Параметры конфигурации

На главную  Назад  Вперед

Компонент использует параметры конфигурации, заданные в секции [SMBSpider] объединенного Приложение Г. Конфигурационный файл программного комплекса продукта Dr.Web для файловых серверов UNIX.

В секции представлены следующие параметры:

LogLevel

{уровень подробности}

Уровень подробности ведения журнала компонента.

Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root].

Значение по умолчанию: Notice

Log

{тип журнала}

Метод ведения журнала

ExePath

{путь к файлу}

Путь к исполняемому файлу компонента.

Значение по умолчанию: <opt_dir>/bin/drweb-smbspider-daemon

Для Linux, Solaris: /opt/drweb.com/bin/drweb-smbspider-daemon

Для FreeBSD: /usr/local/libexec/drweb.com/bin/drweb-smbspider-daemon

Start

{логический}

Компонент должен быть запущен демоном управления конфигурацией Dr.Web ConfigD.

Установка данного параметра в Yes предписывает демону управления конфигурацией немедленно попытаться запустить компонент, а установка его в значение No – немедленно завершить работу компонента.

Значение по умолчанию: No

SambaChrootDir

{путь к каталогу}

Определяет путь к корневому каталогу файлового хранилища SMB (переопределяется через chroot файловым сервером).

Используется как префикс, подставляемый в начало всех путей к файлам и каталогам, находящимся в файловом хранилище, и описывает путь к ним относительно корня локальной файловой системы.

Если этот путь не указан, используется путь к корню файловой системы /.

Значение по умолчанию: (не задано)

SmbSocketPath

{путь к файлу}

Определяет путь к файлу cокета для взаимодействия SpIDer Guard для SMB с модулям VFS SMB.

Этот путь всегда является относительным и дополняет путь, указанный в значении параметра SambaChrootDir (если параметр SambaChrootDir пуст, то дополняется путь к корню файловой системы /).

Значение по умолчанию: var/run/.com.drweb.smb_spider_vfs

ActionDelay

{интервал времени}

Определяет величину задержки, которую SpIDer Guard для SMB нужно выдержать между моментом обнаружения угрозы и применением действия к инфицированному объекту. В течение этого периода файл будет блокирован.

Значение по умолчанию: 24h

MaxCacheSize

{размер}

Определяет размер кэша, отводимого модулям VFS SMB на хранение информации о проверенных файлах в контролируемых ими каталогах SMB.

Если указано 0, то кэш не используется.

Значение по умолчанию: 10mb

[*] ExcludedPath

{путь к файлу или каталогу}

Определяет путь к объекту внутри разделяемого каталога, который должен быть пропущен при проверке. Допускается указание пути как к каталогу, так и к конкретному файлу. Допускается использовать файловые маски (содержащие символы '?' и '*', а также символьные классы '[ ]', '[! ]', '[^ ]').

Может иметь список значений. Значения в списке указываются через запятую (каждое значение – в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: Добавить в список файлы /etc/file1 и каталог /usr/bin.

1.Добавление значений в файл конфигурации.

Два значения в одной строке

[SMBSpider]
ExcludedPath = "/etc/file1", "/usr/bin"

Две строки (по одному значению в строке)

[SMBSpider]
ExcludedPath = /etc/file1
ExcludedPath = /usr/bin

2.Добавление значений через команду drweb-ctl cfset.

# drweb-ctl cfset SMBSpider.ExcludedPath -a /etc/file1
# drweb-ctl cfset SMBSpider.ExcludedPath -a /usr/bin

Если указан каталог, то будет пропущено всё содержимое этого каталога.

Значение по умолчанию: (не задано)

[*] IncludedPath

{путь к файлу или каталогу}

Определяет путь к объекту внутри разделяемого каталога, который должен обязательно проверяться. Допускается указание пути как к каталогу, так и к конкретному файлу. Допускается использовать файловые маски (содержащие символы '?' и '*', а также символьные классы '[ ]', '[! ]', '[^ ]').

Может иметь список значений. Значения в списке указываются через запятую (каждое значение – в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: Добавить в список файлы /etc/file1 и каталог /usr/bin.

