clamd.conf の説明 - fメモいまさら館

引用元: http://oxynotes.com/?p=6533
##
## Example config file for the Clam AV daemon
## Please read the clamd.conf(5) manual before editing this file.
##

# Clam AV daemonについての設定ファイル
# 詳細はclamd.conf(5) manualを参照

# Comment or remove the line below.
# ここをコメントアウトした状態にしないと実行できない。
#Example

# Uncomment this option to enable logging.
# LogFile must be writable for the user running daemon.
# A full path is required.
# Default: disabled
# コメントアウトを外すとログが有効になる。デフォルトは無効。
LogFile /var/log/clamav/clamd.log

# By default the log file is locked for writing - the lock protects against
# running clamd multiple times (if want to run another clamd, please
# copy the configuration file, change the LogFile variable, and run
# the daemon with --config-file option).
# This option disables log file locking.
# Default: no
# デフォルトで上記のログファイルは書き込み専用でロックされている
# コメントアウトを外すとロックを解除
#LogFileUnlock yes

# Maximum size of the log file.
# Value of 0 disables the limit.
# You may use 'M' or 'm' for megabytes (1M = 1m = 1048576 bytes)
# and 'K' or 'k' for kilobytes (1K = 1k = 1024 bytes). To specify the size
# in bytes just don't use modifiers.
# Default: 1M
# ログファイルの最大サイズ。指定したサイズより大きい場合はログが出力されない。0だと無制限
LogFileMaxSize 0

# Log time with each message.
# Default: no
# ログファイルに日時を記載する。デフォルトは無効。
LogTime yes

# Also log clean files. Useful in debugging but drastically increases the
# log size.
# Default: no
# 詳細なログを取る。ログサイズが膨大になるため注意。デフォルトは無効。
#LogClean yes

# Use system logger (can work together with LogFile).
# Default: no
# ログをシステムロガー（rsyslog等）へ出力。LogFileとは別ファイルに同じログが出力される。デフォルトは無効。
# ちなみにローテーションに関してはインストール時に/etc/logrotate.d/clamavが作成されている
LogSyslog yes

# Specify the type of syslog messages - please refer to 'man syslog'
# for facility names.
# Default: LOG_LOCAL6
# rsyslog等に書きだされるファシリティーの名前を指定。デフォルトはLOG_LOCAL6。
#LogFacility LOG_MAIL

# Enable verbose logging.
# Default: no
# 詳細なログを出力。この設定はシムテムロガーに書きだされるログに対して有効。LogFileへの詳細出力はLogCleanで指定する。デフォルトは無効。
#LogVerbose yes

# Log additional information about the infected file, such as its
# size and hash, together with the virus name.
# ウイルス名以外にもファイルサイズやハッシュ値などの情報もログに記載する。
#ExtendedDetectionInfo yes

# This option allows you to save a process identifier of the listening
# daemon (main thread).
# Default: disabled
# プロセス識別子（PID）の指定
PidFile /var/run/clamav/clamd.pid

# Optional path to the global temporary directory.
# Default: system specific (usually /tmp or /var/tmp).
# テンポラリーファイルの一時保存場所
TemporaryDirectory /var/tmp

# Path to the database directory.
# Default: hardcoded (depends on installation options)
# ウイルスデータベースの保存場所（デフォルト値はインストールオプションで異なる）
DatabaseDirectory /var/lib/clamav

# Only load the official signatures published by the ClamAV project.
# Default: no
# ClamAVの公式シグネチャーのみ有効にする。デフォルトは無効。
#OfficialDatabaseOnly no

# The daemon can work in local mode, network mode or both. 
# Due to security reasons we recommend the local mode.

# ローカルモードか、ネットワークモードかを選択する。
# ローカルモードはOS内での動作となるunixソケットで動作する。
# ネットワークモードはTCPで外部または内部ネットワーク間で動作する。
# 外部と通信する場合はポートを指定（デフォルトは3310）して、ファイアウォール等でIPを限定すること。

# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
# デーモンがリスニングするローカル（UNIX）ソケットの指定。ローカルモードで動作させるにはコメントアウトを解除する。
# 以下の設定にある「グループで限定する方法」と「特定のネットワーク上の、特定のポートに限定する」方法がある。推奨とデフォルトは無効。
#LocalSocket /tmp/clamd.socket

