Структура Dr.Web для файловых серверов UNIX

Dr.Web для файловых серверов UNIX представляет собой программный комплекс, состоящий из набора компонентов, каждый из которых выполняет свой набор функций. В соответствии с задачами, решаемыми компонентами, они разделены на категории:

базовые антивирусные компоненты, образующие ядро продукта Dr.Web для файловых серверов UNIX. При отсутствии компонентов этой категории продукт не может выполнять сканирование файлов (и иных данных) на предмет наличия вирусов и иных угроз;

компоненты поиска угроз. Данные компоненты используются для решения базовых задач Dr.Web для файловых серверов UNIX — поиска вредоносных и потенциально опасных объектов. В своей работе компоненты этой категории используют базовые антивирусные компоненты;

сервисные компоненты, решающие вспомогательные задачи для поддержки антивирусной защиты (обновление вирусных баз, подключение к серверам централизованной защиты, общая координация работы компонентов Dr.Web для файловых серверов UNIX и т. д.);

интерфейсные компоненты, предоставляющие (пользователю или сторонним приложениям) интерфейс для управления работой Dr.Web для файловых серверов UNIX.

Перечень компонентов, входящих в состав Dr.Web для файловых серверов UNIX, перечислен в таблицах ниже.

1. Базовые антивирусные компоненты

Компонент

Описание

Dr.Web Virus-Finding Engine

Антивирусное ядро. Реализует алгоритмы поиска и распознавания вирусов и вредоносных программ (используя сигнатурный и эвристический анализ).

Работает под управлением компонента Dr.Web Scanning Engine


Файл библиотеки: drweb32.dll.

Внутреннее наименование, выводимое в журнал: CoreEngine

Сканирующее ядро. Компонент, отвечающий за загрузку антивирусного ядра Dr.Web Virus-Finding Engine и вирусных баз.

Передает антивирусному ядру на проверку содержимое файлов и загрузочных записей дисковых устройств.

Организует очередь файлов, ожидающих проверки.

Выполняет лечение тех угроз, для которых данное действие применимо.

Может работать как под управлением демона Dr.Web ConfigD, так и в автономном режиме.

Используется компонентами Dr.Web File Checker и Dr.Web Network Checker. Также может использоваться компонентом Dr.Web MeshD (в некоторых режимах работы) и внешними (по отношению к Dr.Web для файловых серверов UNIX) приложениями, использующими непосредственно API Dr.Web Scanning Engine


Исполняемый файл компонента: drweb-se.

Внутреннее наименование, выводимое в журнал: ScanEngine

Вирусные базы

Автоматически обновляемая база данных сигнатур вирусов и прочих угроз, а также алгоритмов распознавания и нейтрализации вредоносного программного обеспечения.

Используется антивирусным ядром Dr.Web Virus-Finding Engine и поставляется совместно с ним

Компонент проверки объектов файловой системы и менеджер карантина.

Принимает от компонента поиска угроз задания на проверку файлов, находящихся в локальной (по отношению к Dr.Web Scanning Engine) файловой системе.

Обходит каталоги файловой системы согласно заданию, передает файлы на проверку сканирующему ядру Dr.Web Scanning Engine и оповещает компоненты-клиенты о ходе проверки.

Выполняет удаление инфицированных файлов, перемещение их в карантин и восстановление из карантина, управляет каталогами карантина.

Организует и содержит в актуальном состоянии кеш, хранящий информацию о ранее проверенных файлах для уменьшения частоты повторных проверок файлов.

Используется компонентами, проверяющими объекты файловой системы, такими как SpIDer Guard, SpIDer Guard для SMB, SpIDer Guard для NSS


Исполняемый файл компонента: drweb-filecheck.

Внутреннее наименование, выводимое в журнал: FileCheck

Агент сетевой проверки данных.

Используется для передачи на проверку в сканирующее ядро данных, отправленных компонентами программного комплекса через сеть (это такие компоненты, как Dr.Web ClamD).

Позволяет Dr.Web для файловых серверов UNIX организовывать распределенную проверку данных: принимать на проверку данные с удаленных узлов сети и передавать локальные данные на проверку на удаленные узлы сети. Для приема и передачи данных на удаленных узлах также должен функционировать антивирусный продукт Dr.Web для операционных систем семейства UNIX. В режиме распределенной проверки позволяет автоматически распределять интенсивность антивирусного сканирования по доступным узлам, снижая нагрузку на узлы с большим объемом проверки (например, выполняющих роль почтовых серверов и интернет-шлюзов).

При наличии в сети узлов-партнеров, способных принимать данные на проверку, компоненты, использующие Dr.Web Network Checker для проверки, могут не использовать мощности локального сканирующего ядра Dr.Web Scanning Engine. Таким образом, локальное сканирующее ядро Dr.Web Scanning Engine, Dr.Web Virus-Finding Engine и вирусные базы могут отсутствовать.

Для обеспечения безопасности при передаче файлов по сети использует SSL


Исполняемый файл компонента: drweb-netcheck.

