Параметры конфигурации

В этом разделе

Параметры компонента

Настройка индивидуальных параметров мониторинга

Компонент использует параметры конфигурации, заданные в секции [SMBSpider] объединенного Приложение Г. Конфигурационный файл Dr.Web для файловых серверов UNIX Dr.Web для файловых серверов UNIX.

Параметры компонента

В секции представлены следующие параметры:

Параметр

Описание

LogLevel

{уровень подробности}

Уровень подробности ведения журнала компонента.

Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root].

Значение по умолчанию: Notice

Log

{тип журнала}

Метод ведения журнала компонента.

Значение по умолчанию: Auto

ExePath

{путь к файлу}

Путь к исполняемому файлу компонента.

Значение по умолчанию: <opt_dir>/bin/drweb-smbspider-daemon.

Для GNU/Linux: /opt/drweb.com/bin/drweb-smbspider-daemon.

Для FreeBSD: /usr/local/libexec/drweb.com/bin/drweb-smbspider-daemon

Start

{логический}

Компонент должен быть запущен демоном управления конфигурацией Dr.Web ConfigD.

Установка данного параметра в Yes предписывает демону управления конфигурацией немедленно попытаться запустить компонент, а установка его в значение No — немедленно завершить работу компонента.

Значение по умолчанию: No

SambaChrootDir

{путь к каталогу}

Путь к корневому каталогу файлового хранилища SMB (переопределяется через chroot файловым сервером).

Используется как префикс, подставляемый в начало всех путей к файлам и каталогам, находящимся в файловом хранилище, и описывает путь к ним относительно корня локальной файловой системы.

Если этот путь не указан, то используется путь к корню файловой системы /.

Значение по умолчанию: (не задано)

SmbSocketPath

{путь к файлу}

Путь к файлу cокета для взаимодействия SpIDer Guard для SMB с модулям VFS SMB.

Этот путь всегда является относительным и дополняет путь, указанный в значении параметра SambaChrootDir (если параметр SambaChrootDir пуст, то дополняется путь к корню файловой системы /).

Значение по умолчанию: var/run/.com.drweb.smb_spider_vfs

ActionDelay

{интервал времени}

Определяет величину задержки, которую SpIDer Guard для SMB нужно выдержать между моментом обнаружения угрозы и применением действия к инфицированному объекту. В течение этого периода файл будет блокирован.

Значение по умолчанию: 24h

MaxCacheSize

{размер}

Размер кеша, отводимого модулям VFS SMB на хранение информации о проверенных файлах в контролируемых ими каталогах SMB.

Если указано 0, то кеш не используется.

Значение по умолчанию: 10mb

[*] ExcludedPath

{путь к файлу или каталогу}

Путь к объекту внутри разделяемого каталога, который должен быть пропущен при проверке вместе со всеми подкаталогами и вложенными файлами. Допускается указание пути как к каталогу, так и к конкретному файлу. Допускается использовать файловые маски (содержащие символы ? и *, а также символьные классы [ ], [! ], [^ ]).

Может иметь список значений. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: добавить в список файлы /etc/file1 и каталог /usr/bin.

1.Добавление значений в файл конфигурации.

Два значения в одной строке:

[SMBSpider]
ExcludedPath = "/etc/file1", "/usr/bin"

Две строки (по одному значению в строке):

[SMBSpider]
ExcludedPath = /etc/file1
ExcludedPath = /usr/bin

2.Добавление значений через команду drweb-ctl cfset:

# drweb-ctl cfset SMBSpider.ExcludedPath -a /etc/file1
# drweb-ctl cfset SMBSpider.ExcludedPath -a /usr/bin

Если указан каталог, то будет пропущено все содержимое этого каталога.

Значение по умолчанию: (не задано)

[*] IncludedPath

{путь к файлу или каталогу}

Путь к объекту внутри разделяемого каталога, который должен обязательно проверяться. Допускается указание пути как к каталогу, так и к конкретному файлу. Допускается использовать файловые маски (содержащие символы ? и *, а также символьные классы [ ], [! ], [^ ]).

