В этом разделе
•Настройка индивидуальных параметров мониторинга
Компонент использует параметры конфигурации, заданные в секции [SMBSpider] объединенного конфигурационного файла Dr.Web Server Security Suite.
В секции представлены следующие параметры:
Параметр |
Описание |
|||||
|---|---|---|---|---|---|---|
LogLevel {уровень подробности} |
Уровень подробности ведения журнала компонента. Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root]. Значение по умолчанию: Notice |
|||||
Log {тип журнала} |
Метод ведения журнала компонента. Значение по умолчанию: Auto |
|||||
ExePath {путь к файлу} |
Путь к исполняемому файлу компонента. Значение по умолчанию: •для GNU/Linux: /opt/drweb.com/bin/drweb-smbspider-daemon •для FreeBSD: /usr/local/libexec/drweb.com/bin/drweb-smbspider-daemon |
|||||
Start {логический} |
Компонент запускается демоном управления конфигурацией Dr.Web ConfigD. Установка данного параметра в Yes предписывает демону управления конфигурацией немедленно запустить компонент, а установка в значение No — немедленно завершить его работу. Значение по умолчанию: No |
|||||
|
{путь к каталогу} |
Путь к корневому каталогу файлового хранилища SMB (переопределяется через chroot файловым сервером). Используется как префикс, подставляемый в начало всех путей к файлам и каталогам, находящимся в файловом хранилище, и описывает путь к ним относительно корня локальной файловой системы. Если этот путь не указан, то используется путь к корню файловой системы /. Значение по умолчанию: (не задано) |
|||||
SmbSocketPath {путь к файлу} |
Путь к файлу cокета для взаимодействия SpIDer Guard для SMB с модулям VFS SMB. Этот путь всегда является относительным и дополняет путь, указанный в значении параметра SambaChrootDir (в случае пустого значения дополняется путь к корню файловой системы /). Значение по умолчанию: var/run/.com.drweb.smb_spider_vfs |
|||||
ActionDelay {интервал времени} |
Величина задержки, которую SpIDer Guard для SMB нужно выдержать между моментом обнаружения угрозы и применением действия к инфицированному объекту. В течение этого периода файл будет блокирован. Значение по умолчанию: 24h |
|||||
MaxCacheSize {размер} |
Размер кеша, отводимого модулям VFS SMB на хранение информации о проверенных файлах в контролируемых ими каталогах SMB. Если указано 0, то кеш не используется. Значение по умолчанию: 10mb |
|||||
|
{путь к файлу или каталогу} |
Путь к объекту внутри разделяемого каталога, который должен быть пропущен при проверке вместе со всеми подкаталогами и вложенными файлами. Допускается указание пути относительно корневого каталога файлового хранилища SMB (см. параметр SambaChrootDir) как к отдельному файлу, так и к каталогу в целом. Допускается использовать файловые маски, содержащие символы ? и *, а также символьные классы [ ], [! ], [^ ]. Может иметь список значений. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список). Пример: Добавить в список файл etc/file1 и каталог usr/bin. 1.Добавление значений в файл конфигурации. •Два значения в одной строке:
•Две строки (по одному значению в строке):
2.Добавление значений через команду drweb-ctl cfset:
Если указан каталог, то будет пропущено все содержимое этого каталога. Значение по умолчанию: (не задано) |
|||||
[*] IncludedPath {путь к файлу или каталогу} |
Путь к объекту внутри разделяемого каталога, который должен обязательно проверяться. Допускается указание пути относительно корневого каталога файлового хранилища SMB (см. параметр SambaChrootDir) как к отдельному файлу, так и к каталогу в целом. Допускается использовать файловые маски, содержащие символы ? и *, а также символьные классы [ ], [! ], [^ ]. Может иметь список значений. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список). Пример: Добавить в список файл etc/file1 и каталог usr/bin. 1.Добавление значений в файл конфигурации. •Два значения в одной строке:
•Две строки (по одному значению в строке):
2.Добавление значений через команду drweb-ctl cfset:
Если указан каталог, то будут проверены все содержащиеся в этом каталоге файлы и подкаталоги.
Значение по умолчанию: (не задано) |
|||||
[*] AlertFiles {логический} |
Создавать или не создавать для заблокированного файла текстовый файл с описанием причин блокировки. Создаваемый файл будет иметь имя <имя заблокированного файла>.drweb.alert.txt. Допустимые значения: •Yes — создавать файлы причин блокировки; •No — не создавать такие файлы. Значение по умолчанию: Yes |
|||||
[*] OnKnownVirus {действие} |
Действие при обнаружении известной угрозы. Допустимые значения: BLOCK, CURE, QUARANTINE, DELETE. Значение по умолчанию: CURE |
|||||
[*] OnIncurable {действие} |
Действие в случае неудачной попытки излечения угрозы. Допустимые значения: BLOCK, QUARANTINE, DELETE. Значение по умолчанию: QUARANTINE |
|||||
[*] OnSuspicious {действие} |
Действие при обнаружении подозрительного объекта. Допустимые значения: PASS, REPORT, BLOCK, QUARANTINE, DELETE. Значение по умолчанию: QUARANTINE |
|||||
[*] OnAdware {действие} |
Действие при обнаружении рекламной программы. Допустимые значения: PASS, REPORT, BLOCK, QUARANTINE, DELETE. Значение по умолчанию: PASS |
|||||
[*] OnDialers {действие} |
Действие при обнаружении программы автоматического дозвона. Допустимые значения: PASS, REPORT, BLOCK, QUARANTINE, DELETE. Значение по умолчанию: PASS |
|||||
[*] OnJokes {действие} |
Действие при обнаружении программы-шутки. Допустимые значения: PASS, REPORT, BLOCK, QUARANTINE, DELETE. Значение по умолчанию: PASS |
|||||
[*] OnRiskware {действие} |
Действие при обнаружении потенциально опасной программы. Допустимые значения: PASS, REPORT, BLOCK, QUARANTINE, DELETE. Значение по умолчанию: PASS |
|||||
[*] OnHacktools {действие} |
Действие при обнаружении хакерской программ. Допустимые значения: PASS, REPORT, BLOCK, QUARANTINE, DELETE. Значение по умолчанию: PASS |
|||||
[*] BlockOnError {логический} |
Блокировать или не блокировать файл для доступа, если в процессе его проверки произошла ошибка, либо если отсутствует действующая лицензия, разрешающая проверку файлов монитором SpIDer Guard для SMB.