Внутреннее наименование, выводимое в журнал: NetCheck

Компонент, осуществляющий подключение продукта Dr.Web для файловых серверов UNIX к локальному облаку, позволяющему продуктам Dr.Web для UNIX обмениваться обновлениями, результатами проверки файлов, передавать друг другу на проверку файлы, а также предоставлять услуги сканирующего ядра напрямую.

При наличии этого компонента в составе продукта и при наличии в составе локального облака, к которому он подключен, узлов, предоставляющих услуги сканирующего ядра, локальное сканирующее ядро Dr.Web Scanning Engine, Dr.Web Virus-Finding Engine и вирусные базы могут отсутствовать


Исполняемый файл компонента: drweb-meshd.

Внутреннее наименование, выводимое в журнал: MeshD

2. Компоненты поиска угроз

Компонент

Описание

Монитор файловой системы Linux.

Работает в фоновом режиме и отслеживает операции с файлами (такие как создание, открытие, закрытие и запуск файла) в файловых системах GNU/Linux. Посылает компоненту Dr.Web File Checker запросы на проверку содержимого новых и изменившихся файлов, а также исполняемых файлов в момент запуска программ.

В зависимости от возможностей ОС использует механизм fanotify (API, предоставляемый ОС) или специализированный модуль ядра, разработанный компанией «Доктор Веб» (LKM-модуль, поставляется совместно с SpIDer Guard, в отдельном пакете). При работе через системный механизм fanotify монитор может работать в усиленном режиме, блокируя доступ к файлам (всех типов или только к исполняемым файлам), которые еще не проверены, до момента окончания их проверки. По умолчанию усиленный режим мониторинга отключен.

Поставляется только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux.


Исполняемый файл компонента: drweb-spider.

Внутреннее наименование, выводимое в журнал: LinuxSpider

Модуль ядра GNU/Linux для SpIDer Guard

Модуль ядра GNU/Linux (LKM-модуль), используемый монитором SpIDer Guard для доступа к событиям файловой системы в тех ОС, в которых API fanotify недоступен или реализован с ограниченным набором функций.

Компонент поставляется как в скомпилированном виде (для набора ОС, в которых fanotify не реализован или недоступен), так и в виде исходных кодов, позволяющих осуществить сборку и установку модуля ядра ОС вручную (инструкция по сборке приведена в разделе Сборка модуля ядра для SpIDer Guard).

Поставляется только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux.

Для архитектур ARM64 и E2K работа с модулем ядра не поддерживается.


Исполняемый файл компонента: drweb.ko

Монитор разделяемых каталогов Samba.

Работает в фоновом режиме и отслеживает операции файловой системы (такие как создание, открытие и закрытие файла, а также операции чтения и записи) в каталогах, отведенных для файловых хранилищ SMB-сервера Samba. Посылает компоненту Dr.Web File Checker запросы на проверку содержимого новых и изменившихся файлов.

Для интеграции с файловым сервером использует модули VFS SMB, работающие на стороне сервера Samba


Исполняемый файл компонента: drweb-smbspider-daemon.

Внутреннее наименование, выводимое в журнал: SMBSpider

Монитор томов NSS (Novell Storage Services).

Работает в фоновом режиме и отслеживает операции файловой системы (такие как создание, открытие и закрытие файла, а также операции записи) на томах NSS, смонтированных в указанную точку файловой системы. Посылает компоненту Dr.Web File Checker запросы на проверку содержимого новых и изменившихся файлов.

Поставляется только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux. Работоспособен только в Novell Open Enterprise Server SP2 на базе операционной системы SUSE Linux Enterprise Server 10 SP3 или более поздних версий.


Исполняемый файл компонента: drweb-nss.

Внутреннее наименование, выводимое в журнал: NSS

3. Сервисные компоненты

Компонент

Описание

Компонент взаимодействия с облаком Dr.Web Cloud.

Отправляет URL, посещаемые пользователем, а также сведения о проверяемых файлах, в облачный сервис Dr.Web Cloud для их проверки на наличие угроз, информация о которых пока отсутствует в вирусных базах


Исполняемый файл компонента: drweb-cloudd.

Внутреннее наименование, выводимое в журнал: CloudD

Демон управления конфигурацией комплекса Dr.Web для файловых серверов UNIX.

Управляет активностью (запуск и остановка) других компонентов программного комплекса в зависимости от настроек.

Перезапускает компоненты, завершившие работу в результате сбоя, запускает одни компоненты комплекса по требованию других, информирует компоненты продукта об изменении состава запущенных компонентов.

Хранит и предоставляет всем компонентам информацию об имеющихся лицензионных ключах и настройках. Получает измененные настройки и ключи от уполномоченных компонентов Dr.Web для файловых серверов UNIX и оповещает все компоненты об изменении лицензионных ключей и настроек


Исполняемый файл компонента: drweb-configd.

Внутреннее наименование, выводимое в журнал: ConfigD

Агент централизованной защиты. Обеспечивает работу программного комплекса в централизованном и мобильном режимах.

