Параметры конфигурации

Компонент использует параметры конфигурации, заданные в секции [LinuxSpider] объединенного конфигурационного файла Dr.Web для файловых серверов UNIX.

Параметры компонента.

Настройка индивидуальных параметров мониторинга защищаемых пространств.

Параметры компонента

В секции представлены следующие параметры:

Параметр

Описание

LogLevel

{уровень подробности}

Уровень подробности ведения журнала компонента.

Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root].

Значение по умолчанию: Notice

Log

{тип журнала}

Метод ведения журнала компонента.

Значение по умолчанию: Auto

ExePath

{путь к файлу}

Путь к исполняемому файлу компонента.

Значение по умолчанию: <opt_dir>/bin/drweb-spider.

Для GNU/Linux: /opt/drweb.com/bin/drweb-spider

Start

{логический}

Компонент должен быть запущен демоном управления конфигурацией Dr.Web ConfigD.

Установка данного параметра в Yes предписывает демону управления конфигурацией немедленно попытаться запустить компонент, а установка его в значение No — немедленно завершить работу компонента.

Значение по умолчанию: Зависит от того, в составе какого продукта Dr.Web работает компонент.

Mode

{LKM | FANOTIFY | AUTO}

Определяет режим работы SpIDer Guard.

Возможные значения:

LKM — работа через LKM-модуль Dr.Web, установленный в ядро операционной системы (LKM — Loadable Kernel Module);

FANOTIFY — работа через системный механизм fanotify;

AUTO — автоматическое определение оптимального режима работы.

Изменять значения этого параметра следует производить с крайней осторожностью, поскольку ядра различных ОС GNU/Linux в разной мере поддерживают тот и другой режим работы. Настоятельно рекомендуется оставлять этот параметр в значении AUTO, чтобы при запуске был выбран оптимальный режим интеграции с диспетчером файловой системы. При этом компонент сначала пытается использовать режим FANOTIFY, потом, в случае неудачи — LKM. Если не удалось использовать ни один из режимов, работа компонента завершается.

 

При необходимости вы можете собрать LKM-модуль Dr.Web из исходного кода и установить его в систему, следуя инструкции в разделе Сборка модуля ядра для SpIDer Guard.

 

Значение по умолчанию: AUTO

DebugAccess

{логический}

Включать или не включать в журнал на отладочном уровне (при LogLevel = DEBUG) подробные сообщения о доступе к файлам.

Значение по умолчанию: No

ExcludedProc

{путь к файлу}

Список процессов, файловая активность которых не контролируется. Если файловая операция была совершена любым из процессов, указанных в значении параметра, то измененный или созданный файл не будет проверяться.

Можно указать несколько значений в виде списка. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: Добавить в список процессы wget и curl.

1.Добавление значений в файл конфигурации.

Два значения в одной строке:

[LinuxSpider]
ExcludedProc = "/usr/bin/wget", "/usr/bin/curl"

Две строки (по одному значению в строке):

[LinuxSpider]
ExcludedProc = /usr/bin/wget
ExcludedProc = /usr/bin/curl

2.Добавление значений через команду drweb-ctl cfset:

# drweb-ctl cfset LinuxSpider.ExcludedProc -a /usr/bin/wget
# drweb-ctl cfset LinuxSpider.ExcludedProc -a /usr/bin/curl

Значение по умолчанию: (не задано)

ExcludedFilesystem

{имя файловой системы}

Не контролировать доступ к файлам указанной файловой системе.

Данная функция доступна только в режиме FANOTIFY.

Можно указать несколько значений в виде списка. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: Добавить в список файловые системы cifs и nfs.

1.Добавление значений в файл конфигурации.

Два значения в одной строке:

[LinuxSpider]
ExcludedFilesystem = "cifs", "nfs"

Две строки (по одному значению в строке):

[LinuxSpider]
ExcludedFilesystem = cifs
ExcludedFilesystem = nfs

2.Добавление значений через команду drweb-ctl cfset:

# drweb-ctl cfset LinuxSpider.ExcludedFilesystem -a cifs
# drweb-ctl cfset LinuxSpider.ExcludedFilesystem -a nfs

Значение по умолчанию: cifs

BlockBeforeScan

{Off | Executables | All}

Блокировать файлы при обращении к ним до проверки монитором (усиленный, или «параноидальный» режим мониторинга).