# Sets the group ownership on the unix socket.
# Default: disabled (the primary group of the user running clamd)
# 上記UNIXソケットのグループ所有権を設定。特定のユーザーグループでClamdを実行する場合に指定。デフォルトは無効。
#LocalSocketGroup virusgroup

# Sets the permissions on the unix socket to the specified mode.
# Default: disabled (socket is world accessible)
# 上記unixソケットのパーミッションの設定。デフォルトは無効。
#LocalSocketMode 660

# Remove stale socket after unclean shutdown.
# Default: yes
# ソケットのシャットダウン後、再起動不可。デフォルトは有効。
FixStaleSocket yes

# TCP port address.
# Default: no
# ソケット通信するTCPポート。ネットワークモード利用時に指定する。デフォルトは無効。
# Clamdを単一オペレーティングシステム内で利用する場合はコメントアウト。外部、もしくは内部ネットワーク間でClamdを利用する場合のみ指定する。ファイアウォールでポートへのアクセスを許可するIPを限定すること。
TCPSocket 3310

# TCP address.
# By default we bind to INADDR_ANY, probably not wise.
# Enable the following to provide some degree of protection
# from the outside world.
# Default: no
# 上記のネットワークモードの内、ローカル（127.0.0.1）からのアクセスは全て許可。
TCPAddr 127.0.0.1

# Maximum length the queue of pending connections may grow to.
# Default: 200
# スキャン待ちをするキュー長を指定。多くとればメモリを消費する。デフォルトは200。
MaxConnectionQueueLength 30

# Clamd uses FTP-like protocol to receive data from remote clients.
# If you are using clamav-milter to balance load between remote clamd daemons
# on firewall servers you may need to tune the options below.

# 追加でインストールできるclamav-milterを使う際の調整
# sendmailのmilterと組み合わせることでメールをフィルタリングできる。
# 動作に関する設定は/etc/clamav-milter.confにて行う。
# こちらのサイトで詳細を解説されています。（下記のサイトではclamav-milterの単独で動作可能とありますが、0.95以降では単独動作はできなくなりました）
# http://www.eng.maritime.kobe-u.ac.jp/~i_asano/misc/clmilter/clmilter.html

# Close the connection when the data size limit is exceeded.
# The value should match your MTA's limit for a maximum attachment size.
# Default: 25M
# 添付ファイルのサイズ制限。指定以上のサイズのものはチェックしない。MTA（postfix等）の上限に合わせるのが望ましい。デフォルトは25M。
#StreamMaxLength 10M

# Limit port range.
# 使用するポートの範囲を制限する
# Default: 1024
#StreamMinPort 30000
# Default: 2048
#StreamMaxPort 32000

# Maximum number of threads running at the same time.
# Default: 10
# 同時に実行するスレッドの最大数。デフォルトは10。
MaxThreads 50

# Waiting for data from a client socket will timeout after this time (seconds).
# Default: 120
# 検査するファイルの読み込みの際のタイムアウト処理をする時間を指定（秒単位）。デフォルトは120。
ReadTimeout 300

# This option specifies the time (in seconds) after which clamd should
# timeout if a client doesn't provide any initial command after connecting.
# Default: 5
# こちらはコマンドのタイムアウトを指定（秒単位）。サーバがビジー状態の場合などを考慮。
#CommandReadTimeout 5

# This option specifies how long to wait (in miliseconds) if the send buffer is full.
# Keep this value low to prevent clamd hanging
#
# Default: 500
# 送信のためのバッファがいっぱいになった場合のタイムアウトの設定（ミリ秒単位）。
#SendBufTimeout 200

# Maximum number of queued items (including those being processed by MaxThreads threads)
# It is recommended to have this value at least twice MaxThreads if possible.
# WARNING: you shouldn't increase this too much to avoid running out  of file descriptors,
# the following condition should hold:
# MaxThreads*MaxRecursion + (MaxQueue - MaxThreads) + 6&lt; RLIMIT_NOFILE (usual max is 1024)
#
# Default: 100
# キューに入れられたアイテムの総数。MaxThreadsで指定した実行中のものを含む。多く取るとファイルディスクリプタ不足になるため注意。指定することができる最大の数は上記の式で求められる。デフォルトは100。
#MaxQueue 200

