信息安全是运维的根本,直接关系到企业的安危,稍有不慎会造成灾难性的后果。比如经年发生的多个知名网站会员数据库外泄事件,信息安全体系建设已经被提到了前所未有的高度。如何提升企业的安全防范水准是目前普遍面临的问题,主要有,安全设备防护、提高人员安全意识、实施系统平台安全加固、安全规范融合到ITIL体系、关注安全设备防护、提高人员安全意识、实施系统平台安全加固、安全规范融合到ITIL体系、关注最新安全发展动向,通过上述几个方面可以在很大程度上避免出现安全事故。

        通过Python来实现系统级的安全防范策略,包括构建集中式的病毒扫描机制端口安全扫描安全密码生成

1.构建集中式的病毒扫描机制

        Clam AntiVirus(ClamAV)是免费而且开放源代码的防毒软件,软件与病毒码的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上,提供电子邮件的病毒扫描服务。ClamAV本身是在文字接口下运作,但也有许多图形接口的前端工具可用,另外由于其开放源代码的特性,在Windows与Mac OS X平台都有其移植版。

官网地址:http://www.clamav.net/lang/en/

        pyClamad是一个Python第三方模块,可让Python直接使用ClamAV病毒扫描守护进程clamd,来实现一个高效的病毒检测功能

pyClamad模块安装方法如下

1、客户端(病毒扫描源)安装步骤

# yum -y install clamav clamd clamav-update      #安装clamavp相关程序包

# chkconfig --levels 235 clamd on   # 添加扫描守护进程clamd系统服务

#  /usr/bin/freshclam      # 更新病毒库,建议配置到crontab中定时更新

#  setenforce 0  # 关闭SELinux,避免远程扫描时提示无权限的问替

# 更新守护进程监听IP配置文件,根据不同环境自行修改监听的IP,“0.0.0.0”为监听所有主机IP

# sed -i -e '/^TCPADDr/{ s/127.0.0.1/0.0.0.0/;}'   /etc/clamd.conf

# /etc/init.d/clamd start  # 启动扫描守护进程

# 2、主控端部署pyClamad 环境步骤

# wget http://xael.org/norman/python/pyclamd/pyClamd-0.3.4.tar.gz

# tar -xzvf pyClamd-0.3.4.tar.gz

# python setup.py install

 

2.模块常用方法说明

pyClamad提供了两个关键嘞,一个为ClamdNetworkSocket()类,实现使用网络套接字操作clamd;另一个为ClamdUnixSocket()类,实现使用Unix套接字操作clamd。两个类定义的方法完全一样。

ClamdNetworkSocket()类

  • __init__(self,host='127.0.0.1',port=3310,timeout=None)方法,是ClamdNetworkSocket类的初始方法,参数host为连接主机IP;参数port为连接的端口,默认为3310,与/etc/clamd.conf配置文件中的TCPSocket参数要保持一致;timeout为连接的超时时间。
  • contcan_file(self,file)方法,实现扫描指定的文件或目录,在扫描时发生错误或发现病毒将不终止,参数file(string类型)为指定的文件或目录的绝对路径
  • multiscan_file(self,,file)方法,实现多线程扫描指定的文件或目录,多核环境速度更快,在扫描时发生错误或发现病毒将不终止,参数file(string类型)为指定的文件或目录的绝对路径
  • scan_file(self,file)方法,实现扫描指定的文件或目录,在扫描时发生错误或发现病毒将终止,参数file(string类型)为指定的文件或目录的绝对路径
  • shutdown(self)方法,实现强制关闭clamd进程并退出
  • stats(self)方法,获取Clamscan的当前状态
  • reload(self)方法,强制重载clamd病毒特征库,扫描前建议做reload操作
  • EICAR(self)方法,返回EICAR测试字符串,即生成具有病毒特征的字符串,便于测试

 

3.实践

实现一个集中式的病毒扫描管理,针对不同环境定制扫描策略,比如扫描对象、描述模式、扫描路径、调度评率等

1.首先对apt-get进行更新,执行下面的代码:

sudo apt-get update
sudo apt-get upgrade -y


2.之后安装clamav:这一步可能会出错,ubuntu会提示你重新执行一下上面的update方法,我试了一下,重新执行update之后再重新执行下面的命令就能成功执行了。

sudo apt-get install clamav clamav-daemon -y


3.更新病毒库:这一部分可能会报错,

ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

sudo freshclam

如果要停止守护程序并手动运行它:

sudo systemctl stop clamav-freshclam.service

手动运行它:

sudo freshclam

4.clamav安装成功之后,可以对它进行测试,执行下面的代码对home文件夹下的文件进行病毒查杀,不出错表示正常执行啦:

sudo clamscan -r /home


5.如果需要自动执行病毒查杀功能,需要执行下面的命令。第一行是启动clamav服务,这一个命令是你如果按章pyclamd调用clamav时必须要提前执行的方法。第二行命令是自动更新病毒库的。到这里,clamav的安装就结束了,撒花撒花~

sudo /etc/init.d/clamav-daemon start

sudo /etc/init.d/clamav-freshclam start


6.安装pyclamd,直接用pip install pyclamd就行,如果是用python3的话就换成pip3执行。

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import time
import pyclamd
from threading import Thread

class Scan(Thread):
    def __init__(self,IP,scan_type,file):
        """构造方法,参数初始化"""
        Thread.__init__(self)
        self.IP = IP
        self.scan_type = scan_type
        self.connstr=""
        self.scanresult=""

    def run(self):
        """多进程run方法"""
        try:
            cd = pyclamd.ClamdNetworkSocket(self.IP,22)
            if cd.ping():
                self.connstr = self.IP+" connection [ok]"
                cd.reload()  # 重载clamd病毒特征库,建议更新病毒库后做reload()操作
                if self.scan_type == "contscan_file":   #选择不同的扫描模式
                    self.scanresult = "{0}\n".format(cd.comtscan_file(self.file))
                elif self.scan_type == "multiscan_file":
                    self.scanresult = "{0}\n".format(cd.contscan_file(self.file))
                elif self.scan_type=="scan_file":
                    self.scanresult="{0}\n".format(cd.scan_file(self.file))
                time.sleep(1)   #线程挂起1秒
            else:
                self.connstr=self.IP+"ping error,exit"
                return
        except Exception as e:
            self.connstr=self.IP+""+str(e)
IPs = ['192.168.88.223']    #扫描主机列表
scantype = "multiscan_file"   # 指定扫描模式,支持multiscan_file、contscan_file\scan_file
scanfile = "/tmp"    # 指定扫描路径
i = 1

threadnum = 4 # 指定启动的线程数
scanlist = [] # 存储扫描Scan类线程对象列表

for ip in IPs:
    currp = Scan(ip,scantype,scanfile)  # 创建扫描Scan类对象,参数(IP,扫描模式,扫描路径)
    scanlist.append(currp)  # 追加对象到列表

    if  i%threadnum == 0 or i == len(IPs):      # 当达到指定的线程数或IP列表数后启动、退出线程
        for task in scanlist:
            task.join()    # 等待所有子线程退出,并输出扫描结果
            print(task.connstr)  # 打印服务器连接信息
            print(task.scanresult)  # 打印扫描结果
        scanlist = []
    i+=1   

Logo

助力广东及东莞地区开发者,代码托管、在线学习与竞赛、技术交流与分享、资源共享、职业发展,成为松山湖开发者首选的工作与学习平台

更多推荐