  
  403. # Использовать эвристический анализ при поиске фишинговых ссылок в почтовых сообщениях.
  404. # Default: yes
  405. PhishingScanURLs yes
  406.  
  407.  
  408.  
  409. ##
  410. ## Предотвращение утечки данных (DLP)
  411. ##
  412.  
  413. # Включить модуль DLP
  414. # Default: No
  415. StructuredDataDetection no
  416.  
  417. # Блокировать передачу объектов, содержащих большее, чем указано здесь номеров кредитных карт.
  418. # Default: 3
  419. #StructuredMinCreditCardCount 5
  420.  
  421. # Блокировать передачу объектов, содержащих большее, чем указано здесь номеров социального страхования (SSNS).
  422. # Default: 3
  423. #StructuredMinSSNCount 5
  424.  
  425. # With this option enabled the DLP module will search for valid
  426. # SSNs formatted as xxx-yy-zzzz
  427. # Default: yes
  428. #StructuredSSNFormatNormal yes
  429.  
  430. # With this option enabled the DLP module will search for valid
  431. # SSNs formatted as xxxyyzzzz
  432. # Default: no
  433. #StructuredSSNFormatStripped yes
  434.  
  435.  
  436. ##
  437. ## HTML
  438. ##
  439.  
  440. # ClamAV может производить дополнительный анализ HTML файлов, которые содержат код
  441. # MS Script Encoder. Если данный параметр выключен, тогда антивирус будет производить
  442. # сканирование таких файлов без дополнительного анализа.
  443. # Default: yes
  444. ScanHTML yes
  445.  
  446.  
  447. ##
  448. ## Файловые архивы
  449. ##
  450.  
  451. # ClamAV может производить сканирование файловых архивов. Если данный параметр выключен,
  452. # тогда антивирус не будет производить распаковку архивов и дальнейшее сканирование
  453. # распакованных файлов.
  454. # Default: yes
  455. ScanArchive yes
  456.  
  457.  
  458. ##
  459. ## Ограничения
  460. ##
  461.  
  462. # Опции, представленные ниже, помогут Вам защитить систему от атак типа "Отказ в обслуживании"
  463. # (например, отправляя на сканирования слишком большие файловые архивы).
  464.  
  465. # Данная опция задает максимальное время работы сканера. В данной версии
  466. # опция применяется только при сканировании ZIP архивов. Чтобы отключить
  467. # функцию задайте значение "0".
  468. # Учтите: отключение данной функции или задание слишком больших значений
  469. # может привести к недоступности сервиса (Denial of Service) из-за
  470. # длительного сканирования большого объема данных.
  471. # Время указывается в миллисекундах.
  472. # Default: 120000
  473. #MaxScanTime 300000
  474.  
  475. # В данном параметре задается максимальный размер проверяемого файла, а для архивов максимальный
  476. # совокупный объем проверяемой информации. В случае задания параметра в 0 данный лимит будет снят.
  477. # Default: 100M
  478. MaxScanSize 150M
  479.  
  480. # Файлы с размером большим, чем указан здесь не будут сканироваться. Affects the input file itself
  481. # as well as files contained inside it (when the input file is an archive, a
  482. # document or some other kind of container).
  483. # Value of 0 disables the limit.
  484. # Note: disabling this limit or setting it too high may result in severe damage
  485. # to the system.
  486. # Default: 25M
  487. MaxFileSize 30M
  488.  
  489. # Nested archives are scanned recursively, e.g. if a Zip archive contains a RAR
  490. # file, all files within it will also be scanned. This options specifies how
  491. # deeply the process should be continued.
  492. # Note: setting this limit too high may result in severe damage to the system.
  493. # Default: 16
  494. MaxRecursion 20
  495.  
  496. # Максимальное количество проверяемых файлов в архиве, документе или в любом другом
  497. # контейнере. В случае задания параметра в 0 данный лимит будет снят.
  498. # Default: 10000
  499. #MaxFiles 15000
  500.  
  501. # Maximum size of a file to check for embedded PE. Files larger than this value
  502. # will skip the additional analysis step.
  503. # Note: disabling this limit or setting it too high may result in severe damage
  504. # to the system.
  505. # Default: 10M
  506. #MaxEmbeddedPE 10M
  507.  
