freshclam默认每2小时检查一次病毒库更新(即checks 12),仅当检测到签名版本号变化时才下载新cvd文件,首次检查有0–30分钟随机延迟。
freshclam 默认多久更新一次病毒库?
默认情况下,freshclam 每 2 小时检查一次更新(Checks 12 表示每天检查 12 次),但实际下载行为取决于远程数据库是否有新版本。它不会强制覆盖旧库,只在检测到签名版本号变化时才拉取。
这个频率不是硬编码的,而是由配置项 Checks 控制;值为 12 即每 2 小时一次,设为 24 就是每小时一次。但要注意:频繁检查对离线环境毫无意义,反而可能因超时或失败反复刷日志。
- 检查间隔受
DatabaseOwner和UpdateLogFile权限影响——如果日志目录不可写,freshclam会静默失败,看起来像“没反应” -
freshclam启动后首次检查有随机延迟(0–30 分钟),避免集群服务器集体请求压垮镜像站 - 企业内网中建议直接禁用自动检查:
Checks 0,改用离线同步+手动 reload
离线环境下怎么同步 daily.cvd / main.cvd 等文件?
ClamAV 的病毒库本质就是几个固定命名的 CVD 文件:main.cvd、daily.cvd、bytecode.cvd、safebrowsing.cvd。离线更新的核心动作就两步:替换文件 + 通知守护进程重载。
关键不是“下载”,而是“校验后放对位置”。常见错误是把文件丢进 /var/lib/clamav/ 却忘了 clamd 实际读的是 DatabaseDirectory 配置指向的路径(可能是 /opt/clamav/db 或 /home/clamav/update)。
- 先确认真实库路径:
grep "DatabaseDirectory" /etc/clamav/clamd.conf或clamd --config-file=/etc/clamav/clamd.conf --dump-config | grep DatabaseDirectory - 替换前务必删除旧 CVD 文件(不能仅覆盖,CVD 文件含校验头,残留旧头会导致加载失败)
- 替换完成后必须执行:
clamdscan --reload—— 这个命令发信号给clamd进程,不是重新启动服务 - 验证是否生效:
clamdscan --version输出末尾的时间戳和签名数应更新(如从26531/Wed May 4变为26536/Mon May 9)
自建离线镜像站要注意哪些兼容性坑?
很多团队想搭个 HTTP 服务当内部镜像站,让 freshclam 直接连自己服务器拉库。但 ClamAV 对镜像协议很敏感:它不走标准 HTTP 重定向,也不支持 Basic Auth,且严格校验 CVD 文件头部 Magic 字节和数字签名。
最常踩的坑是用 nginx 或 apache 直接托管 CVD 文件却未设置正确 MIME 类型,导致 freshclam 拒绝解析(报错类似 Can't parse database file)。
- CVD 文件必须返回
Content-Type: application/octet-stream,不能是text/plain或空 - 路径必须严格匹配官方结构,例如
http://your-mirror/daily.cvd,不能加前缀如/clamav/daily.cvd(除非同时修改freshclam.conf中的DatabaseMirror) -
freshclam.conf中要注释掉所有DatabaseMirror默认行,只留一行自定义地址,并确保HTTPUserAgent不为空(某些代理会拦截无 UA 请求) - 测试镜像可用性:用
wget -S http://your-mirror/daily.cvd看响应头,再用head -c 100 daily.cvd | hexdump -C核对开头是否为0x43 0x56 0x44 0x33(CVD3)
为什么 clamdscan --reload 没反应?日志里也没报错
这通常不是命令问题,而是权限或通信路径断了。clamdscan --reload 本质是向 clamd 的 Unix socket 或 TCP 端口发一个 reload 信号,如果 socket 文件路径不对、权限不足、或 clamd 根本没在监听,它就静默失败。
典型表现是执行后无输出、clamd.log 里也没有 reload 日志,但 clamdscan --version 显示的仍是旧时间戳。
- 先确认
clamd正在运行:systemctl status clamd或ps aux | grep clamd - 检查 socket 路径是否一致:
grep "LocalSocket" /etc/clamav/clamd.conf输出的路径,和ls -l看该文件是否存在、属主是否为clamav用户 - 如果用 TCP 模式(
TCPSocket),确认clamd是否监听对应端口:ss -tlnp | grep :3310(默认端口) - 临时调试可加 verbose:
clamdscan --reload --debug 2>&1 | grep -i reload,看是否卡在 connect 阶段
chown clamav:clamav,或配错一行 DatabaseDirectory,整个流程就停在 silent fail 里。 