Допустимые значения:

Off — не блокировать доступ к файлам даже если они не проверены;

Executables — блокировать доступ к исполняемым файлам (формата PE, ELF и скриптов, содержащих преамбулу #!), не проверенным монитором;

All — блокировать доступ к любым файлам, не проверенным монитором.

Файлы блокируются только в режиме FANOTIFY.

Значение по умолчанию: Off

[*] ExcludedPath

{путь к файлу или каталогу}

Путь к объекту, который должен быть пропущен при мониторинге файловых операций. Допускается указание пути как к каталогу, так и к конкретному файлу. Если указан каталог, то будут исключены из наблюдения все файлы и подкаталоги (включая вложенные) этого каталога. Допускается использовать файловые маски (содержащие символы ? и *, а также символьные классы [ ], [! ], [^ ]).

Можно указать несколько значений в виде списка. Значения в списке указываются через запятую (каждое значение в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: Добавить в список файл /etc/file1 и каталог /usr/bin.

1.Добавление значений в файл конфигурации.

Два значения в одной строке:

[LinuxSpider]
ExcludedPath = "/etc/file1", "/usr/bin"

Две строки (по одному значению в строке):

[LinuxSpider]
ExcludedPath = /etc/file1
ExcludedPath = /usr/bin

2.Добавление значений через команду drweb-ctl cfset:

# drweb-ctl cfset LinuxSpider.ExcludedPath -a /etc/file1
# drweb-ctl cfset LinuxSpider.ExcludedPath -a /usr/bin

Обратите внимание, что не имеет смысла указывать здесь пути к символическим ссылкам, поскольку при проверке файла всегда анализируется прямой путь к нему.

Значение по умолчанию: /proc, /sys

[*] OnKnownVirus

{действие}

Действие при обнаружении в проверяемом файле известной угрозы (вируса и т. д.).

Допустимые значения: Cure, Quarantine, Delete.

Значение по умолчанию: Cure

[*] OnIncurable

{действие}

Действие в случае невозможности излечения угрозы.

Допустимые значения: Quarantine, Delete.

Значение по умолчанию: Quarantine

[*] OnSuspicious

{действие}

Действие при обнаружении в проверяемом c помощью эвристического анализа файле неизвестной угрозы (или подозрения на угрозу).

Допустимые значения: Report, Quarantine, Delete.

Значение по умолчанию: Quarantine

[*] OnAdware

{действие}

Действие при обнаружении в проверяемом файле рекламной программы.

Допустимые значения: Report, Quarantine, Delete.

Значение по умолчанию: Quarantine

[*] OnDialers

{действие}

Действие при обнаружении в проверяемом файле программы автоматического дозвона.

Допустимые значения: Report, Quarantine, Delete.

Значение по умолчанию: Quarantine

[*] OnJokes

{действие}

Действие при обнаружении в проверяемом файле программы-шутки.

Допустимые значения: Report, Quarantine, Delete.

Значение по умолчанию: Report

[*] OnRiskware

{действие}

Действие при обнаружении в проверяемом файле потенциально опасной программы.

Допустимые значения: Report, Quarantine, Delete.

Значение по умолчанию: Report

[*] OnHacktools

{действие}

Действие при обнаружении в проверяемом файле в проверяемом файле хакерской программы.

Допустимые значения: Report, Quarantine, Delete.

Значение по умолчанию: Report

[*] ScanTimeout

{интервал времени}

Тайм-аут на проверку одного файла.

Допустимые значения: от 1 секунды (1s) до 1 часа (1h).

Значение по умолчанию: 30s

[*] HeuristicAnalysis

{On | Off}

Использовать или не использовать эвристический анализ для поиска возможных неизвестных угроз. Эвристический анализ повышает надежность проверки, но увеличивает ее длительность.