  508. # Maximum size of a HTML file to normalize. HTML files larger than this value
  509. # will not be normalized or scanned.
  510. # Note: disabling this limit or setting it too high may result in severe damage
  511. # to the system.
  512. # Default: 10M
  513. #MaxHTMLNormalize 10M
  514.  
  515. # Maximum size of a normalized HTML file to scan. HTML files larger than this
  516. # value after normalization will not be scanned.
  517. # Note: disabling this limit or setting it too high may result in severe damage
  518. # to the system.
  519. # Default: 2M
  520. #MaxHTMLNoTags 2M
  521.  
  522. # Maximum size of a script file to normalize. Script content larger than this
  523. # value will not be normalized or scanned.
  524. # Note: disabling this limit or setting it too high may result in severe damage
  525. # to the system.
  526. # Default: 5M
  527. #MaxScriptNormalize 5M
  528.  
  529. # Maximum size of a ZIP file to reanalyze type recognition. ZIP files larger
  530. # than this value will skip the step to potentially reanalyze as PE.
  531. # Note: disabling this limit or setting it too high may result in severe damage
  532. # to the system.
  533. # Default: 1M
  534. #MaxZipTypeRcg 1M
  535.  
  536. # Максимальное количество сканируемых логических разделов, которые могут содержаться
  537. # в образе жесткого диска (raw disk image).
  538. # Default: 50
  539. #MaxPartitions 128
  540.  
  541. # Максимальное количество сканируемых иконок, которые могут содержаться в PE файле.
  542. # Default: 100
  543. #MaxIconsPE 200
  544.  
  545. # This option sets the maximum recursive calls for HWP3 parsing during
  546. # scanning. HWP3 files using more than this limit will be terminated and
  547. # alert the user.
  548. # Scans will be unable to scan any HWP3 attachments if the recursive limit
  549. # is reached.
  550. # Negative values are not allowed.
  551. # WARNING: setting this limit too high may result in severe damage or impact
  552. # performance.
  553. # Default: 16
  554. #MaxRecHWP3 16
  555.  
  556. # This option sets the maximum calls to the PCRE match function during
  557. # an instance of regex matching.
  558. # Instances using more than this limit will be terminated and alert the user
  559. # but the scan will continue.
  560. # For more information on match_limit, see the PCRE documentation.
  561. # Negative values are not allowed.
  562. # WARNING: setting this limit too high may severely impact performance.
  563. # Default: 100000
  564. #PCREMatchLimit 20000
  565.  
  566. # This option sets the maximum recursive calls to the PCRE match function
  567. # during an instance of regex matching.
  568. # Instances using more than this limit will be terminated and alert the user
  569. # but the scan will continue.
  570. # For more information on match_limit_recursion, see the PCRE documentation.
  571. # Negative values are not allowed and values > PCREMatchLimit are superfluous.
  572. # WARNING: setting this limit too high may severely impact performance.
  573. # Default: 2000
  574. #PCRERecMatchLimit 10000
  575.  
  576. # This option sets the maximum filesize for which PCRE subsigs will be
  577. # executed. Files exceeding this limit will not have PCRE subsigs executed
  578. # unless a subsig is encompassed to a smaller buffer.
  579. # Negative values are not allowed.
  580. # Setting this value to zero disables the limit.
  581. # WARNING: setting this limit too high or disabling it may severely impact
  582. # performance.
  583. # Default: 25M
  584. #PCREMaxFileSize 100M
  585.  
  586. # When AlertExceedsMax is set, files exceeding the MaxFileSize, MaxScanSize, or
  587. # MaxRecursion limit will be flagged with the virus
  588. # "Heuristics.Limits.Exceeded".
  589. # Default: no
  590. #AlertExceedsMax yes
  591.  
  592. ##
  593. ## Сканирование в момент доступа
  594. ##
  595.  
  596. # Включить сканирование в момент доступа. На текущий момент данная функция работает через fanotify.
  597. # Clamuko/Dazuko более не поддерживается.
  598. # Default: no
  599. #ScanOnAccess yes
  600.  
  601. # Не сканировать файлы, которые имеют больший, чем указано здесь размер.
  602. # Установка параметра 0 снимит ограничение.
  603. # Default: 5M
  604. #OnAccessMaxFileSize 10M
  605.  
  606. # Директории, в которых будет осуществляться сканирование в момент доступа.
