15%

Hemat 15% di Semua Layanan Hosting

Uji kemampuanmu dan dapatkan Diskon pada paket hosting apa saja

Gunakan kode:

Skills
Memulai
24.10.2024
Category iconKeamanan Category iconLinux

Cara Menginstal ClamAV di Linux: Panduan Teknis Lengkap

ClamAV adalah mesin antivirus open-source lintas platform yang dikelola oleh Cisco Talos yang mendeteksi virus, trojan, rootkit, malware, dan ancaman berbahaya lainnya. Mesin ini beroperasi menggunakan model deteksi berbasis tanda tangan yang didukung oleh database yang terus diperbarui (/var/lib/clamav/), dan merupakan solusi antivirus standar de facto untuk server Linux, gateway email, dan lingkungan web hosting.

Panduan ini mencakup siklus hidup instalasi lengkap: persiapan sistem, instalasi paket di berbagai distribusi utama, manajemen database virus dengan freshclam, konfigurasi daemon, strategi pemindaian, penanganan karantina, otomatisasi cron, dan pemindaian real-time melalui clamonacc — termasuk kendala tingkat produksi yang sering diabaikan oleh sebagian besar tutorial.

Mengapa ClamAV Penting di Server Linux

Sistem Linux tidak kebal terhadap malware. Meskipun eksploitasi yang menargetkan Linux lebih jarang terjadi dibandingkan ancaman Windows, server yang menjalankan aplikasi web, relay email, atau layanan berbagi file merupakan vektor aktif distribusi malware — bahkan ketika host Linux itu sendiri bukan target utama. Lingkungan VPS Hosting yang terkompromi dapat secara diam-diam mendistribusikan ulang file yang terinfeksi kepada pengguna akhir, memicu pemblokiran oleh database spam, atau berfungsi sebagai titik pivot dalam rantai serangan yang lebih besar.

ClamAV mengatasi hal ini dengan menyediakan:

  • Pemindaian sesuai permintaan untuk analisis terjadwal atau dipicu
  • Pemindaian mode daemon (clamd) untuk pemeriksaan throughput tinggi dan latensi rendah
  • Integrasi gateway email melalui clamsmtp, amavisd-new, atau Milter
  • Pemantauan sistem file real-time melalui clamonacc (kernel Linux fanotify)
  • Tanda tangan bytecode untuk deteksi heuristik di luar pencocokan pola statis

Langkah 1: Persiapkan dan Perbarui Sistem Anda

Sebelum menginstal paket apa pun, sinkronkan indeks paket Anda dan terapkan patch keamanan yang tertunda. Menjalankan pustaka sistem yang sudah usang bersamaan dengan alat keamanan menciptakan rasa aman yang palsu.

Untuk Debian/Ubuntu:

sudo apt update && sudo apt upgrade -y

Untuk CentOS/RHEL 7:

sudo yum update -y

Untuk Rocky Linux / AlmaLinux / RHEL 8+:

sudo dnf update -y

Untuk Fedora:

sudo dnf update -y

Konfirmasikan bahwa versi kernel dan glibc Anda sudah terkini, karena clamonacc (pemindaian real-time) memerlukan kernel 5.1+ untuk dukungan fanotify yang stabil.

Langkah 2: Instal ClamAV

ClamAV tersedia di repositori default semua distribusi utama. Perbedaan utamanya adalah apakah Anda hanya menginstal pemindai (clamav) atau juga daemon latar belakang (clamav-daemon / clamd), yang sangat direkomendasikan untuk server produksi mana pun.