# Waiting for a new job will timeout after this time (seconds).
# Default: 30
# タイムアウト後に新しいプロセスを実行する時間を指定（秒単位）。デフォルトは30秒。
#IdleTimeout 60

# Don't scan files and directories matching regex
# This directive can be used multiple times
# Default: scan all
# 正規表現でスキャン対象から外すディレクトリの指定。別途除外用のファイルを作成する方法もある。ディレクトリ単位で指定する場合は行末がスラッシュで終わる点に注意。
#ExcludePath ^/proc/
#ExcludePath ^/sys/

# Maximum depth directories are scanned at.
# Default: 15
# スキャンするディレクトリの深さ。デフォルトでは15階層。
#MaxDirectoryRecursion 20

# Follow directory symlinks.
# Default: no
# ディレクトリのシンボリックリンクに従うか指定。デフォルトは無効。
#FollowDirectorySymlinks yes

# Follow regular file symlinks.
# Default: no
# ファイルのシンボリックリンクに従うか指定。デフォルトは無効。
#FollowFileSymlinks yes

# Scan files and directories on other filesystems.
# Default: yes
# 他のファイルシステムやディレクトリのスキャン。デフォルトは有効。
#CrossFilesystems yes

# Perform a database check.
# Default: 600 (10 min)
# 前回のチェックから再びウイルスデータベースのチェックを実行する時間。デフォルト600秒（10分）
#SelfCheck 600

# Execute a command when virus is found. In the command string %v will
# be replaced with the virus name.
# Default: no
# ウイルスが見つかった場合のコマンド。デフォルトは無効。「%v」はウイルス名の出力。「mail -s &quot;Virus Alert&quot; hoge@example.org」等としてメールを送信することも可能。ウイルスに関する名前以外の情報はログを見る必要がある。
#VirusEvent /usr/local/bin/send_sms 123456789 &quot;VIRUS ALERT: %v&quot;

# Run as another user (clamd must be started by root for this option to work)
# Default: don't drop privileges
# clamdの実行ユーザーを指定。デフォルトはclamavとなっているが、この場合実行ユーザーを作成してスキャンするファイルへの権限を与える必要がある。手っ取り早く全ファイルへの権限を与えるにはrootでよい。
User clamav

# Initialize supplementary group access (clamd must be started by root).
# Default: no
# 補助グループアクセスを初期化しない？？（詳細不明）
AllowSupplementaryGroups yes

# Stop daemon when libclamav reports out of memory condition.
# メモリ不足の場合にデーモンを停止するか。
#ExitOnOOM yes

# Don't fork into background.
# Default: no
# フォークしてバックグラウンドで動作することを許可する。デフォルトは無効。
#Foreground yes

# Enable debug messages in libclamav.
# Default: no
# libclamavからデバッグメッセージを出力する。デフォルトは無効。
#Debug yes

# Do not remove temporary files (for debug purposes).
# Default: no
# 一時ファイルを削除しない（デバッグ目的）。デフォルトは無効。
#LeaveTemporaryFiles yes

# Detect Possibly Unwanted Applications.
# Default: no
# 潜在的に迷惑なアプリケーション（スパム的なアプリ）の削除。いわゆるPUAの検出機能。デフォルトは無効。
#DetectPUA yes

# Exclude a specific PUA category. This directive can be used multiple times.
# See http://www.clamav.net/support/pua for the complete list of PUA
# categories.
# Default: Load all categories (if DetectPUA is activated)
# 上記のPUAで検出するアプリの内、除外するカテゴリーの指定。詳細はhttp://www.clamav.net/support/puaを参照。とあるが404エラー。実際はhttps://github.com/vrtadmin/clamav-faq/blob/master/faq/faq-pua.md
#ExcludePUA NetTool
#ExcludePUA PWTool

# Only include a specific PUA category. This directive can be used multiple
# times.
# Default: Load all categories (if DetectPUA is activated)
# PUAで有効にするカテゴリ。DetectPUAが有効になっている場合デフォルトでは全て有効。
#IncludePUA Spy
#IncludePUA Scanner
#IncludePUA RAT