Организует связь с сервером централизованной защиты, получает от него лицензионный ключевой файл, обновления вирусных баз и антивирусного ядра.

Передает на сервер информацию о составе и состоянии компонентов Dr.Web для файловых серверов UNIX и накопленную статистику вирусных инцидентов


Исполняемый файл компонента: drweb-esagent.

Внутреннее наименование, выводимое в журнал: ESAgent

Компонент для хранения статистики событий компонентов Dr.Web для файловых серверов UNIX.

Получает и организует хранение событий, поступающих от компонентов программного комплекса (таких, как аварийное завершение работы, обнаружение угрозы и т. п.)


Исполняемый файл компонента: drweb-statd.

Внутреннее наименование, выводимое в журнал: StatD

Компонент обновления.

Отвечает за загрузку с серверов обновлений компании «Доктор Веб» обновлений для вирусных баз, антивирусного ядра.

Обновления могут загружаться как автоматически, по расписанию, так и непосредственно по команде пользователя (через утилиту Dr.Web Ctl или через веб-интерфейс управления)


Исполняемый файл компонента: drweb-update.

Внутреннее наименование, выводимое в журнал: Update

4. Интерфейсные компоненты

Компонент

Описание

Веб-сервер управления компонентами Dr.Web для файловых серверов UNIX.

Предоставляет специализированный HTTP API для управления компонентами Dr.Web для файловых серверов UNIX.

Указанный API используется веб-интерфейсом управления (должен быть установлен дополнительно).

Для обеспечения безопасности при подключении к веб-интерфейсу управления использует протокол HTTPS.

Для передачи данных на проверку в Dr.Web Scanning Engine использует Dr.Web Network Checker


Исполняемый файл компонента: drweb-httpd.

Внутреннее наименование, выводимое в журнал: HTTPD

Веб-интерфейс управления.

Может быть открыт в любом браузере на локальном или удаленном узле сети. Наличие веб-интерфейса управления позволяет продукту не использовать сторонние веб-серверы (такие, например, как Apache HTTP Server) и утилиты удаленного администрирования наподобие Webmin.

Работоспособность обеспечивается веб-сервером Dr.Web HTTPD

Утилита, обеспечивающая интерфейс управления Dr.Web для файловых серверов UNIX из командной строки операционной системы.

Позволяет осуществлять запуск проверки файлов, просматривать содержимое карантина и управлять им, запускать обновление вирусных баз, подключать Dr.Web для файловых серверов UNIX к серверу централизованной защиты и отключаться от него, просматривать и изменять значения параметров конфигурации программного комплекса


Исполняемый файл компонента: drweb-ctl.

Внутреннее наименование, выводимое в журнал: Ctl

Представляет собой SNMP-агент.

Предназначен для интеграции Dr.Web для файловых серверов UNIX с внешними системами мониторинга посредством протокола SNMP. Такая интеграция позволяет отслеживать состояние работы компонентов комплекса, а также собирать статистику обнаружения и нейтрализации угроз.

Поддерживает протоколы SNMP v2c и v3


Исполняемый файл компонента: drweb-snmpd.

Внутреннее наименование, выводимое в журнал: SNMPD

Компонент, эмулирующий интерфейс антивирусного демона clamd (компонент антивирусного продукта ClamAV®).

Позволяет прозрачно использовать Dr.Web для файловых серверов UNIX для антивирусной проверки любым приложениям, которые могут использовать антивирусный продукт ClamAV®.

Для передачи данных на проверку в Dr.Web Scanning Engine, в зависимости от режима, использует Dr.Web File Checker или Dr.Web Network Checker


Исполняемый файл компонента: drweb-clamd.

Внутреннее наименование, выводимое в журнал: ClamD

На рисунке ниже показана структура Dr.Web для файловых серверов UNIX и его взаимодействия с внешними приложениями.

Рисунок 1. Структура Dr.Web для файловых серверов UNIX

На приведенном рисунке использованы следующие обозначения:

 

— Dr.Web для файловых серверов UNIX в целом и внешние по отношению к нему программные продукты Dr.Web, не входящие непосредственно в его состав

 

— внешние по отношению к Dr.Web для файловых серверов UNIX программы и программные комплексы, с которыми он интегрируется

 

— сервисные компоненты, решающие конкретные задачи в рамках антивирусной защиты (обновление вирусных баз, подключение к серверам централизованной защиты, общая координация работы и т. д.)

 

— компоненты, предоставляющие (пользователю или сторонним приложениям) интерфейс для управления работой Dr.Web для файловых серверов UNIX

 

— компоненты, используемые для антивирусной проверки

 

— базовые антивирусные компоненты, образующие ядро Dr.Web для файловых серверов UNIX. Используются компонентами, осуществляющими проверку файлов и данных

Компоненты, обозначенные пунктирной границей, могут отсутствовать, в зависимости от поставки или сценария использования Dr.Web для файловых серверов UNIX.

Более подробно компоненты Dr.Web для файловых серверов UNIX описаны в разделе Компоненты Dr.Web для файловых серверов UNIX.