Untuk Debian/Ubuntu:

sudo apt install clamav clamav-daemon -y
  • clamav — menginstal clamscan dan freshclam
    • clamav-daemon — menginstal clamd, daemon pemindaian persisten yang menyimpan database virus di memori, secara dramatis mengurangi overhead per pemindaian

Untuk CentOS/RHEL 7 (memerlukan EPEL):
sudo yum install epel-release -y
sudo yum install clamav clamav-update clamav-scanner-systemd clamd -y
Untuk Rocky Linux / AlmaLinux / RHEL 8+ (memerlukan EPEL):
sudo dnf install epel-release -y
sudo dnf install clamav clamav-update clamd -y
Untuk Fedora:
sudo dnf install clamav clamav-update clamd -y
Lokasi biner pasca-instalasi untuk diverifikasi:




Biner
Path
Tujuan




clamscan
/usr/bin/clamscan
Pemindai CLI sesuai permintaan


clamd
/usr/sbin/clamd
Daemon pemindaian latar belakang


freshclam
/usr/bin/freshclam
Pembaruan database virus


clamdscan
/usr/bin/clamdscan
Klien yang mendelegasikan ke clamd


clamonacc
/usr/sbin/clamonacc
Pemindai on-access real-time




Langkah 3: Perbarui Database Tanda Tangan Virus
Kemampuan deteksi ClamAV sepenuhnya bergantung pada kebaruan database tanda tangannya. Database tersimpan di /var/lib/clamav/ dan terdiri dari beberapa file: main.cvd, daily.cvd (atau .cld), dan bytecode.cvd.
Hentikan Daemon Sebelum Pembaruan Pertama (Debian/Ubuntu)
Pada sistem Debian/Ubuntu, clamav-freshclam.service berjalan secara otomatis setelah instalasi dan mengunci direktori database. Jika Anda mencoba menjalankan freshclam secara manual saat layanan ini aktif, Anda akan mengalami konflik kunci. Hentikan terlebih dahulu:
sudo systemctl stop clamav-freshclam
sudo freshclam
sudo systemctl start clamav-freshclam
Pada CentOS/RHEL/Rocky/Alma:
sudo freshclam
Output yang diharapkan pada pembaruan yang berhasil:
ClamAV update process started at ...
daily.cvd updated (version: 27xxx, sigs: xxxxxxx, ...)
main.cvd is up to date
bytecode.cvd is up to date
Konfigurasi Pembaruan Database Otomatis
freshclam dikendalikan oleh /etc/clamav/freshclam.conf. Direktif utama yang perlu ditinjau:
sudo nano /etc/clamav/freshclam.conf
Parameter penting:

Checks 24 — jumlah pemeriksaan pembaruan per hari (default: 12 pada beberapa distro)
DatabaseMirror database.clamav.net — mirror resmi; jangan diubah kecuali menggunakan mirror pribadi
NotifyClamd /etc/clamav/clamd.conf — menginstruksikan freshclam untuk memberi sinyal ke clamd setelah pembaruan sehingga daemon memuat ulang tanda tangan tanpa perlu restart

Langkah 4: Konfigurasi dan Jalankan Daemon ClamAV
Daemon clamd menyimpan database virus lengkap di RAM (biasanya 500 MB–1,2 GB tergantung versi database). Ini menghilangkan biaya startup beberapa detik dari clamscan, menjadikannya penting untuk lingkungan apa pun yang melakukan pemindaian sering atau bersamaan.
Debian/Ubuntu
sudo systemctl start clamav-daemon
sudo systemctl enable clamav-daemon
sudo systemctl status clamav-daemon
CentOS/RHEL 7
Pada RHEL 7, unit layanan bernama clamd@scan, merujuk pada file konfigurasi /etc/clamd.d/scan.conf:
sudo systemctl start clamd@scan
sudo systemctl enable clamd@scan
Rocky Linux / AlmaLinux / RHEL 8+
sudo systemctl start clamd@scan
sudo systemctl enable clamd@scan
Parameter clamd.conf Utama
Konfigurasi daemon berada di /etc/clamav/clamd.conf (Debian/Ubuntu) atau /etc/clamd.d/scan.conf (keluarga RHEL). Tinjau direktif berikut:
sudo nano /etc/clamav/clamd.conf
Pengaturan penting:

LocalSocket /run/clamav/clamd.ctl — path socket Unix yang digunakan oleh clamdscan; pastikan ini sesuai dengan konfigurasi klien Anda
MaxFileSize 100M — ukuran file maksimum yang akan dipindai; tingkatkan untuk server email yang menangani lampiran berukuran besar
MaxScanSize 400M — data maksimum yang dipindai per file setelah dekompresi
StreamMaxLength 100M — relevan untuk pemindaian berbasis milter/stream
User clamav — daemon berjalan sebagai pengguna clamav; pastikan pengguna ini memiliki akses baca ke direktori yang ingin Anda pindai
LogFile /var/log/clamav/clamd.log — aktifkan pencatatan persisten untuk jejak audit

Kendala kritis: Jika clamd berjalan sebagai pengguna clamav dan Anda memindai /home/user/uploads/, pengguna clamav harus memiliki izin baca pada path tersebut. Melupakan hal ini mengakibatkan kegagalan pemindaian yang tidak terdeteksi — clamd akan melaporkan kesalahan “Access denied” di log-nya alih-alih mengembalikan hasil bersih/terinfeksi.
Langkah 5: Menjalankan Pemindaian dengan clamscan dan clamdscan
Pemindaian Sesuai Permintaan dengan clamscan
clamscan adalah pemindai mandiri. Ia memuat database dari disk pada setiap pemanggilan, membuatnya lebih lambat tetapi independen dari daemon.
Pindai direktori tertentu secara rekursif:
clamscan -r /path/to/directory
Pindai dan tampilkan hanya file yang terinfeksi:
clamscan -r --infected /path/to/directory
Pindai dengan output verbose dan catat hasilnya:
sudo clamscan -r --infected --log=/var/log/clamav/manual_scan.log /var/www/html
Pindahkan file yang terinfeksi ke direktori karantina:
sudo clamscan -r --move=/var/quarantine /path/to/directory
Hapus file yang terinfeksi secara otomatis (gunakan dengan hati-hati di produksi):
sudo clamscan -r --remove /path/to/directory
Pindai seluruh sistem file (perkirakan waktu proses yang signifikan pada disk berukuran besar):
sudo clamscan -r --infected --exclude-dir="^/sys" --exclude-dir="^/proc" --exclude-dir="^/dev" /
Mengecualikan /sys, /proc, dan /dev adalah wajib — memindai pseudo-filesystem ini menghasilkan kesalahan palsu dan dapat menyebabkan hang.
Pemindaian Berperforma Tinggi dengan clamdscan
Ketika clamd sedang berjalan, gunakan clamdscan alih-alih clamscan. Ia mengirimkan permintaan pemindaian ke daemon yang sudah dimuat melalui socket Unix, menjadikannya jauh lebih cepat untuk pemindaian berulang atau massal.
clamdscan --fdpass /path/to/directory
Flag --fdpass meneruskan deskriptor file langsung ke clamd, melewati masalah izin yang muncul ketika pengguna daemon tidak dapat membaca path target secara langsung.
Pemindaian multi-thread dengan clamdscan:
clamdscan --multiscan --fdpass /var/www/html
--multiscan menginstruksikan clamd untuk memindai file secara paralel menggunakan thread pool-nya, secara signifikan mengurangi waktu eksekusi pada sistem multi-core.
clamscan vs. clamdscan: Perbandingan Performa




Atribut
`clamscan`
`clamdscan`




Pemuatan database per pemindaian
Ya (startup lambat)
Tidak (daemon menyimpan DB di RAM)


Waktu startup tipikal
5–30 detik
Di bawah 1 detik


Memerlukan clamd yang berjalan
Tidak
Ya


Pemindaian paralel
Tidak
Ya (--multiscan)


Kasus penggunaan terbaik
Pemindaian manual sekali pakai
Pemindaian otomatis, sering, atau massal