# In some cases (eg. complex malware, exploits in graphic files, and others),
# ClamAV uses special algorithms to provide accurate detection. This option
# controls the algorithmic detection.
# Default: yes
# PUAでスパム検出にClamAVオリジナルのアルゴリズムを利用する。（複雑な構造のファイルも検出できる）デフォルトは有効。
#AlgorithmicDetection yes


##
## Executable files
##

# 実行ファイルに関する設定

# PE stands for Portable Executable - it's an executable file format used
# in all 32 and 64-bit versions of Windows operating systems. This option allows
# ClamAV to perform a deeper analysis of executable files and it's also
# required for decompression of popular executable packers such as UPX, FSG,
# and Petite.
# Default: yes
# Windowsで使用される圧縮された実行ファイル（UPX, FSG形式など）をスキャンするか指定。デフォルトは有効。
ScanPE yes

# Executable and Linking Format is a standard format for UN*X executables.
# This option allows you to control the scanning of ELF files.
# Default: yes
# 「.elf」ファイルのスキャン。デフォルトは有効。
ScanELF yes

# With this option clamav will try to detect broken executables (both PE and
# ELF) and mark them as Broken.Executable.
# Default: no
# 壊れた実行ファイル（PEとELFの両方）を検出する。デフォルトは無効。誤検出が多いので、正常なファイルを検出するようなら無効に。
DetectBrokenExecutables yes


##
## Documents
##

# ここからドキュメントの扱いに関する設定
# ファイルの内容まで検査するかどうかの指定など

# This option enables scanning of OLE2 files, such as Microsoft Office
# documents and .msi files.
# Default: yes
# MS OfficeのファイルフォーマットであるOLE2をスキャンするかどうか。デフォルトは有効。
ScanOLE2 yes


# With this option enabled OLE2 files with VBA macros, which were not
# detected by signatures will be marked as &quot;Heuristics.OLE2.ContainsMacros&quot;.
# Default: no
# 上記の設定と合わせて指定する。OLE2の内、VBAマクロをスキャンするするか指定する。デフォルトは無効。
#OLE2BlockMacros no

# This option enables scanning within PDF files.
# Default: yes
# PDFファイルをスキャンするか指定。デフォルトは有効。
#ScanPDF yes


##
## Mail files
##

# ここからメールの扱いに関する設定


# Enable internal e-mail scanner.
# Default: yes
# ローカルメールのスキャンをするかどうか。デフォルトは有効。
ScanMail yes

# Scan RFC1341 messages split over many emails.
# You will need to periodically clean up $TemporaryDirectory/clamav-partial directory.
# WARNING: This option may open your system to a DoS attack.
#	   Never use it on loaded servers.
# Default: no
# メール規格RFC1341で分割されたメールのスキャン。Dos攻撃が可能になるためサーバ上では有効にするべきではない。デフォルトは無効。
#ScanPartialMessages yes


# With this option enabled ClamAV will try to detect phishing attempts by using
# signatures.
# Default: yes
# ClamAVでフィッシング攻撃の察知。デフォルトは有効。
#PhishingSignatures yes

# Scan URLs found in mails for phishing attempts using heuristics.
# Default: yes
# フィッシング攻撃で使われるURLの察知。ヒューリスティックエンジンによる照合。デフォルトは有効。
#PhishingScanURLs yes

# Always block SSL mismatches in URLs, even if the URL isn't in the database.
# This can lead to false positives.
#
# Default: no
# データベースにない場合でも、SSLで証明書と適合しないURLの場合、ブロックする。誤検出に繋がる可能性あり。デフォルトは無効。
#PhishingAlwaysBlockSSLMismatch no

# Always block cloaked URLs, even if URL isn't in database.
# This can lead to false positives.
#
# Default: no
# データベースにない場合でも、クローキングURL（ロボットと閲覧者で異なる表示をするURL）の場合はブロックする。誤検出に繋がる可能性あり。デフォルトは無効。
#PhishingAlwaysBlockCloak no

