来自 ClamAV 的更好的恶意软件保护

Question

我有点担心我的 linux 机器的安全性。ClamAV 显示它检测到恶意软件，但仅在手动扫描期间。也许它不是为在后台运行而设计的。我不知道。我只想为我的系统提供良好的保护。
Windows 中的至少 Avast 会立即阻止任何进一步的交互，如果它甚至得到轻微的恶意活动提示。我已经很久没有在手动扫描过程中看到任何 Windows 恶意软件弹出窗口了。

最近 ClamAV 显示了很多威胁，而且之前很多次

/home/arjun/.cache/mozilla/firefox/velcy2qd.default-1475046670923/cache2/entries/5B6A5C07930975FDE8750B7CA9824A79551A31A2      PUA.Win.Tool.Packed-177         
/home/arjun/.config/min/Cache/f_000036                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/min/Cache/f_000020                                                                                         PUA.Win.Trojan.Xored-1          
/home/arjun/.config/Vectr/Cache/f_000006                                                                                       PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/accessibility-developer-tools/2.11.0/package.tgz                                                              PUA.Html.Trojan.Agent-37075     
/home/arjun/.npm/npm/2.15.11/package.tgz                                                                                       PUA.Win.Trojan.Xored-1          
/home/arjun/.npm/imurmurhash/0.1.4/package.tgz                                                                                 PUA.Win.Trojan.Xored-1          
-------------------------------------------------------------------------------------------------------------------------------------------------------------------

我不知道这些是误报还是真正的恶意软件。如果我们通过这份报告 - http://www.networkworld.com/article/2989137/linux/av-test-lab-tests-16-linux-antivirus-products-against-windows-and-linux-malware.html - 它显示 ClamAV 的效率约为 60%。
事实上，报告建议使用 Kaspersky 甚至 Sophos 会好得多。互联网上还有许多其他报告也提出了同样的建议。

1. 您是否使用过其他显示出比 ClamAV 更好保护的软件？
2. 由于 ClamAV 是轻量级的，是否有任何“增强”可能来增加威胁检测？（我看到一些网站建议将他们的威胁签名添加到 ClamAV 列表中。它安全吗？）
3. 总的来说，这很重要，可以执行一些配置以加强保护，而不会减慢机器的速度。

Answer 1

也许它不是为在后台运行而设计的。

是的。在维基运行它作为一个后台程序和扫描仪显示的方法：

作为守护进程运行 ClamAV

安装 clamav 守护程序。然后，您可以在之前使用 clamscan 的地方使用 clamdscan。许多程序，尤其是电子邮件服务器，可以连接到 ClamAV 守护程序。由于程序始终在内存中，因此可以加快病毒扫描速度。

clamav-daemon 包创建了一个“clamav”用户；为了允许 ClamAV 扫描系统文件，例如您的邮件池，您可以将 clamav 添加到拥有这些文件的组。

让 ClamAV 侦听传入扫描

在某些情况下，您可能希望 ClamAV 守护程序充当其他系统的扫描程序，因此您不必在系统上本地运行所有内容。

为此，您只需修改 clamd.conf 文件并将 TCPSocket PORTNUMBER 和 TCPAddr IPADDRESS 参数添加到 clamd.conf 文件并重新加载守护程序。然后守护程序将通过您指定的 IP 地址和端口组合接受与它的连接。

我只想为我的系统提供良好的保护。

Linux从根本上不同于 Windows，所以我们没有继承 Windows（仍然）面临的问题。我们的系统已设置为多用户系统：预计有 1 个以上的用户同时使用它。这意味着我们在我们的系统中内置了一个安全模型，因为一些用户不希望看到所有内容或能够在我们的系统上做他们想做的事情。这也可以阻止恶意软件滥用您的系统。

是的，它不会使 Linux 无懈可击。但只要感染数百万个 Windows 系统比感染 1 台 Linux 机器容易，我们就赢了。只有当您的机器是专门针对的（例如，当您运行游戏服务器时），您才需要采取预防措施。但这些是：创建定期备份、使用正确的密码、使用路由器、密切关注 CVE 跟踪器、保持系统最新并且不安装不需要的软件。所有的事情你都应该以任何方式做。

• 您是否使用过其他显示出比 ClamAV 更好保护的软件？

是（第一部分：作为 30 多个系统的系统管理员，我检查了几个病毒扫描程序和根工具包检测器，并且还对不使用时的威胁风险进行了评估）和否（第二部分）。但这并不是因为 ClamAV 如此出色：它与任何其他病毒扫描程序一样糟糕。病毒扫描器的成功率都太低了，根本没用。当它声称是病毒的所有声明中几乎 100% 都是错误的时，我无法使用它。

• 由于 ClamAV 是轻量级的，是否有任何“增强”可能来增加威胁检测？（我看到一些网站建议将他们的威胁签名添加到 ClamAV 列表中。这样安全吗？）

例如，请参阅 ClamAV 的“doc”目录中的“signatures.pdf”，了解如何上传额外的病毒签名。

但这仅在您真正以第一人称发现病毒时才有用。病毒定义文件会定期更新，所以我怀疑是否有任何需要改进的地方。

• 总体而言（这很重要），您可以在下面找到可以执行的其他任务，以加强保护，而不会减慢机器的速度。

这是一个单独的问题，也与病毒扫描程序无关。

• 加密您的系统。
• 不要安装允许您使用 FTP、Telnet、rlogin 和 rsh 服务的软件
• 最小化安装的软件：不使用它？去掉它。
• 使您的系统保持最新。
• 使用强密码和密码老化。

重要的：

对您系统的保护并非来自防病毒软件；它来自于你如何对待你的系统。如果您确实发现了病毒，则为时已晚：删除病毒是不够的，因为您的系统已受到损害，需要从经过验证的干净备份中重新安装。您始终必须假设他们获得了您的管理员密码。