Может иметь список значений. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: Добавить в список файлы /etc/file1 и каталог /usr/bin.

1.Добавление значений в файл конфигурации.

Два значения в одной строке:

[SMBSpider]
IncludedPath = "/etc/file1", "/usr/bin"

Две строки (по одному значению в строке):

[SMBSpider]
IncludedPath = /etc/file1
IncludedPath = /usr/bin

2.Добавление значений через команду drweb-ctl cfset:

# drweb-ctl cfset SMBSpider.IncludedPath -a /etc/file1
# drweb-ctl cfset SMBSpider.IncludedPath -a /usr/bin

Если указан каталог, то будут проверены все содержащиеся в этом каталоге файлы и подкаталоги.

Обратите внимание, что этот параметр имеет приоритет над параметром ExcludedPath (см. выше), т. е. если один и тот же объект (файл или каталог) включен в оба параметра, то он будет проверен.

Значение по умолчанию: (не задано)

[*] AlertFiles

{логический}

Создавать или не создавать для заблокированного файла текстовый файл с описанием причин блокировки. Создаваемый файл будет иметь имя <имя заблокированного файла>.drweb.alert.txt.

Допустимые значения:

Yes — создавать файлы причин блокировки;

No — не создавать.

Значение по умолчанию: Yes

[*] OnKnownVirus

{действие}

Действие при обнаружении известной угрозы.

Допустимые значения: Block, Cure, Quarantine, Delete.

Значение по умолчанию: Cure

[*] OnIncurable

{действие}

Действие в случае неудачной попытки излечения угрозы.

Допустимые значения: Block, Quarantine, Delete.

Значение по умолчанию: Quarantine

[*] OnSuspicious

{действие}

Действие при обнаружении подозрительного объекта.

Допустимые значения: Pass, Report, Block, Quarantine, Delete.

Значение по умолчанию: Quarantine

[*] OnAdware

{действие}

Действие при обнаружении рекламной программы.

Допустимые значения: Pass, Report, Block, Quarantine, Delete.

Значение по умолчанию: Pass

[*] OnDialers

{действие}

Действие при обнаружении программы автоматического дозвона.

Допустимые значения: Pass, Report, Block, Quarantine, Delete.

Значение по умолчанию: Pass

[*] OnJokes

{действие}

Действие при обнаружении программы-шутки.

Допустимые значения: Pass, Report, Block, Quarantine, Delete.

Значение по умолчанию: Pass

[*] OnRiskware

{действие}

Действие при обнаружении потенциально опасной программы.

Допустимые значения: Pass, Report, Block, Quarantine, Delete.

Значение по умолчанию: Pass

[*] OnHacktools

{действие}

Действие при обнаружении хакерской программ.

Допустимые значения: Pass, Report, Block, Quarantine, Delete.

Значение по умолчанию: Pass

[*] BlockOnError

{логический}

Блокировать или не блокировать файл для доступа, если в процессе его проверки произошла ошибка, либо если отсутствует действующая лицензия, разрешающая проверку файлов монитором SpIDer Guard для SMB.

При отсутствии действующей лицензии, если этот параметр установлен в значение Yes, SpIDer Guard для SMB будет блокировать все файлы, помещаемые в защищаемый им разделяемый каталог.

Допустимые значения:

Yes — блокировать доступ к файлу;

No — не блокировать.

Значение по умолчанию: Yes

[*] ScanTimeout

{интервал времени}

Тайм-аут на проверку одного файла.

Допустимые значения: от 1 секунды (1s) до 1 часа (1h).

Значение по умолчанию: 30s

[*] HeuristicAnalysis

{On | Off}

Использовать или не использовать эвристический анализ для поиска возможных неизвестных угроз. Эвристический анализ повышает надежность проверки, но увеличивает ее длительность.

Реакция на срабатывание эвристического анализа задается в параметре OnSuspicious.

