Интеграция с файловым сервером Samba

 На главную  Назад  Вперед

Монитор SpIDer Guard для SMB использует для интеграции с Samba специальный модуль VFS SMB. Совместно с монитором SpIDer Guard для SMB поставляется несколько версий модуля VFS SMB, собранных для различных версий Samba, однако они могут оказаться несовместимы с версией Samba, установленной на вашем файловом сервере, например, если установленный у вас сервер Samba использует опцию CLUSTER_SUPPORT.

В случае несовместимости поставляемых модулей VFS SMB с вашим сервером Samba, в процессе установки продукта на экран будет выдано соответствующее сообщение. В этом случае перед интеграцией необходимо выполнить процедуру сборки модуля VFS SMB для вашего сервера Sambа, включая поддержку опции CLUSTER_SUPPORT, если это требуется.

Для получения информации о процедуре сборки модуля VFS SMB из исходных кодов см. в разделе Сборка модуля VFS SMB.

Шаги по интеграции с Samba

Для интеграции SpIDer Guard для SMB с файловым сервером Samba необходимо выполнить следующее:

1.В каталоге VFS-модулей сервера Samba (по умолчанию для Linux/usr/lib/samba/vfs) создать символическую ссылку smb_spider.so, указывающую на модуль VFS SMB Dr.Web, соответствующий используемой версии сервера Samba.

Модули VFS SMB, поставляемые Dr.Web, расположены в каталоге с библиотеками продукта:

<opt_dir>/lib/samba – для 32-битной платформы.

<opt_dir>/lib64/samba – для 64-битной платформы.

Файлы модулей имеют имя вида libsmb_spider.so.<ver>, где <ver> – версия сервера Sambа, с которой работает данный модуль.

Например: /opt/drweb.com/lib/samba/libsmb_spider.so.3.6.0 – модуль VFS SMB для сервера Samba версии 3.6.0, работающего на 32-битной платформе в среде ОС Linux.

Данное действие вы можете выполнить, используя сценарий поддержки интеграции update-links.sh (см. ниже).

2.В файле конфигурации сервера Samba smb.conf (по умолчанию для Linux – в каталоге /etc/samba) создать секции для разделяемых каталогов. Секция разделяемого каталога должна иметь вид:

[<имя ресурса>]
comment = <комментарий>
path = <путь к защищаемому каталогу>
vfs objects = smb_spider
writeable = yes
browseable = yes
guest ok = yes
public = yes

где <имя ресурса> - любое имя разделяемого ресурса, а <комментарий> - произвольная строка-комментарий (не обязательно). Имя объекта, указанное в параметре vfs objects, должно совпадать с именем файла символической ссылки (smb_spider в данном случае).

После этого каталог, указанный в параметре path, будет находиться под наблюдением монитора SpIDer Guard для SMB. При этом взаимодействие SpIDer Guard для SMB с модулем VFS SMB будет производиться через UNIX-сокет /<samba chroot path>/var/run/.com.drweb.smb_spider_vfs. Путь к этому UNIX-сокету по умолчанию задан в настройках SpIDer Guard для SMB, а также модуля VFS SMB.

Подключить SpIDer Guard для SMB к уже настроенным в файле конфигурации сервера Samba разделяемым каталогам вы можете, используя сценарий поддержки интеграции drweb_smbspider_configure.sh (см. ниже).

3.Если требуется изменить путь к сокету, то его необходимо задать не только в настройках SpIDer Guard для SMB (параметр SmbSocketPath), но и в файле конфигурации Samba smb.conf. Для этого в секцию [<имя ресурса>] необходимо добавить строку:

smb_spider:socket = <путь к сокету>

где <путь к сокету> должен быть абсолютным путем к UNIX-сокету, относительно корня, заданного для сервера Samba через chroot (<samba chroot path>).

