Allgemeine Informationen
Der Dateiwächter SpIDer Guard, der den Zugriff auf Dateien überwacht, kann in drei Modi ausgeführt werden:
•Normal (standardmäßig). In diesem Modus überwacht der Dateiwächter typische Dateioperationen wie Erstellen, Öffnen, Schließen und Starten. Es erfolgt zunächst eine Anfrage zur Überprüfung einer Datei, auf die zugegriffen wurde. Falls in der Datei eine Bedrohung erkannt wurde, wird sie neutralisiert. Während der Überprüfung können Anwendungen uneingeschränkt auf die Datei zugreifen.
•Erweiterte Überwachung ausführbarer Dateien. Dateien, die nicht zu ausführbaren Dateien gehören, werden im normalen Modus überwacht. Beim Versuch, auf eine ausführbare Datei zuzugreifen, wird die angeforderte Aktion vorübergehend von SpIDer Guard gesperrt, bis der Scan der Datei abgeschlossen ist.
|
Als ausführbar gelten binäre PE- und ELF-Dateien sowie Skriptdateien, die die Zeichenkombination „#!“ am Anfang des Codes enthalten. |
•Paranoid-Überwachungsmodus. Beim Versuch, auf eine beliebige Datei zuzugreifen, wird die angeforderte Aktion von SpIDer Guard gesperrt, bis der Scan der Datei abgeschlossen ist.
Der Dateiwächter speichert die Ergebnisse der Überprüfung von Dateien in einem speziellen Cache. Wenn auf die gleiche Datei erneut zuzugreifen versucht wird, prüft der Dateiwächter, ob die Informationen zur Überprüfung dieser Datei im Cache vorliegen. Wenn sie vorhanden sind, überspringt der Dateiwächter die Datei und als Ergebnis der Überprüfung wird das zwischengespeicherte Ergebnis der letzten Überprüfung verwendet. Obwohl dieser Mechanismus unnötige Überprüfung der bereits überprüften Dateien verhindert, wirkt sich der Paranoid-Überwachungsmodus nachteilig auf die Ausführungszeiten der Dateioperationen aus.
Modus des Dateiwächters wechseln
|
Die erweiterte Überwachung von Dateien und deren Sperrung für die Scandauer sind nur dann möglich, wenn SpIDer Guard im Modus FANOTIFY ausgeführt wird und der Kernel des Betriebssystems mit der aktivierten Option CONFIG_FANOTIFY_ACCESS_PERMISSIONS kompiliert wurde.
Die Umschaltung von SpIDer Guard zwischen diesen Modi erfolgt nur mithilfe des Befehls cfset des Befehlszeilen-Tools drweb-ctl.
Um SpIDer Guard in einen anderen Modus zu versetzen, müssen Sie über die Rechte des Superusers (root) verfügen. Um die root-Rechte zu erlangen, verwenden Sie den Befehl zum Benutzerwechsel su oder den Befehl sudo, der es ermöglicht, bestimmte Befehle im Namen eines einfachen Benutzers auszuführen. |
•Um SpIDer Guard in den Modus FANOTIFY zu versetzen, führen Sie den folgenden Befehl aus:
$ sudo drweb-ctl cfset LinuxSpider.Mode FANOTIFY |
•Um den Modus des Dateiwächters zu wechseln, führen Sie den folgenden Befehl aus:
$ sudo drweb-ctl cfset LinuxSpider.BlockBeforeScan <Modus> |
wobei der <Modus> festlegt, ob und wie Dateien gesperrt werden sollen:
▫Off. Dateien werden nicht gesperrt, SpIDer Guard überwacht den Zugriff auf Dateien im normalen Modus.
▫Executables. Der Zugriff auf ausführbare Dateien wird gesperrt. SpIDer Guard überwacht ausführbare Dateien im erweiterten Überwachungsmodus.
▫All. Der Zugriff auf alle Dateien wird gesperrt. SpIDer Guard läuft im Paranoid-Überwachungsmodus.
•Um den Zeitraum festzulegen, für den die zwischengespeicherten Ergebnisse der vorherigen Scans als aktuell gelten sollen, führen Sie den folgenden Befehl aus:
$ sudo drweb-ctl cfset FileCheck.RescanInterval <Zeitraum> |
wobei der <Zeitraum> festlegt, wie lange die zwischengespeicherten Ergebnisse der vorherigen Scans gelten sollen. Zulässig sind Werte im Bereich von 0s bis 1m (einschließlich). Bei einem Wert weniger als 1 Sekunde werden Dateien bei jedem Zugruff gescannt.