dsa-nagios-checks/checks/check_clamav_signatures

   1 #!/usr/bin/env bash
   2
   3 #
   4 # check_clamav_signatures - Nagios plugin to monitor ClamAV signatures are up to date.
   5 #
   6 # Released under the MIT License.
   7 #
   8 # https://github.com/tommarshall/nagios-check-clamav-signatures
   9 #
  10
  11 VERSION=0.1.0
  12 OK=0
  13 WARNING=1
  14 CRITICAL=2
  15 UNKNOWN=3
  16 CLAM_LIB_DIR=/var/lib/clamav
  17 NUMERICAL_REGEX='^[0-9]+$'
  18 WARN_THRESHOLD=1
  19 CRIT_THRESHOLD=2
  20
  21 #
  22 # Output version.
  23 #
  24
  25 version() {
  26   echo "check_clamav_signatures $VERSION"
  27 }
  28
  29 #
  30 # Output usage information.
  31 #
  32
  33 usage() {
  34   echo 'Usage: ./check_clamav_signatures [options]'
  35 }
  36
  37 #
  38 # Output help information.
  39 #
  40
  41 help() {
  42   usage
  43   cat <<-EOF
  44
  45   Examples:
  46     ./check_clamav_signatures
  47
  48   Options:
  49     -p, --path <path>           path to ClamAV lib directory, if not $CLAM_LIB_DIR
  50     -V, --version               output version
  51     -h, --help                  output help information
  52
  53   For more information, see https://github.com/tommarshall/nagios-check-clamav-signatures
  54
  55 EOF
  56 }
  57
  58 #
  59 # Parse argv.
  60 #
  61
  62 while test $# -ne 0; do
  63   ARG=$1; shift
  64   case $ARG in
  65     -p|--path) CLAM_LIB_DIR=$1; shift ;;
  66     -V|--version) version; exit ;;
  67     -h|--help) help; exit ;;
  68     *)
  69       echo "UNKNOWN: Unrecognised argument: $ARG"
  70       usage >&2
  71       exit $UNKNOWN
  72       ;;
  73   esac
  74 done
  75
  76 #
  77 # Showtime.
  78 #
  79
  80 # ensure we have executable dependencies
  81 for dependency in cut host grep sigtool sed; do
  82   if ! hash $dependency >/dev/null 2>&1; then
  83     echo "UNKNOWN: Missing dependency: ${dependency}"
  84     exit $UNKNOWN
  85   fi
  86 done
  87
  88 # ensure the clam lib dir exists
  89 if [ ! -d "$CLAM_LIB_DIR" ]; then
  90   echo "UNKNOWN: Unable to locate ClamAV lib directory"
  91   exit $UNKNOWN
  92 fi
  93
  94 # ensure we have a daily signatures file
  95 if [ -e ${CLAM_LIB_DIR}/daily.cld ]; then
  96   DAILY_SIGNATURES_PATH="${CLAM_LIB_DIR}/daily.cld"
  97 elif [ -e ${CLAM_LIB_DIR}/daily.cvd ]; then
  98   DAILY_SIGNATURES_PATH="${CLAM_LIB_DIR}/daily.cvd"
  99 else
 100   echo "UNKNOWN: Unable to locate installed daily signatures"
 101   exit $UNKNOWN
 102 fi
 103
 104 # ensure we have a main signatures file
 105 if [ -e ${CLAM_LIB_DIR}/main.cvd ]; then
 106   MAIN_SIGNATURES_PATH="${CLAM_LIB_DIR}/main.cvd"
 107 elif [ -e ${CLAM_LIB_DIR}/main.cld ]; then
 108   MAIN_SIGNATURES_PATH="${CLAM_LIB_DIR}/main.cld"
 109 else
 110   echo "UNKNOWN: Unable to locate installed main signatures"
 111   exit $UNKNOWN
 112 fi
 113
 114 # extract the daily signatures version
 115 INSTALLED_DAILY_VERSION=$(sigtool -i ${DAILY_SIGNATURES_PATH} 2>/dev/null | grep Version | sed -e 's/Version: //')
 116 if ! [[ $INSTALLED_DAILY_VERSION =~ $NUMERICAL_REGEX ]]; then
 117   echo "UNKNOWN: Unable to establish installed daily signatures version"
 118   exit $UNKNOWN
 119 fi
 120
 121 # extract the main signatures version
 122 INSTALLED_MAIN_VERSION=$(sigtool -i ${MAIN_SIGNATURES_PATH} 2>/dev/null | grep Version | sed -e 's/Version: //')
 123 if ! [[ $INSTALLED_MAIN_VERSION =~ $NUMERICAL_REGEX ]]; then
 124   echo "UNKNOWN: Unable to establish installed main signatures version"
 125   exit $UNKNOWN
 126 fi
 127
 128 # query the DNS record
 129 DNS_TXT_RECORD=$(host -t txt current.cvd.clamav.net)
 130 if [ $? -ne 0 ]; then
 131   echo "UNKNOWN: DNS query to current.cvd.clamav.net failed"
 132   exit $UNKNOWN
 133 fi
 134
 135 # extract the current daily signatures version from the DNS TXT record
 136 CURRENT_DAILY_VERSION=$(echo $DNS_TXT_RECORD | cut -d : -f 3)
 137 if ! [[ $CURRENT_DAILY_VERSION =~ $NUMERICAL_REGEX ]]; then
 138   echo "UNKNOWN: Unable to establish current daily signatures version from DNS query"
 139   exit $UNKNOWN
 140 fi
 141
 142 # extract the current main signatures version from the DNS TXT record
 143 CURRENT_MAIN_VERSION=$(echo $DNS_TXT_RECORD | cut -d : -f 2)
 144 if ! [[ $CURRENT_MAIN_VERSION =~ $NUMERICAL_REGEX ]]; then
 145   echo "UNKNOWN: Unable to establish current main signatures version from DNS query"
 146   exit $UNKNOWN
 147 fi
 148
 149 # determine the difference between the current and installed versions
 150 DAILY_VERSION_DELTA=$((CURRENT_DAILY_VERSION-INSTALLED_DAILY_VERSION))
 151 MAIN_VERSION_DELTA=$((CURRENT_MAIN_VERSION-INSTALLED_MAIN_VERSION))
 152
 153 if [ $DAILY_VERSION_DELTA -gt $CRIT_THRESHOLD -o $MAIN_VERSION_DELTA -gt $CRIT_THRESHOLD ]; then
 154   echo "CRITICAL: Signatures expired;" \
 155     "daily version: ${INSTALLED_DAILY_VERSION} (${DAILY_VERSION_DELTA} behind)," \
 156     "main version: ${INSTALLED_MAIN_VERSION} (${MAIN_VERSION_DELTA} behind)"
 157   exit $CRITICAL
 158 elif [ $DAILY_VERSION_DELTA -gt $WARN_THRESHOLD -o $MAIN_VERSION_DELTA -gt $WARN_THRESHOLD ]; then
 159   echo "WARNING: Signatures expired;" \
 160     "daily version: ${INSTALLED_DAILY_VERSION} (${DAILY_VERSION_DELTA} behind)," \
 161     "main version: ${INSTALLED_MAIN_VERSION} (${MAIN_VERSION_DELTA} behind)"
 162   exit $WARNING
 163 fi
 164
 165 echo "OK: Signatures up to date;"\
 166   "daily version: ${INSTALLED_DAILY_VERSION}," \
 167   "main version: ${INSTALLED_MAIN_VERSION}"
 168 exit $OK