В этом разделе
•Настройка индивидуальных параметров мониторинга
Компонент использует параметры конфигурации, заданные в секции [SMBSpider] объединенного Приложение Г. Конфигурационный файл Dr.Web для файловых серверов UNIX Dr.Web для файловых серверов UNIX.
В секции представлены следующие параметры:
Параметр |
Описание |
|||
|---|---|---|---|---|
LogLevel {уровень подробности} |
Уровень подробности ведения журнала компонента. Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root]. Значение по умолчанию: Notice |
|||
Log {тип журнала} |
Метод ведения журнала компонента. Значение по умолчанию: Auto |
|||
ExePath {путь к файлу} |
Путь к исполняемому файлу компонента. Значение по умолчанию: <opt_dir>/bin/drweb-smbspider-daemon. •Для GNU/Linux: /opt/drweb.com/bin/drweb-smbspider-daemon. •Для FreeBSD: /usr/local/libexec/drweb.com/bin/drweb-smbspider-daemon |
|||
Start {логический} |
Компонент должен быть запущен демоном управления конфигурацией Dr.Web ConfigD. Установка данного параметра в Yes предписывает демону управления конфигурацией немедленно попытаться запустить компонент, а установка его в значение No — немедленно завершить работу компонента. Значение по умолчанию: No |
|||
SambaChrootDir {путь к каталогу} |
Путь к корневому каталогу файлового хранилища SMB (переопределяется через chroot файловым сервером). Используется как префикс, подставляемый в начало всех путей к файлам и каталогам, находящимся в файловом хранилище, и описывает путь к ним относительно корня локальной файловой системы. Если этот путь не указан, то используется путь к корню файловой системы /. Значение по умолчанию: (не задано) |
|||
SmbSocketPath {путь к файлу} |
Путь к файлу cокета для взаимодействия SpIDer Guard для SMB с модулям VFS SMB. Этот путь всегда является относительным и дополняет путь, указанный в значении параметра SambaChrootDir (если параметр SambaChrootDir пуст, то дополняется путь к корню файловой системы /). Значение по умолчанию: var/run/.com.drweb.smb_spider_vfs |
|||
ActionDelay {интервал времени} |
Определяет величину задержки, которую SpIDer Guard для SMB нужно выдержать между моментом обнаружения угрозы и применением действия к инфицированному объекту. В течение этого периода файл будет блокирован. Значение по умолчанию: 24h |
|||
MaxCacheSize {размер} |
Размер кеша, отводимого модулям VFS SMB на хранение информации о проверенных файлах в контролируемых ими каталогах SMB. Если указано 0, то кеш не используется. Значение по умолчанию: 10mb |
|||
[*] ExcludedPath {путь к файлу или каталогу} |
Путь к объекту внутри разделяемого каталога, который должен быть пропущен при проверке. Допускается указание пути как к каталогу, так и к конкретному файлу. Допускается использовать файловые маски (содержащие символы '?' и '*', а также символьные классы '[ ]', '[! ]', '[^ ]'). Может иметь список значений. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список). Пример: Добавить в список файлы /etc/file1 и каталог /usr/bin. 1.Добавление значений в файл конфигурации. •Два значения в одной строке:
•Две строки (по одному значению в строке):
2.Добавление значений через команду drweb-ctl cfset:
Если указан каталог, то будет пропущено все содержимое этого каталога. Значение по умолчанию: (не задано) |
|||
[*] IncludedPath {путь к файлу или каталогу} |
Путь к объекту внутри разделяемого каталога, который должен обязательно проверяться. Допускается указание пути как к каталогу, так и к конкретному файлу. Допускается использовать файловые маски (содержащие символы '?' и '*', а также символьные классы '[ ]', '[! ]', '[^ ]'). Может иметь список значений. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список). Пример: Добавить в список файлы /etc/file1 и каталог /usr/bin. 1.Добавление значений в файл конфигурации. •Два значения в одной строке:
•Две строки (по одному значению в строке):
2.Добавление значений через команду drweb-ctl cfset:
Если указан каталог, то будут проверены все содержащиеся в этом каталоге файлы и подкаталоги. Обратите внимание, что этот параметр имеет приоритет над параметром ExcludedPath (см. выше), т. е. если один и тот же объект (файл или каталог) включен в оба параметра, то он будет проверен. Значение по умолчанию: (не задано) |
|||
[*] AlertFiles {логический} |
Создавать/не создавать для заблокированного файла текстовый файл с описанием причин блокировки. Создаваемый файл будет иметь имя <имя заблокированного файла>.drweb.alert.txt. Допустимые значения: •Yes — создавать файлы причин блокировки; •No — не создавать. Значение по умолчанию: Yes |
|||
[*] OnKnownVirus {действие} |
Действие при обнаружении известной угрозы. Допустимые значения: Block, Cure, Quarantine, Delete. Значение по умолчанию: Cure |
|||
[*] OnIncurable {действие} |
Действие в случае неудачной попытки излечения угрозы. Допустимые значения: Block, Quarantine, Delete. Значение по умолчанию: Quarantine |
|||
[*] OnSuspicious {действие} |
Действие при обнаружении подозрительного объекта. Допустимые значения: Pass, Block, Quarantine, Delete. Значение по умолчанию: Quarantine |
|||
[*] OnAdware {действие} |
Действие при обнаружении рекламной программы. Допустимые значения: Pass, Block, Quarantine, Delete. Значение по умолчанию: Pass |
|||
[*] OnDialers {действие} |
Действие при обнаружении программы автоматического дозвона. Допустимые значения: Pass, Block, Quarantine, Delete. Значение по умолчанию: Pass |
|||
[*] OnJokes {действие} |
Действие при обнаружении программы-шутки. Допустимые значения: Pass, Block, Quarantine, Delete. Значение по умолчанию: Pass |
|||
[*] OnRiskware {действие} |
Действие при обнаружении потенциально опасной программы. Допустимые значения: Pass, Block, Quarantine, Delete. Значение по умолчанию: Pass |
|||
[*] OnHacktools {действие} |
Действие при обнаружении хакерской программ. Допустимые значения: Pass, Block, Quarantine, Delete. Значение по умолчанию: Pass |
|||
[*] BlockOnError {логический} |
Блокировать/не блокировать файл для доступа, если в процессе его проверки произошла ошибка, либо если отсутствует действующая лицензия, разрешающая проверку файлов монитором SpIDer Guard для SMB.