Допустимые значения:

On — использовать эвристический анализ при проверке;

Off — не использовать эвристический анализ.

Значение по умолчанию: On

[*] PackerMaxLevel

{целое число}

Максимальный уровень вложенности для запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке, инициированной по запросу SpIDer Guard для SMB.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] ArchiveMaxLevel

{целое число}

Максимальный уровень вложенности для архивов (.zip, .rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 0

[*] MailMaxLevel

{целое число}

Максимальный уровень вложенности для файлов почтовых программ (.pst, .tbb и т. п.), в которые могут быть вложены объекты, в которые также могут вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] ContainerMaxLevel

{целое число}

Максимальный уровень вложенности для других типов объектов c вложениями (например, страницы HTML, файлы .jar и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] MaxCompressionRatio

{целое число}

Максимально допустимая степень сжатия проверяемых объектов (отношение сжатого объема к несжатому). Если степень сжатия объекта превысит указанную величину, то он будет пропущен при проверке, инициированной по запросу SpIDer Guard для SMB.

Величина степени сжатия должна быть не менее 2.

Значение по умолчанию: 500

Настройка индивидуальных параметров мониторинга

В конфигурационном файле SMB-сервера Samba (обычно это файл smb.conf) можно задать уникальный тег для каждого модуля VFS SMB, контролирующего каждый разделяемый каталог (хранилище). Уникальные теги для модулей VFS SMB в файле smb.conf задаются строкой вида:

smb_spider:tag = <имя>

где <имя> — это уникальный тег (имя), присвоенный сервером Samba модулю VFS SMB, контролирующему некоторый разделяемый каталог.

Если для некоторого модуля VFS SMB определен уникальный тег <имя>, то имеется возможность добавить в конфигурационный файл Dr.Web для файловых серверов UNIX, наряду с секцией [SMBSpider], хранящей все параметры работы с SMB, отдельную секцию, регулирующую только параметры проверки конкретного хранилища, защищаемого модулем VFS SMB, имеющим присвоенный тег. Эта секция должна иметь имя вида [SMBSpider.Share.<имя>].

Индивидуальные секции для модулей VFS SMB могут включать в себя список параметров, отмеченных символом [*] в таблице выше. Остальные параметры не могут быть указаны в индивидуальных секциях, поскольку они всегда определяются сразу для всех модулей VFS SMB, с которыми работает монитор каталогов SMB SpIDer Guard для SMB.

Модуль VFS SMB будет брать значения всех параметров, не указанных в индивидуальной секции [SMBSpider.Share.<имя>], которую он использует, из общей секции [SMBSpider]. Таким образом, если вовсе не задавать индивидуальных секций, помеченных тегами, то все модули VFS SMB будут использовать одинаковые настройки защиты контролируемых разделяемых каталогов. При этом, если из секции [SMBSpider.Share.<имя>] удалить некоторый параметр, то для этой секции (и соответствующего каталога с тегом <имя>) будет применяться не значение параметра по умолчанию, а значение, указанное в соответствующем одноименном «родительском» параметре (из общей секции [SMBSpider]).

Чтобы добавить новую секцию параметров для разделяемого каталога Samba с тегом <имя> при помощи утилиты управления Dr.Web для файловых серверов UNIX из командной строки Dr.Web Ctl (запускается командой drweb-ctl), достаточно использовать команду:

# drweb-ctl cfset SmbSpider.Share -a <имя>

Пример:

# drweb-ctl cfset SmbSpider.Share -a AccountingFiles
# drweb-ctl cfset SmbSpider.Share.AccountingFiles.OnAdware Quarantine

Первая команда добавит в файл конфигурации секцию [SMBSpider.Share.AccountingFiles], а вторая изменит в ней значение параметра OnAdware. Таким образом, добавленная секция будет содержать все параметры, отмеченные символом [*] в таблице выше, причем значения всех параметров, кроме параметра OnAdware, указанного в команде, будут совпадать со значениями параметров из общей секции [SMBSpider].