Forum général.cherche-logiciel Configuration de ClamAV pour poste de travail

Posté par  (site web personnel) . Licence CC By‑SA.
4
13
fév.
2021

Ce sujet de forum reprend mon commentaire du journal Linux et la sécurité : un désert et un oasis que je pense avoir posté trop longtemps après les autres commentaires pour avoir une réponse.

Malgré la réputation de sécurité de Linux, un antivirus sur les postes de travail Linux me paraît de plus en plus nécessaire, ou en tout cas à envisager.

J'ai essayé dernièrement de configurer ClamAV (l'antivirus libre pour ceux qui ne connaissent pas) sur des postes de travail mais je n'ai pas su trouver une configuration qui soit à la fois efficace, non contraignante pour l'utilisateur et pas trop gourmande en ressources :

  • Par défaut il ne scanne les fichiers qu'à la demande (on pourrait bien sûr aussi programmer un scan régulier), mais ça ne me semble pas suffisant.
  • Il est possible de configurer et utiliser l'utilitaire clamonacc fournit avec ClamAV, mais il scanne les fichiers à chaque ouverture, visiblement sans aucun cache (deux ouvertures consécutives du même fichier lancent bien deux scans : ça me semble un gaspillage de ressources absurde.
  • Il est possible d'utiliser le système de fichiers FUSE clamfs, mais le fonctionnement ne me semble pas adapté pour une utilisation "normale" : les fichiers doivent transiter par un répertoire spécial pour être scannés avant d'être déplacé dans un répertoire de destination. Il faudrait donc forcer tous les téléchargements (Firefox, client de messagerie…) à se faire dans ce répertoire spécial. Du point de vue utilisateur ça me semble une vraie régression de ne plus pouvoir enregistrer un téléchargement directement où on le souhaite.

J'imagine deux solutions :
- Le plus simple peut-être, une extension pour Firefox et Thunderbird qui scanne automatiquement tous les fichiers téléchargés / pièces jointes. Je n'ai pas trouvé d'extension permettant de faire scanner le document par ClamAV.
- Avoir une configuration de clamonacc pour scanner les fichiers à l'écriture seulement (pas à chaque lecture).

Je suis preneur de tous vos avis, conseils ou retours d'expérience sur ce sujet !

  • # clamdscan + inotify

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    clamav-daemon, puis clamdscan avec inotify, comme décrit ici peut-être ?

    • [^] # Re: clamdscan + inotify

      Posté par  (site web personnel) . Évalué à 1.

      Merci pour la piste, je vais tester (je n'aurais malheureusement pas le temps dans les prochains jours) et je vous tiendrai au courant.

  • # Pourquoi ?

    Posté par  (Mastodon) . Évalué à 8.

    Malgré la réputation de sécurité de Linux, un antivirus sur les postes de travail Linux me paraît de plus en plus nécessaire, ou en tout cas à envisager.

    C'est pas du tout un troll, et la question pourrait être posée également sous Windows. J'ai jamais compris à quoi sert un antivirus. Enfin si évidemment, mais il faut vraiment installer n'importe quoi sur son PC pour choper un virus non ? Depuis mon AtariST (où j'étais infesté, mais le mode de propagation des virus était directement lié au fait qu'on copiait tout et n'importe quoi) je n'ai jamais eu de virus, sous Windows comme sous Linux.

    Au boulot on me file entre les pattes des PC WIndows, avec systématiquement un anti virus, et je n'ai jamais eu le moindre warning (disons en 20 ans de travail), même en étant admin et en installant divers outils de mon propre chef. Alors que du temps CPU et du grattage de disque, ils en ont bouffé !

    Quelqu'un ici a déjà chopé des virus ? Comment ?

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Pourquoi ?

      Posté par  (site web personnel) . Évalué à 2.

      De ce que je comprends et imagine, la porte d'entrée privilégiée des virus est la messagerie, avec des arnaques de plus en plus élaborées :

      • soit avec un virus en pièce jointe (ou un document avec macro)
      • soit avec un lien pointant vers un virus

      Notamment, je trouvais très instructif l'un des derniers rapports de l'ANSSI au chapitre 2.2.1.