4.При необходимости, задавая значения параметров ExcludedPath и IncludedPath, определите пути к объектам, находящимся в защищаемых разделяемых каталоге, и которые должны быть исключены из проверки и наоборот, проверяться монитором SpIDer Guard для SMB. Допускается указание путей как к каталогам, так и к конкретным файлам. Если указан каталог, то будет пропускаться или проверяться всё содержимое этого каталога. Обратите внимание, что параметр IncludedPath имеет приоритет над параметром ExcludedPath, т.е. если один и тот же объект (файл или каталог) включен в оба параметра, то он будет проверен.

5.Если требуется задать персональные настройки проверки для данного разделяемого каталога, отличные от настроек по умолчанию (для всех модулей), то необходимо задать тег-идентификатор для модуля VFS SMB, контролирующего этот каталог:

smb_spider:tag = <имя ресурса>

Далее индивидуальные настройки контроля этого разделяемого каталога задаются в настройках SpIDer Guard для SMB в виде отдельной секции [SMBSpider.Share.<имя ресурса>].

Чтобы добавить новую секцию параметров с тегом <имя ресурса> при помощи утилиты управления Dr.Web Ctl, достаточно использовать команду drweb-ctl cfset SmbSpider.Share.<имя ресурса>.<параметр> <значение>, например:

# drweb-ctl cfset SmbSpider.Share.UserFiles.OnAdware Quarantine

Данная команда добавит в файл конфигурации секцию [SMBSpider.Share.UserFiles]. Эта секция будет содержать все параметры проверки каталога, причем значения всех параметров, кроме параметра OnAdware, указанного в команде, будут совпадать со значениями параметров из общей секции [SMBSpider].

6.Включите работу SpIDer Guard для SMB, задав для параметра Start значение Yes.

После внесения изменений в настройки следует перезапустить как сервер Samba, так и Dr.Web для файловых серверов UNIX. Для перезапуска Dr.Web для файловых серверов UNIX используйте команду drweb-ctl reload. Также вы можете выполнить перезапуск демона управления конфигурацией Dr.Web ConfigD (используйте команду service drweb-configd restart).

Для предотвращения возможных конфликтов между SpIDer Guard для SMB и SpIDer Guard при проверке файлов в разделяемых каталогах Samba, рекомендуется дополнительно настроить SpIDer Guard, выполнив одно из следующих действий:

добавить разделяемые каталоги Samba в область исключения (перечислить эти каталоги в параметре ExcludedPath);

добавить процесс Samba (smbd) в список игнорируемых процессов (указать smbd в параметре ExcludedProc).

 

Сценарии поддержки интеграции

Для удобства настройки интеграции SpIDer Guard для SMB с файловым сервером Samba поставляются специальные файлы сценариев оболочки для настройки интеграции. Они расположены в каталоге <opt_dir>/share/drweb-smbspider-modules:

Файл сценария

Назначение

drweb_smbspider_configure.sh

Сценарий, вносящий в диалоговом режиме изменения в файл конфигурации сервера Samba smb.conf (подключающий для наблюдения разделяемые каталоги, описанные в файле).

update-links.sh

Сценарий, создающий/обновляющий ссылку на модуль VFS SMB Dr.Web в каталоге сервера Samba

vfs-versions.sh

Вспомогательный сценарий, определяющий требуемую версию модуля VFS SMB Dr.Web, используется сценарием update-links.sh

Сценарий оболочки update-links.sh автоматически запускается сразу при установке продукта. При необходимости вы можете запускать его в дальнейшем также вручную. Сценарий drweb_smbspider_configure.sh запускается автоматически в случае установки продукта из универсального пакета, его рекомендуется запустить вручную после установки продукта, если продукт был установлен из репозитория, или если вы отказались от его запуска при установке. Он может быть запущен неоднократно, по мере необходимости добавления и удаления каталогов из-под наблюдения. Этот сценарий сохраняет оригинальную (не измененную) копию файла конфигурации сервера Samba smb.conf, добавляя к его имени расширение .drwebsave.