1.Добавление значений в файл конфигурации.

Два значения в одной строке

[SMBSpider]
IncludedPath = "/etc/file1", "/usr/bin"

Две строки (по одному значению в строке)

[SMBSpider]
IncludedPath = /etc/file1
IncludedPath = /usr/bin

2.Добавление значений через команду drweb-ctl cfset.

# drweb-ctl cfset SMBSpider.IncludedPath -a /etc/file1
# drweb-ctl cfset SMBSpider.IncludedPath -a /usr/bin

Если указан каталог, то будут проверены все содержащиеся в этом каталоге файлы и подкаталоги.

Обратите внимание, что этот параметр имеет приоритет над параметром ExcludedPath (см. выше), т.е. если один и тот же объект (файл или каталог) включен в оба параметра, то он будет проверен.

Значение по умолчанию: (не задано)

[*] AlertFiles

{логический}

Определяет, создавать ли рядом с файлом, заблокированным монитором каталогов SMB из-за обнаружения угрозы, текстовый файл с описанием причины блокировки. Создаваемый файл будет иметь имя <имя заблокированного файла>.drweb.alert.txt.

Возможные значения:

Yes – Создавать файлы причин блокировки.

No – Не создавать.

Значение по умолчанию: Yes

[*] OnKnownVirus

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле известной угрозы (вируса и т.д.), обнаруженной методом сигнатурного анализа, при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Block, Cure, Quarantine, Delete

Значение по умолчанию: Cure

[*] OnIncurable

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на неудачу излечения угрозы (т.е. применение действия Cure закончилось неудачей) при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Block, Quarantine, Delete

Значение по умолчанию: Quarantine

[*] OnSuspicious

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле неизвестной угрозы (или подозрения на угрозу) методом эвристического анализа при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Pass, Block, Quarantine, Delete

Значение по умолчанию: Quarantine

[*] OnAdware

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле рекламной программы при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Pass, Block, Quarantine, Delete

Значение по умолчанию: Pass

[*] OnDialers

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле программы автоматического дозвона при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Pass, Block, Quarantine, Delete

Значение по умолчанию: Pass

[*] OnJokes

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле программы-шутки при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Pass, Block, Quarantine, Delete

Значение по умолчанию: Pass

[*] OnRiskware

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле условно-вредоносной («рискованной») программы при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Pass, Block, Quarantine, Delete

Значение по умолчанию: Pass

[*] OnHacktools

{действие}

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле хакерской программы (средство удаленного доступа или управления, троянская программа и т.п.) при проверке файла, инициированной по запросу SpIDer Guard для SMB.

Возможные значения: Pass, Block, Quarantine, Delete

Значение по умолчанию: Pass

[*] BlockOnError

{логический}

Определяет, следует ли SpIDer Guard для SMB блокировать файл для доступа, если в процессе его проверки произошла ошибка, либо если отсутствует действующая лицензия, разрешающая проверку файлов монитором SpIDer Guard для SMB.

При отсутствии действующей лицензии, если этот параметр установлен в значение Yes, SpIDer Guard для SMB будет блокировать все файлы, помещаемые в защищаемый им разделяемый каталог.

Возможные значения:

Yes – Блокировать доступ к файлу.

No – Не блокировать.

Значение по умолчанию: Yes

[*] ScanTimeout

{интервал времени}

Устанавливает тайм-аут на проверку одного файла по запросу от SpIDer Guard для SMB.

Может быть указано значение в диапазоне от 1s до 1h.

Значение по умолчанию: 30s

[*] HeuristicAnalysis

{On | Off}

Определяет, использовать ли эвристический анализ для поиска возможных неизвестных угроз при проверке по запросу от SpIDer Guard для SMB. Использование эвристического анализа повышает надежность проверки, но увеличивает её длительность.

Реакция на срабатывание эвристического анализа задается в параметре OnSuspicious.

Возможные значения:

On – Использовать эвристический анализ при проверке.

Off – Не использовать эвристический анализ.