Model izin
Berjalan sebagai pengguna yang memanggil
Berjalan sebagai pengguna clamav (gunakan --fdpass)




Langkah 6: Otomatisasi Pemindaian dengan Cron
Untuk perlindungan berkelanjutan, jadwalkan pemindaian rutin menggunakan cron. Contoh berikut memindai root web setiap hari pukul 02.00 dan mencatat hasilnya dengan stempel waktu.
sudo crontab -e
Tambahkan entri berikut:
0 2 * * * /usr/bin/clamdscan --multiscan --fdpass --log=/var/log/clamav/daily_scan_$(date +%Y%m%d).log /var/www/html
Cron tingkat produksi dengan peringatan email saat infeksi terdeteksi:
0 2 * * * /usr/bin/clamscan -r --infected /var/www/html 2>&1 | grep -v "^$" | mail -s "ClamAV Daily Scan Report - $(hostname)" admin@yourdomain.com
Ini meneruskan output yang tidak kosong langsung ke penerima email, memastikan Anda hanya menerima peringatan ketika sesuatu ditemukan atau terjadi kesalahan. Pastikan mailutils atau postfix dikonfigurasi di server.
Rotasi log pemindaian untuk mencegah pertumbuhan disk yang tidak terbatas:
sudo nano /etc/logrotate.d/clamav-scan
/var/log/clamav/daily_scan_*.log {
    weekly
    rotate 4
    compress
    missingok
    notifempty
}
Langkah 7: Pemindaian On-Access Real-Time dengan clamonacc
clamonacc adalah komponen pemindaian on-access ClamAV, yang diperkenalkan sebagai fitur stabil di ClamAV 0.102. Ia terhubung ke subsistem fanotify kernel Linux untuk mencegat peristiwa pembukaan dan penutupan file, memindai file sebelum diakses.
Persyaratan:

Kernel Linux 5.1 atau lebih baru (untuk fanotify dengan FAN_OPEN_EXEC_PERM)
ClamAV 0.102+
clamd harus berjalan
Hak akses root

Aktifkan Pemindaian On-Access di clamd.conf
sudo nano /etc/clamav/clamd.conf
Tambahkan atau hapus komentar:
OnAccessIncludePath /home
OnAccessIncludePath /var/www/html
OnAccessPrevention yes
OnAccessExcludeUname clamav

OnAccessPrevention yes — memblokir akses ke file yang terinfeksi secara real-time (mode deny); atur ke no untuk mode deteksi saja
OnAccessExcludeUname clamav — mencegah clamd itu sendiri memicu loop pemindaian rekursif

Jalankan clamonacc
sudo clamonacc --log=/var/log/clamav/clamonacc.log --daemonize
Untuk menjalankannya sebagai layanan systemd, buat file unit:
sudo nano /etc/systemd/system/clamonacc.service
[Unit]
Description=ClamAV On-Access Scanner
Requires=clamav-daemon.service
After=clamav-daemon.service

[Service]
Type=simple
ExecStart=/usr/sbin/clamonacc --log=/var/log/clamav/clamonacc.log --foreground
Restart=on-failure

[Install]
WantedBy=multi-user.target
sudo systemctl daemon-reload
sudo systemctl enable --now clamonacc
Kendala yang diketahui: Pada server dengan throughput tinggi (misalnya, endpoint upload file yang sibuk), OnAccessPrevention yes dapat menimbulkan latensi I/O yang terukur. Uji beban kerja Anda sebelum mengaktifkan mode pencegahan di produksi. Pertimbangkan untuk membatasi OnAccessIncludePath ke path yang sesempit mungkin daripada direktori luas seperti /.
Langkah 8: Mengintegrasikan ClamAV dengan Server Email
Kasus penggunaan produksi ClamAV yang paling umum adalah pemindaian gateway email. Jika Anda menjalankan server email di infrastruktur VPS Hosting atau Dedicated Servers, mengintegrasikan ClamAV dengan MTA Anda adalah lapisan keamanan yang kritis.
Stack integrasi yang umum:

Postfix + amavisd-new + ClamAV — amavisd-new bertindak sebagai filter konten antara Postfix dan ClamAV, juga menangani SpamAssassin
Postfix + clamsmtp — proxy bergaya milter yang ringan
Exim + ClamAV — direktif av_scanner Exim asli mendukung clamd langsung melalui socket

Contoh: Integrasi clamd Exim di /etc/exim4/exim4.conf:
av_scanner = clamd:/run/clamav/clamd.ctl
Direktif tunggal ini merutekan semua konten pesan melalui instance clamd yang sedang berjalan sebelum pengiriman. Padukan ini dengan konfigurasi Email Hosting yang tepat untuk memastikan infrastruktur email Anda terlindungi sepenuhnya.
Pemecahan Masalah ClamAV yang Umum
freshclam Gagal dengan “locked by another process”
sudo systemctl stop clamav-freshclam
sudo rm -f /var/lock/clamav/freshclam.lock
sudo freshclam
sudo systemctl start clamav-freshclam
clamd Gagal Dimulai: “ERROR: Can’t open/parse the config file”
Verifikasi path file konfigurasi dan sintaksnya:
sudo clamd --config-file=/etc/clamav/clamd.conf --debug 2>&1 | head -50
Penggunaan Memori Tinggi
clamd biasanya mengonsumsi 500 MB–1,2 GB RAM dengan database lengkap yang dimuat. Pada sistem dengan memori terbatas, pertimbangkan:

Mengatur MaxThreads 2 di clamd.conf untuk membatasi konkurensi
Menggunakan clamscan tanpa daemon untuk pemindaian yang jarang dilakukan
Meningkatkan ke paket dengan RAM yang cukup — paket VPS Hosting dengan setidaknya 2 GB RAM adalah minimum praktis untuk menjalankan clamd bersamaan dengan web stack

Pemindaian Mengembalikan “Access denied” untuk File
Daemon clamd berjalan sebagai pengguna clamav. Berikan akses baca:
sudo setfacl -R -m u:clamav:rX /path/to/scan
Atau gunakan clamdscan --fdpass untuk meneruskan deskriptor file dari konteks pengguna yang memanggil.
False Positive
ClamAV terkadang menandai file yang sah, terutama arsip terkompresi atau framework PHP tertentu. Untuk memasukkan file yang diketahui aman ke whitelist berdasarkan hash:
sigtool --md5 /path/to/legitimate/file >> /var/lib/clamav/whitelist.fp
Restart clamd setelah memodifikasi file .fp.
ClamAV pada Shared Hosting vs. VPS vs. Dedicated Server
Model deployment secara signifikan mempengaruhi cara ClamAV harus dikonfigurasi:




Lingkungan
Mode yang Direkomendasikan
Catatan




Shared Web Hosting
clamscan sesuai permintaan melalui cron
Tidak ada akses root; mode daemon tidak tersedia


VPS (2–4 GB RAM)
Daemon clamd + cron clamdscan
Seimbangkan performa dengan keterbatasan memori


Dedicated Server
clamd + clamonacc + integrasi email
Fitur lengkap; tidak ada kompromi sumber daya


Node GPU/komputasi tinggi
Hanya daemon clamd
Hindari overhead I/O clamonacc pada pipeline data




Untuk lingkungan yang memerlukan throughput maksimum dan kontrol penuh atas alat keamanan, Dedicated Servers menyediakan kapasitas hardware untuk menjalankan clamd, clamonacc, dan pemindaian email secara bersamaan tanpa persaingan sumber daya.
Matriks Keputusan Teknis dan Poin-Poin Utama
Sebelum men-deploy ClamAV, validasi setiap hal berikut:

Versi kernel — jalankan uname -r; konfirmasi 5.1+ jika clamonacc diperlukan
RAM yang tersedia — clamd membutuhkan 1–1,5 GB; rencanakan dengan baik sebelum mengaktifkan daemon
Otomatisasi freshclam — konfirmasi clamav-freshclam.service diaktifkan dan NotifyClamd diatur di freshclam.conf
  • Izin socket — verifikasi pengguna clamav dapat membaca semua target pemindaian; gunakan --fdpass dengan clamdscan di mana ACL tidak praktis
  • Path pengecualian — selalu kecualikan /proc, /sys, /dev dari pemindaian rekursif
  • Rotasi log — implementasikan logrotate untuk semua file log ClamAV sebelum mengaktifkan cron job harian
  • OnAccessPrevention — uji dalam mode deteksi saja (no) sebelum beralih ke mode pemblokiran (yes) pada sistem produksi
  • Integrasi email — jika menjalankan server email, integrasikan melalui amavisd-new atau direktif av_scanner MTA asli, bukan hanya pemindaian file berkala
  • Direktori karantina — buat terlebih dahulu /var/quarantine dengan kepemilikan yang sesuai sebelum menggunakan --move; clamscan tidak akan membuatnya secara otomatis
  • Manajemen false positive — pertahankan file whitelist .fp dan tinjau log pemindaian setelah setiap pembaruan database untuk regresi

Pertanyaan yang Sering Diajukan

Apakah ClamAV menyediakan perlindungan real-time di Linux secara default?

Tidak. Setelah instalasi, ClamAV hanya beroperasi dalam mode sesuai permintaan. Perlindungan real-time memerlukan pengaktifan eksplisit clamonacc dengan direktif OnAccessIncludePath dan OnAccessPrevention di clamd.conf, ditambah kernel yang mendukung fanotify (5.1+).

Apa perbedaan antara clamscan dan clamdscan?

clamscan adalah biner mandiri yang memuat database virus dari disk pada setiap pemanggilan, mengakibatkan penundaan startup 5–30 detik. clamdscan adalah klien tipis yang mengirimkan pekerjaan pemindaian ke daemon clamd yang sudah berjalan, yang menyimpan database di RAM — menjadikannya jauh lebih cepat untuk pemindaian berulang atau otomatis.

Berapa banyak RAM yang dibutuhkan daemon ClamAV?

clamd dengan database lengkap saat ini (main + daily + bytecode) biasanya memerlukan antara 700 MB dan 1,2 GB memori residen. Pada sistem dengan total RAM kurang dari 2 GB, menjalankan daemon bersamaan dengan web server atau database dapat menyebabkan tekanan memori. Gunakan clamscan tanpa daemon pada instance dengan memori terbatas.

Bisakah ClamAV memindai arsip terkompresi dan lampiran email?

Ya. ClamAV secara native membongkar dan memindai ZIP, RAR, 7z, TAR, GZIP, BZIP2, CAB, dan banyak format arsip lainnya, serta dokumen OLE2 (Microsoft Office), file PDF, dan eksekutabel ELF/PE. Direktif MaxScanSize dan MaxFileSize di clamd.conf mengontrol batas kedalaman dan ukuran untuk pemindaian arsip.

Mengapa freshclam melaporkan “locked by another process” segera setelah instalasi?

Pada Debian/Ubuntu, layanan systemd clamav-freshclam dimulai secara otomatis setelah instalasi paket dan memegang kunci eksklusif pada direktori database. Menjalankan freshclam secara manual saat layanan ini aktif menyebabkan konflik kunci. Hentikan layanan dengan sudo systemctl stop clamav-freshclam, jalankan pembaruan manual, lalu restart layanan.

15%

Hemat 15% di Semua Layanan Hosting

Uji kemampuanmu dan dapatkan Diskon pada paket hosting apa saja

Gunakan kode:

Skills
Memulai