# Allow heuristic match to take precedence.
# When enabled, if a heuristic scan (such as phishingScan) detects
# a possible virus/phish it will stop scan immediately. Recommended, saves CPU
# scan-time.
# When disabled, virus/phish detected by heuristic scans will be reported only at
# the end of a scan. If an archive contains both a heuristically detected
# virus/phish, and a real malware, the real malware will be reported
#
# Keep this disabled if you intend to handle &quot;*.Heuristics.*&quot; viruses 
# differently from &quot;real&quot; malware.
# If a non-heuristically-detected virus (signature-based) is found first, 
# the scan is interrupted immediately, regardless of this config option.
#
# Default: no
# ヒューリスティックエンジンによる照合でウイルスと判定された場合、スキャンを中止する。CPUリソースの節約になる。
# データベース（シグネチャベース）によるウイルスを発見した場合はこのオプションに関わらずスキャンを中止する。
#HeuristicScanPrecedence yes

##
## Data Loss Prevention (DLP)
##

# データ損失防止に関する設定

# Enable the DLP module
# Default: No
# DLPモジュールを有効にする。デフォルトは無効。
#StructuredDataDetection yes

# This option sets the lowest number of Credit Card numbers found in a file
# to generate a detect.
# Default: 3
# DLPモジュールで保護するクレジットカード番号に一致する桁数の最小値を指定。
#StructuredMinCreditCardCount 5

# This option sets the lowest number of Social Security Numbers found
# in a file to generate a detect.
# Default: 3
# 上記の社会保障番号。日本では意味のない設定。
#StructuredMinSSNCount 5

# With this option enabled the DLP module will search for valid
# SSNs formatted as xxx-yy-zzzz
# Default: yes
# 社会保障番号のフォーマットに一致する。日本では意味のない設定。
#StructuredSSNFormatNormal yes

# With this option enabled the DLP module will search for valid
# SSNs formatted as xxxyyzzzz
# Default: no
# 上記のフォーマット一致の別バージョン。日本では意味のない設定。
#StructuredSSNFormatStripped yes


##
## HTML
##

# HTMLファイルに関する設定

# Perform HTML normalisation and decryption of MS Script Encoder code.
# Default: yes
# HTMLの正規化とMS Script Encoderを復号化して内容をチェックするか。デフォルトは有効。
#ScanHTML yes


##
## Archives
##

# 圧縮ファイルに関する設定

# ClamAV can scan within archives and compressed files.
# Default: yes
# 圧縮ファイルのスキャンを有効にする。デフォルトは有効。
ScanArchive yes

# Mark encrypted archives as viruses (Encrypted.Zip, Encrypted.RAR).
# Default: no
# ウイルスの見つかった圧縮ファイルにマーキングする。デフォルトは無効。
ArchiveBlockEncrypted no


##
## Limits
##

# 制限に関する設定。多くはアーカイブボムに対するセキュリティ対策。
# スキャンソフトに高負荷をかけることを目的とした高圧縮のファイル。

# The options below protect your system against Denial of Service attacks
# using archive bombs.

# This option sets the maximum amount of data to be scanned for each input file.
# Archives and other containers are recursively extracted and scanned up to this
# value.
# Value of 0 disables the limit
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 100M
# スキャンされるデータの最大量。アーカイブなどこの値より大きなファイルの場合、展開して指定したサイズまでスキャンする。0を指定すると無制限。大きくし過ぎると重大な障害が起こる可能性がある。デフォルトは100MB。
#MaxScanSize 150M

# Files larger than this limit won't be scanned. Affects the input file itself
# as well as files contained inside it (when the input file is an archive, a
# document or some other kind of container).
# Value of 0 disables the limit.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 25M
# 通常のファイルと、アーカイブから展開されたファイルの最大サイズを指定。これ以上のサイズのファイルは展開しても検査されない。0を指定すると無制限。大きくし過ぎると重大な障害が起こる可能性がある。デフォルトは25MB。
#MaxFileSize 30M

# Nested archives are scanned recursively, e.g. if a Zip archive contains a RAR
# file, all files within it will also be scanned. This options specifies how
# deeply the process should be continued.
# Note: setting this limit too high may result in severe damage to the system.
# Default: 16
# 入れ子状になった圧縮ファイルを、何階層まで展開して検査するか。デフォルトは16階層。
#MaxRecursion 10

# Number of files to be scanned within an archive, a document, or any other
# container file.
# Value of 0 disables the limit.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 10000
# 圧縮ファイルの中身を何ファイルまで検査するか。デフォルトは10000。
#MaxFiles 15000