Значение по умолчанию: On

[*] PackerMaxLevel

{целое число}

Устанавливает максимальный уровень вложенности объектов при проверке запакованных объектов. Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке, инициированной по запросу SpIDer Guard для SMB.

Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] ArchiveMaxLevel

{целое число}

Устанавливает максимальный уровень вложенности объектов при проверке архивов. Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке, инициированной по запросу SpIDer Guard для SMB.

Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 0

[*] MailMaxLevel

{целое число}

Устанавливает максимальный уровень вложенности объектов при проверке почтовых сообщений и почтовых ящиков (mailboxes). Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке, инициированной по запросу SpIDer Guard для SMB.

Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] ContainerMaxLevel

{целое число}

Устанавливает максимальный уровень вложенности объектов при проверке прочих контейнеров (таких, как HTML-страницы). Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке, инициированной по запросу SpIDer Guard для SMB.

Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] MaxCompressionRatio

{целое число}

Устанавливает максимальную допустимую степень сжатия проверяемых объектов (отношение сжатого объема к несжатому). Если степень сжатия объекта превысит указанную величину, он будет пропущен при проверке, инициированной по запросу SpIDer Guard для SMB.

Величина степени сжатия должна быть не менее 2.

Значение по умолчанию: 500

Настройка индивидуальных параметров мониторинга

Имеется возможность в конфигурационном файле SMB-сервера Samba (обычно это файл smb.conf) задать уникальный тег для каждого модуля VFS SMB, контролирующего каждый разделяемый каталог (хранилище). Уникальные теги для модулей VFS SMB в файле smb.conf задаются строкой вида:

smb_spider:tag = <имя>

где <имя> – это уникальный тег (имя), присвоенный сервером Samba модулю VFS SMB, контролирующему некоторый разделяемый каталог.

Если для некоторого модуля VFS SMB определен уникальный тег <имя>, то имеется возможность добавить в конфигурационный файл Dr.Web для файловых серверов UNIX, наряду с секцией [SMBSpider], хранящей все параметры работы с SMB, отдельную секцию, регулирующую только параметры проверки конкретного хранилища, защищаемого модулем VFS SMB, имеющим присвоенный тег. Эта секция должна иметь имя вида [SMBSpider.Share.<имя>].

Индивидуальные секции для модулей VFS SMB могут включать в себя список параметров, отмеченных символом "[*]" в таблице выше. Остальные параметры не могут быть указаны в индивидуальных секциях, поскольку они всегда определяются сразу для всех модулей VFS SMB, с которыми работает монитор каталогов SMB SpIDer Guard для SMB.

Для всех параметров, которые не указаны в индивидуальной секции [SMBSpider.Share.<имя>], использующий ее модуль VFS SMB будет брать соответствующих параметров из общей секции [SMBSpider]. Таким образом, если вовсе не задавать индивидуальных секций, помеченных тегами, то все модули VFS SMB будут использовать одинаковые настройки защиты контролируемых разделяемых каталогов. При этом, если из секции [SMBSpider.Share.<имя>] удалить некоторый параметр, то для этой секции (и соответствующего каталога с тегом <имя>) будет применяться не значение параметра по умолчанию, а значение, указанное в соответствующем одноименном «родительском» параметре (из общей секции [SMBSpider]).

Чтобы добавить новую секцию параметров для разделяемого каталога Samba с тегом <имя> при помощи утилиты управления продуктом Dr.Web для файловых серверов UNIX из командной строки Dr.Web Ctl (запускается командой drweb-ctl), достаточно использовать команду:

# drweb-ctl cfset SmbSpider.Share -a <имя>

Пример:

# drweb-ctl cfset SmbSpider.Share -a BuhFiles
# drweb-ctl cfset SmbSpider.Share.BuhFiles.OnAdware Quarantine

Первая команда добавит в файл конфигурации секцию [SMBSpider.Share.BuhFiles], а вторая изменит в ней значение параметра OnAdware. Таким образом, добавленная секция будет содержать все параметры, отмеченные символом "[*]" в таблице выше, причем значения всех параметров, кроме параметра OnAdware, указанного в команде, будут совпадать со значениями параметров из общей секции [SMBSpider].