      La plupart du temps un utilisateur éduqué ne se fera pas avoir, mais un jour ou l'autre il finira par cliquer, ça me semble inévitable (et oui, ça m'est déjà arrivé malgré toutes mes précautions)… D'un autre côté je n'ai pas souvenir qu'il y ait déjà eu de "virus" ciblant les postes de travail Linux, donc ça reste vraiment une précaution en plus et peut-être inutile, d'où l'idée de choisir le plus intelligemment possible quels fichiers scanner.

      • [^] # Re: Pourquoi ?

        Posté par  . Évalué à 4. Dernière modification le 14 février 2021 à 11:18.

        Salut,

        La plupart du temps un utilisateur éduqué ne se fera pas avoir

        Détrompe-toi.

        Je crois l'avoir déjà rapporté ici, face à des attaques de plus en plus sophistiquées, même les entreprises font de la sensibilisation en interne.

        Dans mon ancienne boite, ils ont pris un nom de domaine quasi identique (changement de tld), mis en place un certificat valide pour du https, repris le site en modifiant un tout petit peu la mécanique non visible et la DSI a envoyé un mail demandant à se loguer sous prétexte de mise à jour de mot de passe. Ça semblait vrai comme du vrai.

        J'ai vraiment bien failli me faire avoir. Il n'y a eu que mon flair, genre « c'est louche ce truc », qui m'a évité de tomber dans le panneau. Et plein d'autres pourtant éduqués se sont fait prendre.

        Matricule 23415

        • [^] # Re: Pourquoi ?

          Posté par  (Mastodon) . Évalué à 3.

          mis en place un certificat valide pour du https, repris le site en modifiant un tout petit peu la mécanique non visible et la DSI a envoyé un mail demandant à se loguer sous prétexte de mise à jour de mot de passe

          Vécu aussi. Mais autant je ne me suis pas fait avoir (l'appat du gain était autour de volontaires qui allaient soit-disant essayer les tout derniers Mac à la place des DELL officiellement utilisés… trop alléchant !), autant ceux qui se sont fait avoir avaient le même antivirus que moi et ça n'y a évidemment rien fait.

          Ma question est précisément sur les antivirus. Ça sert vraiment ?

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Pourquoi ?

      Posté par  (site web personnel) . Évalué à 2.

      A l'automne dernier, on a reçu des mails contaminés par EMOTET (renvoi de vrais mails issus de listes de diffusion, avec ajout d'une pièce jointe ou d'un lien). Tout était cohérent (sujet, expéditeur, contenu), et plusieurs utilisateurs se sont "fait avoir". Heureusement l'antivirus installé sur les postes linux a bloqué le téléchargement.

    • [^] # Re: Pourquoi ?

      Posté par  . Évalué à 3.

      Quelqu'un ici a déjà chopé des virus ?

      Pas à ma connaissance en tous cas.

      Comme on cause beaucoup des e-mails comme vecteur, je pense que mon habitude de n'afficher les mails qu'en mode texte participe à me protéger. Beaucoup d'astuces dans les pièges par e-mail semblent reposer sur les possibilités des mails en HTML, et la version texte est souvent bien moins travaillée.

      Pas possible par exemple en mode texte d'afficher un lien https://site-legit.tld/login qui pointe en fait sur http://site-malveillant/piège. Ce qui est une technique que j'ai vu utilisée plus d'une fois, et pas que pour des attaques : c'est aussi le fonctionnement des services d'e-mailing marketing (Mailchimp, Mailjet, etc.) pour compter les clics sur les liens.

      Après je ne suis probablement pas une cible intéressante, je ne me rappelle même plus de la dernière fois où j'ai eu un faux mail Gandi ou OVH me demandant de vite vite vite payer pour un domaine ou serveur qui expire. Alors que pour des assos à qui je donne des coups de main, c'est quelque chose que je vois encore de temps en temps.

      À savoir que je suis aussi sur un serveur mail auto-hébergé (postfix), avec un anti-spam (rspamd), qui est configuré de manière assez stricte. Donc je soupçonne qu'une bonne partie des mails foireux qui me seraient adressés n'arrivent en fait jamais jusque dans ma boîte de réception.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.