##
## Clamuko settings
##

# Clamukoに関する設定。
# バージョン0.98からClamuko/Dazukoを利用したリアルタイムスキャンは非推奨になりました。
# リアルタイムスキャンが必要な場合はfanotifyを利用してください。
# （fanotifyはkernel2.6.37以降で有効なため、CentOS6系でないと使えません）


# Enable Clamuko. Dazuko must be configured and running. Clamuko supports
# both Dazuko (/dev/dazuko) and DazukoFS (/dev/dazukofs.ctrl). DazukoFS
# is the preferred option. For more information please visit www.dazuko.org
# Default: no
# ClamukoはdazukoとDazukoFSを利用することで使用可能になるclamdのリアルタイムスキャン機能。デフォルトは無効。
#ClamukoScanOnAccess yes

# The number of scanner threads that will be started (DazukoFS only).
# Having multiple scanner threads allows Clamuko to serve multiple
# processes simultaneously. This is particularly beneficial on SMP machines.
# Default: 3
# 複数の検査を同時に行う。マルチスレッドの場合に特に有効。デフォルトは3。
#ClamukoScannerCount 3

# Don't scan files larger than ClamukoMaxFileSize
# Value of 0 disables the limit.
# Default: 5M
# 指定したサイズ以上のファイルはリアルタイムスキャンしない。0で無制限。デフォルトは5MB。
#ClamukoMaxFileSize 10M

# Set access mask for Clamuko (Dazuko only).
# Default: no
# Dazukoでスキャンするタイミングを指定。それぞれ、OnOpenはファイルを開く時。OnCloseはファイルを閉じる時。OnExecは実行中のファイルを検査する。
#ClamukoScanOnOpen yes
#ClamukoScanOnClose yes
#ClamukoScanOnExec yes

# Set the include paths (all files inside them will be scanned). You can have
# multiple ClamukoIncludePath directives but each directory must be added
# in a seperate line. (Dazuko only)
# Default: disabled
# リアルタイムスキャンするディレクトリの指定。Dazukoのみ有効。デフォルトは無効。
#ClamukoIncludePath /home
#ClamukoIncludePath /students

# Set the exclude paths. All subdirectories are also excluded. (Dazuko only)
# Default: disabled
# 逆にリアルタイムスキャンで除外するディレクトリの指定。Dazukoのみ有効。デフォルトは無効。
#ClamukoExcludePath /home/bofh

# With this option you can whitelist specific UIDs. Processes with these UIDs
# will be able to access all files.
# This option can be used multiple times (one per line).
# Default: disabled
# 特定のUIDをホワイトリストに設定し、ホワイトリストに登録されたUIDのファイルを検査しない。デフォルトは無効。
#ClamukoExcludeUID 0

# With this option enabled ClamAV will load bytecode from the database. 
# It is highly recommended you keep this option on, otherwise you'll miss detections for many new viruses.
# Default: yes
# バイトコードをデータベースから読み込むか設定。バイトコードの詳細は以下の設定にて。デフォルトは有効。
#Bytecode yes

# Set bytecode security level.
# Possible values:
#       None - no security at all, meant for debugging. DO NOT USE THIS ON PRODUCTION SYSTEMS
#         This value is only available if clamav was built with --enable-debug!
#       TrustSigned - trust bytecode loaded from signed .c[lv]d files,
#                insert runtime safety checks for bytecode loaded from other sources
#       Paranoid - don't trust any bytecode, insert runtime checks for all
# Recommended: TrustSigned, because bytecode in .cvd files already has these checks
# Note that by default only signed bytecode is loaded, currently you can only
# load unsigned bytecode in --enable-debug mode.
#
# Default: TrustSigned
# バイトコードで指定可能な値
# None - デバックのための指定。ウイルスに対して何もしない。
# TrustSigned - 署名されたデータベースのものは信頼する。署名のないものは実行時にチェックする。
# Paranoid - 全てのバイトコードを安全性チェックする。
# デフォルトはTrustSigned
#BytecodeSecurity TrustSigned

# Set bytecode timeout in miliseconds.
# 
# Default: 5000
# バイトコードのタイムアウトをミリ秒単位で指定する。デフォルトは5000ミリ秒。
# BytecodeTimeout 1000