  607. # Параметр может быть указан несколько раз.
  608. # Default: disabled
  609. #OnAccessIncludePath /home
  610. #OnAccessIncludePath /students
  611.  
  612. # Не производить сканирование в момент доступа в указанных здесь директориях.
  613. # Поддиректории также будут исключаться.
  614. # Default: disabled
  615. #OnAccessExcludePath /home/bofh
  616.  
  617. # With this option you can whitelist specific UIDs. Processes with these UIDs
  618. # will be able to access all files.
  619. # This option can be used multiple times (one per line).
  620. # Default: disabled
  621. #OnAccessExcludeUID 0
  622.  
  623.  
  624. ##
  625. ## Bytecode
  626. ##
  627.  
  628. # Разрешить ClamAV принимать оперативные изменения (дополнительные методы обнаружения вирусов и улучшения).
  629. # Рекомендуется оставлять данный параметр включенным с целью улучшения определения новых угроз.
  630. # Default: yes
  631. Bytecode yes
  632.  
  633. # Уровень безопасности пи работе с bytecode.
  634. # Возможные значения:
  635. #       None - no security at all, meant for debugging. DO NOT USE THIS ON PRODUCTION SYSTEMS
  636. #         This value is only available if clamav was built with --enable-debug!
  637. #       TrustSigned - trust bytecode loaded from signed .c[lv]d files,
  638. #                insert runtime safety checks for bytecode loaded from other sources
  639. #       Paranoid - don't trust any bytecode, insert runtime checks for all
  640. # Рекомендуется: TrustSigned, because bytecode in .cvd files already has these checks
  641. # Учтите, что по умолчанию разрешается загружать только подписанный bytecode. На текущий момент
  642. # не подписанный bytecode возможно загрузить только при использовании ключа --enable-debug.
  643. #
  644. # Default: TrustSigned
  645. BytecodeSecurity TrustSigned
  646.  
  647. # Set bytecode timeout in miliseconds.
  648. #
  649. # Default: 5000
  650. # BytecodeTimeout 1000


Конфигурационный файл freshclam.conf:
  1. ##
  2. ## Конфигурационный файл демона freshclam
  3. ## Рекомендуется прочитать ман freshclam.conf(5) перед редактированием данного файла.
  4. ##
  5.  
  6.  
  7. # Закомментируйте или удалите строку ниже перед запуском демона freshclam.
  8. #Example
  9.  
  10. # Путь до директории с базой данных вирусных сигнатур.
  11. # ВНИМАНИЕ: значение должно совпадать с значением, указанным в clamd.conf!
  12. # Default: hardcoded (depends on installation options)
  13. DatabaseDirectory /var/db/clamav
  14.  
  15. # Раскомментируйте параметр, чтобы включить ведение лог файла.
  16. # Лог файл должен быть доступен для записи пользователю, по которым
  17. # будет запускаться демон clamd. Необходимо указывать полный путь до файла.
  18. # Default: disabled
  19. UpdateLogFile /var/log/clamav/freshclam.log
  20.  
  21. # Максимальный размер лог файла. При установке параметра в 0 ограничение будет снято.
  22. # Вы можете указывать единицы измерения, например, 'M' или 'm' для мегабайт
  23. # (1M = 1m = 1048576 байт), 'K' or 'k' для килобайт (1K = 1k = 1024 байт). Для задания параметра
  24. # в байтах просто не указывайте единицы измерения. Если параметр LogFileMaxSize включен,
  25. # тогда ротация логов (параметр LogRotate) всегда будет активна.
  26. # Default: 1M
  27. LogFileMaxSize 5M
  28.  
  29. # Добавлять информацию о дате и времени в каждое записываемое сообщение в лог файл.
  30. # Default: no
  31. LogTime yes
  32.  
  33. # Выводить в лог отладочную информацию.
  34. # Default: no
  35. #LogVerbose yes
  36.  
  37. # Писать лог через syslog (может работать совместно с LogFile).
  38. # Default: no
  39. #LogSyslog yes
  40.  
  41. # Specify the type of syslog messages - please refer to 'man syslog'
  42. # for facility names.
  43. # Default: LOG_LOCAL6
  44. #LogFacility LOG_MAIL
  45.  
  46. # Включить ротацию логов. Всегда включено, когда значение LogFileMaxSize установлено не в 0.
