設定パラメータ

このコンポーネントは、Dr.Web for UNIX File Serversの統合された設定ファイル[LinuxSpider]セクションで指定されている設定パラメータを使用します。

コンポーネントパラメータ

保護スペースのモニタリング設定をカスタマイズする

コンポーネントパラメータ

セクションには以下のパラメータが含まれています。

パラメータ

説明

LogLevel

{logging level}

コンポーネントのロギングレベル

パラメータの値が指定されていない場合は、[Root]セクションDefaultLogLevelパラメータの値が使用されます。

デフォルト値:Notice

Log

{log type}

コンポーネントのロギング方式

デフォルト値:Auto

ExePath

{path to file}

コンポーネントの実行ファイルへのパス。

デフォルト値:<opt_dir>/bin/drweb-spider

GNU/Linuxの場合:/opt/drweb.com/bin/drweb-spider

Start

{Boolean}

Dr.Web ConfigD設定デーモンによってコンポーネントを起動するかどうかを指定します。

このパラメータにYes値を指定すると、設定デーモンはただちにコンポーネントを開始します。また、No値を指定すると、設定デーモンはただちにコンポーネントを終了します。

デフォルト値:提供されたDr.Webコンポーネントが動作する製品によって異なります

Mode

{LKM | FANOTIFY | AUTO}

SpIDer Guardの動作モード。

使用可能な値:

LKM - OSのカーネルにインストールされているDr.Web LKMモジュール(LKM - Linuxカーネルモジュール)を使用します。

FANOTIFY - fanotifyのモニタリングインターフェースを使用します。

AUTO - 自動的にモードを選択します。

さまざまなGNU/Linux OSカーネルは両方の動作モードを異なる方法でサポートしているため、このパラメータ値の変更は細心の注意を払って行う必要があります。ファイルシステムマネージャーとの統合に最適なモードが起動時に選択されることから、このパラメータ値をAUTOに設定することを強くお勧めします。その場合、コンポーネントはFANOTIFYモードの有効化を試み、失敗するとLKMの有効化を試みます。どのモードも設定できない場合、コンポーネントは終了します。

 

必要に応じて、SpIDer Guard用のカーネルモジュールを構築するセクションの指示に従って、ソースコードからDr.Web LKMモジュールを構築してインストールすることができます。

デフォルト値:AUTO

DebugAccess

{Boolean}

ファイルへのアクセス試行に関する情報をデバッグレベルのログに書き込みます(LogLevel = DEBUGの場合)。

デフォルト値:No

ExcludedProc

{path to file}

モニタリング対象から除外するプロセス。リストにあるプロセスで作成または変更されたファイルはスキャンされません。

複数のプロセスをコンマ区切りリストで指定できます。リストの値(引用符内の各値)はコンマで区切る必要があります。パラメータはセクション内で複数回指定できます(この場合、そのすべての値が1つのリストにまとめられます)。

例:プロセスのリストにwgetcurlを追加します。

1.設定ファイルに値を追加します。

1行に2つの値:

[LinuxSpider]
ExcludedProc = "/usr/bin/wget", "/usr/bin/curl"

2行(1行に1つの値):

[LinuxSpider]
ExcludedProc = /usr/bin/wget
ExcludedProc = /usr/bin/curl

2.drweb-ctl cfsetコマンドを使用して値を追加します。

# drweb-ctl cfset LinuxSpider.ExcludedProc -a /usr/bin/wget
# drweb-ctl cfset LinuxSpider.ExcludedProc -a /usr/bin/curl

デフォルト値:(未設定)

ExcludedFilesystem

{file system name}

指定したファイルシステムをモニタリング対象から除外します。

このオプションはFANOTIFYモードでのみ使用できます。

複数のファイルシステムをコンマ区切りリストで指定できます。リストの値(引用符内の各値)はコンマで区切る必要があります。パラメータはセクション内で複数回指定できます(この場合、そのすべての値が1つのリストにまとめられます)。

例:リストにcifsファイルシステムとnfsファイルシステムを追加します。

1.設定ファイルに値を追加します。

1行に2つの値:

[LinuxSpider]
ExcludedFilesystem = "cifs", "nfs"

2行(1行に1つの値):

[LinuxSpider]
ExcludedFilesystem = cifs
ExcludedFilesystem = nfs

2.drweb-ctl cfsetコマンドを使用して値を追加します。

# drweb-ctl cfset LinuxSpider.ExcludedFilesystem -a cifs
# drweb-ctl cfset LinuxSpider.ExcludedFilesystem -a nfs

デフォルト値cifs

BlockBeforeScan

{Off | Executables | All}

モニターによってスキャンされるまでファイルはブロックされます(拡張または「パラノイド」モニタリングモードで)。

使用可能な値:

Off - スキャン対象ではない場合でも、ファイルへのアクセスを絶対にブロックしません。

Executables - モニターによってスキャンされない実行ファイル(PEファイル、ELFファイル、プリアンブル#!付きのスクリプト)へのアクセスをブロックします。

All - モニターでチェックされないファイルへのアクセスをブロックします。

ファイルはFANOTIFYモードでブロックされます。

デフォルト値:Off

[*] ExcludedPath

{path to file or directory}

指定したパスにあるオブジェクト(ファイルまたはディレクトリ)をモニタリングから除外します。ファイルマスク(「?」と「*」、および記号クラス「[ ]」、「[! ]」、「[^ ]」を含む)が許可されます。

複数のオブジェクトをコンマ区切りリストで指定できます。各値を引用符で囲む必要があります。リストの値(引用符内の各値)はコンマで区切る必要があります。パラメータはセクション内で複数回指定できます(この場合、そのすべての値が1つのリストにまとめられます)。

例:リストにファイル/etc/file1とディレクトリ/usr/binを追加します。

1.設定ファイルに値を追加します。

1行に2つの値:

[LinuxSpider]
ExcludedPath = "/etc/file1", "/usr/bin"

2行(1行に1つの値):

[LinuxSpider]
ExcludedPath = /etc/file1
ExcludedPath = /usr/bin

2.drweb-ctl cfsetコマンドを使用して値を追加します。

# drweb-ctl cfset LinuxSpider.ExcludedPath -a /etc/file1
# drweb-ctl cfset LinuxSpider.ExcludedPath -a /usr/bin

スキャン時にはファイルへの直接パスのみが解析されるため、ここではシンボリックリンクによる影響はありません。

デフォルト値:/proc、/sys

[*] OnKnownVirus

{action}

シグネチャ解析で検出された既知の脅威(ウイルスなど)に対して、Dr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:CureQuarantineDelete

デフォルト値:Cure

[*] OnIncurable

{action}

修復不可能な脅威に対してDr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:QuarantineDelete

デフォルト値:Quarantine

[*] OnSuspicious

{action}

ヒューリスティック解析を使用して検出された未知の脅威(または疑わしいオブジェクト)に対してDr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:ReportQuarantineDelete

デフォルト値:Quarantine

[*] OnAdware

{action}

アドウェアに対してDr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:ReportQuarantineDelete

デフォルト値:Quarantine

[*] OnDialers

{action}

ダイアラーに対してDr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:ReportQuarantineDelete

デフォルト値:Quarantine

[*] OnJokes

{action}

ジョークプログラムに対してDr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:ReportQuarantineDelete

デフォルト値:Report

[*] OnRiskware

{action}

検出されたリスクウェアに対してDr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:ReportQuarantineDelete

デフォルト値:Report

[*] OnHacktools

{action}

ハッキングツールに対してDr.Web for UNIX File Serversによって適用されるアクション。

可能なアクション:ReportQuarantineDelete

デフォルト値:Report

[*] ScanTimeout

{time interval}

SpIDer Guardによって開始された1つのファイルに対するスキャンのタイムアウト。

指定可能な値:1秒(1s)から1時間(1h)まで。

デフォルト値:30s

[*] HeuristicAnalysis

{On | Off}

未知の脅威を検出するためのヒューリスティック解析を有効/無効にします。ヒューリスティック解析における検出の信頼性は高いのですが、スキャンに時間がかかります。

ヒューリスティックアナライザによって検出された脅威に適用されるアクションは、OnSuspiciousパラメータ値として指定します。

使用可能な値:

On - ヒューリスティック解析を使用するように指示します。

Off - ヒューリスティック解析を使用しないように指示します。

デフォルト値:On

[*] PackerMaxLevel

{integer}

圧縮されたオブジェクトの最大ネスティングレベル。圧縮されたオブジェクトは、特別なソフトウェア(UPX、PELock、PECompact、Petite、ASPack、Morphineなど)で圧縮された実行コードです。そのようなオブジェクトには、圧縮されたオブジェクトなどを含む他の圧縮されたオブジェクトなどが含まれる場合があります。このパラメータの値はネスティングの上限を指定します。この上限を超えると、他の圧縮されたオブジェクト内の圧縮されたオブジェクトはスキャンされません。

