В этом разделе
|
Монитор SpIDer Guard для SMB использует для интеграции с Samba специальный модуль VFS SMB. Совместно с монитором SpIDer Guard для SMB поставляется несколько версий модуля VFS SMB, собранных для различных версий Samba, однако они могут оказаться несовместимы с версией Samba, установленной на вашем файловом сервере, например, если установленный у вас сервер Samba использует опцию CLUSTER_SUPPORT. В случае несовместимости поставляемых модулей VFS SMB с вашим сервером Samba, в процессе установки Dr.Web для файловых серверов UNIX на экран будет выдано соответствующее сообщение. В этом случае перед интеграцией необходимо выполнить процедуру сборки модуля VFS SMB для вашего сервера Sambа, включая поддержку опции CLUSTER_SUPPORT, если это требуется. Для получения информации о процедуре сборки модуля VFS SMB из исходного кода см. раздел Сборка модуля VFS SMB. |
Для интеграции SpIDer Guard для SMB с файловым сервером Samba необходимо выполнить следующее:
1.В каталоге VFS-модулей сервера Samba (по умолчанию для GNU/Linux — /usr/lib/<aрхитектура>-linux-gnu/samba/vfs) создать символическую ссылку smb_spider.so, указывающую на модуль VFS SMB Dr.Web, соответствующий используемой версии сервера Samba.
Модули VFS SMB, поставляемые Dr.Web, расположены в каталоге с библиотеками <opt_dir>/lib/<aрхитектура>-linux-gnu/samba/vfs (в Debian, Ubuntu, Mint) или <opt_dir>/lib64/samba/.
Файлы модулей имеют имя вида libsmb_spider.so.<ver>, где <ver> — версия сервера Sambа, с которой работает модуль.
Например, /opt/drweb.com/lib/x86_64-linux-gnu/samba/libsmb_spider.so.4.13.0 — модуль VFS SMB для сервера Samba версии 4.13.0 для GNU/Linux, архитектура x86_64.
2.В файле конфигурации сервера Samba smb.conf (по умолчанию для GNU/Linux в каталоге /etc/samba) создайте секции для разделяемых каталогов. Секция разделяемого каталога должна иметь вид:
[<имя ресурса>] |
где <имя ресурса> — любое имя разделяемого ресурса, а <комментарий> — произвольная строка-комментарий (не обязательно). Имя объекта, указанное в параметре vfs objects, должно совпадать с именем файла символической ссылки (smb_spider в данном случае).
После этого каталог, указанный в параметре path, будет находиться под наблюдением монитора SpIDer Guard для SMB. При этом взаимодействие SpIDer Guard для SMB с модулем VFS SMB будет производиться через UNIX-сокет /<samba chroot path>/var/run/.com.drweb.smb_spider_vfs. Путь к этому UNIX-сокету по умолчанию задан в настройках SpIDer Guard для SMB, а также модуля VFS SMB.
Подключить SpIDer Guard для SMB к уже настроенным в файле конфигурации сервера Samba разделяемым каталогам вы можете, используя утилиту конфигурирования drweb-configure (см. ниже).
3.Если требуется изменить путь к сокету, то его необходимо задать не только в настройках SpIDer Guard для SMB (параметр SmbSocketPath), но и в файле конфигурации Samba smb.conf. Для этого в секцию [<имя ресурса>] необходимо добавить строку:
smb_spider:socket = <путь к сокету> |
где <путь к сокету> должен быть абсолютным путем к UNIX-сокету, относительно корня, заданного для сервера Samba через chroot (<samba chroot path>).
4.При необходимости вы можете исключать объекты в защищаемых разделямых каталогах (как каталоги из проверки, так и отдельные файлы). Для этого укажите пути к этим объектам в качестве значений параметра ExcludedPath. В качестве значений параметра IncludedPath вы можете указать пути к объектам, которые обязательно должны быть включены в проверку.
|
Параметр IncludedPath имеет приоритет над параметром ExcludedPath: если один и тот же файл или каталог добавлен в значения обоих параметров, он будет включен в список для обязательной проверки. |
5.Если требуется задать индивидуальные настройки проверки для данного разделяемого каталога, отличные от настроек по умолчанию (для всех модулей), то необходимо задать тег-идентификатор для модуля VFS SMB, контролирующего этот каталог:
smb_spider:tag = <имя ресурса> |
Далее индивидуальные настройки контроля этого разделяемого каталога задаются в настройках SpIDer Guard для SMB в виде отдельной секции [SMBSpider.Share.<имя ресурса>].
Чтобы добавить новую секцию параметров с тегом <имя ресурса> при помощи утилиты управления Dr.Web Ctl, достаточно использовать команду drweb-ctl cfset SmbSpider.Share.<имя ресурса>.<параметр> <значение>, например:
# drweb-ctl cfset SmbSpider.Share.AccountingFiles.OnAdware Quarantine |
Данная команда добавит в файл конфигурации секцию [SMBSpider.Share.AccountingFiles]. Эта секция будет содержать все параметры проверки каталога, причем значения всех параметров, кроме параметра OnAdware, указанного в команде, будут совпадать со значениями параметров из общей секции [SMBSpider].
6.Задействуйте SpIDer Guard для SMB, задав для параметра Start значение Yes.
После внесения изменений в настройки перезапустите как сервер Samba, так и Dr.Web для файловых серверов UNIX, выполнив команду:
# drweb-ctl reload |
Также вы можете выполнить перезапуск демона управления конфигурацией Dr.Web ConfigD с помощью команды:
# service drweb-configd restart |
|
Для предотвращения возможных конфликтов между SpIDer Guard для SMB и SpIDer Guard при проверке файлов в разделяемых каталогах Samba, рекомендуется дополнительно настроить SpIDer Guard, выполнив одно из следующих действий: •добавить разделяемые каталоги Samba в область исключения (перечислить эти каталоги в параметре ExcludedPath); •добавить процесс Samba (smbd) в список игнорируемых процессов (указать smbd в параметре ExcludedProc). |
Для удобства интеграции SpIDer Guard для SMB с настроенными в конфигурации файлового сервера Samba разделяемыми каталогами (подключения к ним и отключения) разработана специальная вспомогательная утилита drweb-configure. Для настройки подключения SpIDer Guard для SMB к имеющимся разделяемым каталогам или отключения от них, используйте команду:
# drweb-configure samba [<параметры>] |
В качестве параметров можно указать:
•+<ресурс Samba> — имя разделяемого ресурса Samba (как оно указано в файле конфигурации smb.conf), который следует добавить под защиту SpIDer Guard для SMB;
•-<ресурс Samba> — имя разделяемого ресурса Samba (как оно указано в файле конфигурации smb.conf), который следует исключить из-под защиты SpIDer Guard для SMB;
•+/all — добавить под защиту SpIDer Guard для SMB все разделяемые ресурсы Samba, указанные в файле конфигурации smb.conf;
•-/all — исключить из-под защиты SpIDer Guard для SMB все разделяемые ресурсы Samba, указанные в файле конфигурации smb.conf;
•add_symlink — создать символическую ссылку smb_spider.so, указывающую на модуль VFS SMB Dr.Web (путь к исходному файлу может различаться в зависимости от используемой версии Samba);
•remove_symlink — удалить символическую ссылку smb_spider.so;
•<файл конфигурации> — путь к файлу конфигурации файлового сервера Samba (smb.conf), который следует обработать. Если этот параметр опустить, утилита drweb-configure попытается автоматически обнаружить актуальный файл smb.conf.
|
Получить справку по модулю настройки интеграции SpIDer Guard для SMB с разделяемыми каталогами Samba можно с помощью команды:
|