ClamAV入れる

そのうちそのうち思ってて導入していなかったウイルスチェック系のソフトやっと導入する

# sudo apt install clamav clamav-daemon
# sudo systemctl start clamav-daemon.service
# sudo systemctl enable clamav-daemon.service

# sudo systemctl start clamav-freshclam.service
# sudo systemctl enable clamav-freshclam.service

パーミッションの問題があるようなので、実行ユーザを設定ファイルから変更してみる

# sudo vi /etc/clamav/clamd.conf

10行目
User clamav ← これをコメントアウト

検出時の通知方法はちょっと検討中
スキャン中に1.2GBほどメモリ食ってるけどCPUとかは他のサーバ動作には影響ないくらいかな？

1日経過

翌日手動でチェックしてみようと思ったらclamdが死んでた
周りのログ調べてみたらoom-killer動いているので完全にメモリ不足

ということでメモリ購入しつつ、暫定的にスワップファイルを追加
確かにスワップフルになってたし、タイミング次第でメモリ1GB切っていたので夜中に色々動いたら死ぬ可能性あるわ

メモリを8GB→16GBに更新予定
スワップも2GBしかなかったので暫定で16GBに。メモリ更新後もこれでいいかな

1週間経過

clamonaccまでは導入
検出はログからGraylogのダッシュボードに表示ってくらいのゆるゆるにしている状態
色々途中経過は書いておきたいけどそのうち

メモとしては「パーミッション」

clamonaccの起動設定

systemdで起動しようとした際に何も考えずに起動したらclamdがちゃんと起動する前に実行しようとして起動失敗していて色々試していた。
systemd側で対応しようと色々やってたのに、結局clamonaccのマニュアル見たら--waitオプションがあってclamdの起動待ってくれるオプションがあったという罠

エラーが出て止まっていた

2024/03/30にログ管理ツールのダッシュボードの移行とか考えていて色々やってたらclamonaccが止まっててリアルタイムスキャンできなくなってた。やばい。
原因探ったところあるスキャンディレクトリでエラーが出ていた。検索したところ以下が引っかかっておそらく同じ原因。大量の小さいファイルをバックアップしているディレクトリだったので制限に引っかかっていると思われる。

www.masm11.me

とりあえず除外したら復帰した