ネスティングレベルの制限はありません。値を0に設定すると、ネストされたオブジェクトはスキャンされません。

デフォルト値:8

[*] ArchiveMaxLevel

{integer}

他のアーカイブが含まれる可能性のあるアーカイブ(zip、rarなど)の最大ネスティングレベル(これらのアーカイブには他のアーカイブなどが含まれる場合もあります)。このパラメータの値はネスティングの上限を指定します。この上限を超えると、他のアーカイブに含まれるアーカイブはスキャンされません。

ネスティングレベルの制限はありません。値を0に設定すると、ネストされたオブジェクトはスキャンされません。

デフォルト値:0

[*] MailMaxLevel

{integer}

他のファイルが含まれる可能性のあるメーラーのファイル(pst、tbbなど)をスキャンするときの最大ネスティングレベル(これらのファイルには他のファイルなどが含まれる場合もあります)。このパラメータの値はネスティングの上限を指定します。この上限を超えると、他のオブジェクト内のオブジェクトはスキャンされません。

ネスティングレベルの制限はありません。値を0に設定すると、ネストされたオブジェクトはスキャンされません。

デフォルト値:0

[*] ContainerMaxLevel

{integer}

他のオブジェクトが含まれる他のタイプのオブジェクト(HTMLページ、jarファイルなど)をスキャンするときの最大ネスティングレベルを設定します。このパラメータの値は、ネスティングの上限を指定します。この上限を超えると、他のオブジェクト内のオブジェクトはスキャンされません。

ネスティングレベルの制限はありません。値を0に設定すると、ネストされたオブジェクトはスキャンされません。

デフォルト値:8

[*] MaxCompressionRatio

{integer}

スキャンされるオブジェクトの最大圧縮率(非圧縮サイズと圧縮サイズの比率)。オブジェクトの比率が制限を超えると、そのオブジェクトはSpIDer Guardによるスキャン中にスキップされます。

圧縮率は2以上にする必要があります。

デフォルト値:500

保護スペースのモニタリング設定をカスタマイズする

ファイルシステムの保護スペースごとに、モニタリング対象ファイルシステム領域(サイト)へのパスとモニタリングパラメータを含む個別のセクションを、すべてのモニタリングパラメータを格納する[LinuxSpider]セクションとともに設定ファイルで指定します。各セクションには、[LinuxSpider.Space.<space name>]の形式で名前を付ける必要があります。ここで<space name>は、保護スペースの一意の識別子です。

このセクションには、[LinuxSpider]セクションにないパラメータを含める必要があります。

パラメータ

説明

Enable

{Boolean}

Path(以下を参照)で指定したディレクトリにある保護スペースのコンテンツがモニタリングされます。

この保護スペースのコンテンツのモニタリングを停止するには、パラメータをNoに設定します。

デフォルト値:Yes

Path

{path to directory}

モニタリング対象のファイルのあるシステムディレクトリ(ネストされたディレクトリを含む)へのパス。

デフォルトでは、このパラメータには空の値が設定されています。そのため、モニタリング範囲に保護スペースを追加するときには値を指定する必要があります。

デフォルト値:(指定なし)

モニター設定で指定したすべての保護スペースがモニタリングされない場合や、それらのスペースのパスが指定されていない場合、システムファイルツリーのファイルはモニタリングされないため、SpIDer Guardはアイドル状態で実行されます。ファイルシステムを単一の保護スペースとしてモニタリングする場合は、設定から名前付きスペースのセクションを削除します。

上述の方法以外に、保護スペースの個別のセクションには、上記の表で「[*]」の文字が付いているコンポーネント設定の共通セクションのパラメータのリストを含めることで、この保護スペースのパラメータを再指定することができます(脅威が検出されたときのアクション、最大アーカイブチェックレベルなど)。保護スペースにパラメータが指定されていない場合、このスペースのモニタリング手順は、対応するパラメータを使用して実行され、パラメータの値は[LinuxSpider]セクションから取得されます。

Dr.Web for UNIX File Servers管理用のDr.Web Ctlコマンドラインツール(drweb-ctlコマンドによって実行)を使用して、タグ<space name>が付いた保護スペースのパラメータに新しいセクションを追加するには、次のコマンドを使用します。

# drweb-ctl cfset LinuxSpider.Space -a <space name>

例:

# drweb-ctl cfset LinuxSpider.Space -a Space1
# drweb-ctl cfset LinuxSpider.Space.Space1.Path /home/user1

最初のコマンドは[LinuxSpider.Space.Space1]セクションを設定ファイルに追加します。2番目のコマンドは、このセクションのPathパラメータの値を設定し、ファイルシステムのモニタリング対象領域へのパスを指定します。このセクションのその他のパラメータは[LinuxSpider]セクションのものと同じです。