  47. # Default: no
  48. LogRotate yes
  49.  
  50. # Записывать идентификатор процесса (PID) freshclam в файл.
  51. # Default: disabled
  52. PidFile /var/run/clamav/freshclam.pid
  53.  
  54. # Запускать демон freshclam под определенным пользователем (freshclam должен запускать от пользователя root, чтобы опция работала).
  55. # Default: clamav (may depend on installation options)
  56. DatabaseOwner clamav
  57.  
  58. # Запускать демон freshclam под определенной группой (freshclam должен запускать от пользователя root, чтобы опция работала).
  59. # Default: no
  60. AllowSupplementaryGroups yes
  61.  
  62. # Использовать DNS для проверки выхода новых обновлений базы данных вирусных сигнатур (для этого freshclam использует TXT записи).
  63. # С помощью данного параметра вы можете задать свой домен.
  64. # WARNING: Do not touch it unless you're configuring freshclam to use your own database verification domain.
  65. # Default: current.cvd.clamav.net
  66. DNSDatabaseInfo current.cvd.clamav.net
  67.  
  68. # Здесь вы можете задать сервер, с которого будет осуществляться загрузка обновлений,
  69. # где XY двухбуквенное обозначение страны (см. http://www.iana.org/cctld/cctld-whois.htm).
  70. # Также вы можете использовать db.XY.ipv6.clamav.net для подключений по протоколу IPv6.
  71. DatabaseMirror db.ru.clamav.net
  72.  
  73. # database.clamav.net is a round-robin record which points to our most reliable mirrors.
  74. # Используется в случае, если сервер db.XY.clamav.net не доступен.
  75. # Не трогайте данный параметр, если вы до конца не понимаете, для чего он нужен.
  76. DatabaseMirror database.clamav.net
  77.  
  78. # Количество попыток доступа к зеркалу, перед переходом к следующему зеркалу (round-robin).
  79. # Default: 3 (per mirror)
  80. MaxAttempts 5
  81.  
  82. # With this option you can control scripted updates. It's highly recommended
  83. # to keep it enabled.
  84. # Default: yes
  85. #ScriptedUpdates yes
  86.  
  87. # По умолчанию freshclam сохраняет локальные базы данных вирусных сигнатур (.cld)
  88. # в исходном виде с целью быстрой работы с ними. Вы можете указать демону freshclam,
  89. # чтобы он сжимал их с целью экономии места на диске. Изменение встпуит в силу при
  90. # следующем обновлении баз данных.
  91. # Default: no
  92. CompressLocalDatabase no
  93.  
  94. # With this option you can provide custom sources (http:// or file://) for
  95. # database files. This option can be used multiple times.
  96. # Default: no custom URLs
  97. #DatabaseCustomURL http://myserver.example.com/mysigs.ndb
  98. #DatabaseCustomURL https://myserver.example.com/mysigs.ndb
  99. #DatabaseCustomURL https://myserver.example.com:4567/whitelist.wdb
  100. #DatabaseCustomURL ftp://myserver.example.com/example.ldb
  101. #DatabaseCustomURL ftps://myserver.example.com:4567/example.ndb
  102. #DatabaseCustomURL file:///mnt/nfs/local.hdb
  103.  
  104. # This option allows you to easily point freshclam to private mirrors.
  105. # If PrivateMirror is set, freshclam does not attempt to use DNS
  106. # to determine whether its databases are out-of-date, instead it will
  107. # use the If-Modified-Since request or directly check the headers of the
  108. # remote database files. For each database, freshclam first attempts
  109. # to download the CLD file. If that fails, it tries to download the
  110. # CVD file. This option overrides DatabaseMirror, DNSDatabaseInfo
  111. # and ScriptedUpdates. It can be used multiple times to provide
  112. # fall-back mirrors.
  113. # Default: disabled
  114. #PrivateMirror mirror1.mynetwork.com
  115. #PrivateMirror mirror2.mynetwork.com
  116.  
  117. # Количество проверок обновлений в день.
  118. # Default: 12 (каждые два часа)
  119. #Checks 24
  120.  
  121. # Параметры прокси
  122. # The HTTPProxyServer may be prefixed with [scheme]:// to specify which kind
  123. # of proxy is used.
  124. #   http://     HTTP Proxy. Default when no scheme or proxy type is specified.