Допустимые значения: •Yes — блокировать доступ к файлу; •No — не блокировать доступ к файлу. Значение по умолчанию: Yes |
|||||
[*] ScanTimeout {интервал времени} |
Тайм-аут на проверку одного файла. Допустимые значения: от 1 секунды (1s) до 1 часа (1h). Значение по умолчанию: 30s |
|||||
[*] HeuristicAnalysis {On | Off} |
Использовать или не использовать эвристический анализ для поиска возможных неизвестных угроз. Эвристический анализ повышает надежность проверки, но увеличивает ее длительность. Параметр OnSuspicious определяет действие при срабатывании эвристического анализатора. Допустимые значения: •On — использовать эвристический анализ при проверке; •Off — не использовать эвристический анализ. Значение по умолчанию: On |
|||||
[*] PackerMaxLevel {целое число} |
Максимальный уровень вложенности для запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и др.). Такие объекты могут включать другие запакованные объекты, в состав которых также могут входить другие запакованные объекты, и т. д. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться. Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке, инициированной по запросу SpIDer Guard для SMB. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 8 |
|||||
[*] ArchiveMaxLevel {целое число} |
Максимальный уровень вложенности для архивов (.zip, .rar и др.), в которые вложены другие архивы, в которые, в свою очередь, также могут быть вложены архивы, и т. д. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 0 |
|||||
[*] MailMaxLevel {целое число} |
Максимальный уровень вложенности для файлов почтовых программ (.pst, .tbb и т. п.), в которые могут быть вложены объекты, в которые также могут вложены объекты, и т. д. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 8 |
|||||
[*] ContainerMaxLevel {целое число} |
Максимальный уровень вложенности для других типов объектов c вложениями (например, страницы HTML, файлы .jar и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться. Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются. Значение по умолчанию: 8 |
|||||
[*] MaxCompressionRatio {целое число} |
Максимально допустимая степень сжатия проверяемых объектов (отношение сжатого объема к несжатому). Если степень сжатия объекта превысит указанную величину, то он будет пропущен при проверке, инициированной по запросу SpIDer Guard для SMB. Величина степени сжатия должна быть не менее 2. Значение по умолчанию: 500 |
Настройка индивидуальных параметров мониторинга
В конфигурационном файле SMB-сервера Samba (обычно это файл smb.conf) можно задать уникальный тег для каждого модуля VFS SMB, контролирующего каждый разделяемый каталог (хранилище). Уникальные теги для модулей VFS SMB в файле smb.conf задаются строкой вида:
smb_spider:tag = <имя> |
где <имя> — это уникальный тег (имя), присвоенный сервером Samba модулю VFS SMB, контролирующему некоторый разделяемый каталог.
Если для какого-либо модуля VFS SMB определен уникальный тег <имя>, то имеется возможность добавить в конфигурационный файл Dr.Web Server Security Suite, наряду с секцией [SMBSpider], хранящей все параметры работы с SMB, отдельную секцию, регулирующую только параметры проверки конкретного хранилища. Такое хранилище защищается модулем VFS SMB, имеющим присвоенный тег. Данная секция должна иметь имя вида [SMBSpider.Share.<имя>].
Индивидуальные секции для модулей VFS SMB могут включать в себя список параметров, отмеченных символом [*] в таблице выше. Остальные параметры не могут быть указаны в индивидуальных секциях, поскольку они всегда определяются сразу для всех модулей VFS SMB, с которыми работает монитор каталогов SMB SpIDer Guard для SMB.
Модуль VFS SMB будет брать значения всех параметров, не указанных в индивидуальной секции [SMBSpider.Share.<имя>], которую он использует, из общей секции [SMBSpider]. Таким образом, если вовсе не задавать индивидуальных секций, помеченных тегами, то все модули VFS SMB будут использовать одинаковые настройки защиты контролируемых разделяемых каталогов. При этом, если из секции [SMBSpider.Share.<имя>] удалить какой-либо параметр, то для этой секции (и соответствующего каталога с тегом <имя>) будет применяться не значение параметра по умолчанию, а значение, указанное в соответствующем одноименном «родительском» параметре (из общей секции [SMBSpider]).
Чтобы добавить новую секцию параметров для разделяемого каталога Samba с тегом <имя> при помощи утилиты управления Dr.Web Server Security Suite из командной строки Dr.Web Ctl (запускается командой drweb-ctl), достаточно использовать команду:
# drweb-ctl cfset SmbSpider.Share -a <имя> |
Пример:
# drweb-ctl cfset SmbSpider.Share -a AccountingFiles |
Первая команда добавит в файл конфигурации секцию [SMBSpider.Share.AccountingFiles], а вторая изменит в ней значение параметра OnAdware. Таким образом, добавленная секция будет содержать все параметры, отмеченные символом [*] в таблице выше, причем значения всех параметров, кроме параметра OnAdware, указанного в команде, будут совпадать со значениями параметров из общей секции [SMBSpider].