Допустимые значения: •Yes — блокировать доступ к файлу; •No — не блокировать. Значение по умолчанию: Yes |
|||
[*] ScanTimeout {интервал времени} |
Тайм-аут на проверку одного файла. Допустимые значения: от 1 секунды (1s) до 1 часа (1h). Значение по умолчанию: 30s |
|||
[*] HeuristicAnalysis {On | Off} |
Использовать/не использовать эвристический анализ для поиска возможных неизвестных угроз. Эвристический анализ повышает надежность проверки, но увеличивает ее длительность. Реакция на срабатывание эвристического анализа задается в параметре OnSuspicious. Допустимые значения: •On — использовать эвристический анализ при проверке; •Off — не использовать эвристический анализ. Значение по умолчанию: On |
|||
[*] PackerMaxLevel {целое число} |
Максимальный уровень вложенности для запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 8 |
|||
[*] ArchiveMaxLevel {целое число} |
Максимальный уровень вложенности для архивов (zip, rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 0 |
|||
[*] MailMaxLevel {целое число} |
Максимальный уровень вложенности для файлов почтовых программ (pst, tbb и т. п.), в которые могут быть вложены объекты, в которые также могут вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 8 |
|||
[*] ContainerMaxLevel {целое число} |
Максимальный уровень вложенности для других типов объектов c вложениями (например, HTML-страницы, jar-файлы и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 8 |
|||
[*] MaxCompressionRatio {целое число} |
Максимально допустимая степень сжатия проверяемых объектов (отношение сжатого объема к несжатому). Если степень сжатия объекта превысит указанную величину, то он будет пропущен при проверке, инициированной по запросу SpIDer Guard для SMB. Величина степени сжатия должна быть не менее 2. Значение по умолчанию: 500 |
Настройка индивидуальных параметров мониторинга
В конфигурационном файле SMB-сервера Samba (обычно это файл smb.conf) можно задать уникальный тег для каждого модуля VFS SMB, контролирующего каждый разделяемый каталог (хранилище). Уникальные теги для модулей VFS SMB в файле smb.conf задаются строкой вида:
smb_spider:tag = <имя> |
где <имя> — это уникальный тег (имя), присвоенный сервером Samba модулю VFS SMB, контролирующему некоторый разделяемый каталог.
Если для некоторого модуля VFS SMB определен уникальный тег <имя>, то имеется возможность добавить в конфигурационный файл Dr.Web для файловых серверов UNIX, наряду с секцией [SMBSpider], хранящей все параметры работы с SMB, отдельную секцию, регулирующую только параметры проверки конкретного хранилища, защищаемого модулем VFS SMB, имеющим присвоенный тег. Эта секция должна иметь имя вида [SMBSpider.Share.<имя>].
Индивидуальные секции для модулей VFS SMB могут включать в себя список параметров, отмеченных символом "[*]" в таблице выше. Остальные параметры не могут быть указаны в индивидуальных секциях, поскольку они всегда определяются сразу для всех модулей VFS SMB, с которыми работает монитор каталогов SMB SpIDer Guard для SMB.
Для всех параметров, которые не указаны в индивидуальной секции [SMBSpider.Share.<имя>], использующий ее модуль VFS SMB будет брать соответствующих параметров из общей секции [SMBSpider]. Таким образом, если вовсе не задавать индивидуальных секций, помеченных тегами, то все модули VFS SMB будут использовать одинаковые настройки защиты контролируемых разделяемых каталогов. При этом, если из секции [SMBSpider.Share.<имя>] удалить некоторый параметр, то для этой секции (и соответствующего каталога с тегом <имя>) будет применяться не значение параметра по умолчанию, а значение, указанное в соответствующем одноименном «родительском» параметре (из общей секции [SMBSpider]).
Чтобы добавить новую секцию параметров для разделяемого каталога Samba с тегом <имя> при помощи утилиты управления Dr.Web для файловых серверов UNIX из командной строки Dr.Web Ctl (запускается командой drweb-ctl), достаточно использовать команду:
# drweb-ctl cfset SmbSpider.Share -a <имя> |
Пример:
# drweb-ctl cfset SmbSpider.Share -a BuhFiles |
Первая команда добавит в файл конфигурации секцию [SMBSpider.Share.BuhFiles], а вторая изменит в ней значение параметра OnAdware. Таким образом, добавленная секция будет содержать все параметры, отмеченные символом "[*]" в таблице выше, причем значения всех параметров, кроме параметра OnAdware, указанного в команде, будут совпадать со значениями параметров из общей секции [SMBSpider].