  125. #   https://    HTTPS Proxy. (Added in 7.52.0 for OpenSSL, GnuTLS and NSS)
  126. #   socks4://   SOCKS4 Proxy.
  127. #   socks4a://  SOCKS4a Proxy. Proxy resolves URL hostname.
  128. #   socks5://   SOCKS5 Proxy.
  129. #   socks5h://  SOCKS5 Proxy. Proxy resolves URL hostname.
  130. # Default: disabled
  131. #HTTPProxyServer myproxy.com
  132. #HTTPProxyPort 1234
  133. #HTTPProxyUsername myusername
  134. #HTTPProxyPassword mypass
  135.  
  136. # Если сервер с freshclam расположен за фаерволом (прокси), который осуществляет фильтрацию
  137. # трафика по заголовкам User-Agent, тогда Вам может понадобиться указать определенное значение,
  138. # подставляемое в заголовок User-Agent.
  139. # Default: clamav/version_number
  140. #HTTPUserAgent SomeUserAgentIdString
  141.  
  142. # Использовать freshclam определенный адрес для исходящих подключений с целью загрузки баз данных.
  143. # Полезно для систем с несколькими сетевыми интерфейсами.
  144. # Default: Use OS'es default outgoing IP address.
  145. #LocalIPAddress aaa.bbb.ccc.ddd
  146.  
  147. # Отправлять команду RELOAD демону clamd после обновления базы данных вирусных сигнатур.
  148. # Default: no
  149. NotifyClamd /usr/local/etc/clamd.conf
  150.  
  151. # Выпонять определенную команду после успешного обновления базы данных.
  152. # Default: disabled
  153. #OnUpdateExecute command
  154.  
  155. # Выпонять определенную команду в случае сбоя обновления базы данных.
  156. # Default: disabled
  157. #OnErrorExecute command
  158.  
  159. # Выполнять определенную команду когда freshclam обнаруживает, что БД устарела.
  160. # (Примечание: сокращение %v будет заменено на версию новой БД)
  161. # Default: disabled
  162. #OnOutdatedExecute command
  163.  
  164. # Переходить ли в фоновый режим?
  165. # Default: no
  166. #Foreground yes
  167.  
  168. # Включить вывод отладочных сообщений.
  169. # Default: no
  170. #Debug yes
  171.  
  172. # Лимит на время подключения к серверу с БД.
  173. # Default: 30
  174. #ConnectTimeout 60
  175.  
  176. # Лимит на время получения данных от сервера с БД.
  177. # Default: 30
  178. #ReceiveTimeout 60
  179.  
  180. # Проверять на корректность загруженную базу данных перед заменой старых файлов.
  181. # Увеличивается потребление памяти (только в момент проверки БД).
  182. # Default: yes
  183. TestDatabases yes
  184.  
  185. # This option enables support for Google Safe Browsing. When activated for
  186. # the first time, freshclam will download a new database file (safebrowsing.cvd)
  187. # which will be automatically loaded by clamd and clamscan during the next
  188. # reload, provided that the heuristic phishing detection is turned on. This
  189. # database includes information about websites that may be phishing sites or
  190. # possible sources of malware. When using this option, it's mandatory to run
  191. # freshclam at least every 30 minutes.
  192. # Freshclam uses the ClamAV's mirror infrastructure to distribute the
  193. # database and its updates but all the contents are provided under Google's
  194. # terms of use. See http://www.google.com/transparencyreport/safebrowsing
  195. # and http://www.clamav.net/documentation.html#safebrowsing
  196. # for more information.
  197. # Default: disabled
  198. #SafeBrowsing yes
  199.  
  200. # Загружать файл bytecode.cvd, который содержит оперативные изменения, а именно
  201. # дополнительные методы обнаружения вирусов и улучшения для антивируса ClamAV.
  202. # Default: enabled
  203. Bytecode yes
  204.  
  205. # Download an additional 3rd party signature database distributed through
  206. # the ClamAV mirrors.
  207. # This option can be used multiple times.
  208. #ExtraDatabase dbname1
  209. #ExtraDatabase dbname2
  210.  
  211. # Exclude a standard signature database (opt-out).
  212. # This option can be used multiple times.
  213. #ExcludeDatabase dbname1
  214. #ExcludeDatabase dbname2