Действие на срабатывание эвристического анализатора задается в параметре OnSuspicious.

Допустимые значения:

On — использовать эвристический анализ при проверке;

Off — не использовать эвристический анализ.

Значение по умолчанию: On

[*] PackerMaxLevel

{целое число}

Максимальный уровень вложенности для запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] ArchiveMaxLevel

{целое число}

Максимальный уровень вложенности для архивов (.zip, .rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 0

[*] MailMaxLevel

{целое число}

Максимальный уровень вложенности для файлов почтовых программ (.pst, .tbb и т. п.), в которые могут быть вложены объекты, в которые также могут вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 0

[*] ContainerMaxLevel

{целое число}

Максимальный уровень вложенности для других типов объектов c вложениями (например, страницы HTML, файлы .jar и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

Ограничений уровня вложенности нет. Значение 0 указывает, что вложенные объекты не проверяются.

Значение по умолчанию: 8

[*] MaxCompressionRatio

{целое число}

Максимально допустимая степень сжатия проверяемых объектов (отношение сжатого объема к несжатому). Если степень сжатия объекта превысит указанную величину, он будет пропущен при проверке.

Величина степени сжатия должна быть не менее 2.

Значение по умолчанию: 500

Настройка индивидуальных параметров мониторинга защищаемых пространств

Для каждого защищаемого пространства файловой системы в конфигурационном файле, наряду с секцией [LinuxSpider], хранящей все параметры работы монитора, задается отдельная секция, определяющая путь к наблюдаемой области файловой системы и параметры ее мониторинга. Каждая индивидуальная секция защищаемого пространства должна иметь имя вида [LinuxSpider.Space.<имя пространства>], где <имя пространства> — уникальный идентификатор защищаемого пространства.

Индивидуальная секция пространства должна включать в себя следующие параметры, отсутствующие в общей секции [LinuxSpider]:

Параметр

Описание

Enable

{логический}

Содержимое защищаемого пространства, расположенное внутри пути Path (см. ниже), должно находиться под наблюдением монитора.

Установка данного параметра в No предписывает монитору исключить содержимое данного защищаемого пространства из объединенной области наблюдения.

Значение по умолчанию: Yes

Path

{путь к каталогу}

Определяет путь к каталогу файловой системы, хранящем файлы, которые должны находиться под наблюдением (включая вложенные каталоги).

По умолчанию данный параметр имеет пустое значение, поэтому при добавлении защищаемого пространства к области наблюдения обязательно следует задать данный параметр.

Значение по умолчанию: (не задано)

Если у всех защищаемых пространств, указанных в настройках монитора, наблюдение отключено, или их пути не заданы, то SpIDer Guard работает вхолостую, поскольку ни один файл дерева файловой системы не будет находиться под наблюдением. Если необходимо контролировать всю файловую систему как единое защищаемое пространство, следует удалить из настроек все именованные секции защищаемых пространств.

Кроме указанных выше, индивидуальные секции защищаемых пространств могут включать в себя список параметров из общей секции настроек компонента, отмеченных символом "[*]" в таблице выше, и переопределяющих данный параметр для этого защищаемого пространства (например, реакцию на обнаружение угроз, максимальную глубину проверки архивов и т. п.). Если для защищаемого пространства не указан некоторый из параметров, то к наблюдению над файлами в этом пространстве применяются значения соответствующих параметров, взятых из секции [LinuxSpider].

Чтобы добавить новую секцию параметров для защищаемого пространства с тегом <имя пространства> при помощи утилиты управления Dr.Web Ctl (запускается командой drweb-ctl), достаточно использовать команду:

# drweb-ctl cfset LinuxSpider.Space -a <имя пространства>

Пример:

# drweb-ctl cfset LinuxSpider.Space -a Space1
# drweb-ctl cfset LinuxSpider.Space.Space1.Path /home/user1

Первая команда добавит в файл конфигурации секцию [LinuxSpider.Space.Space1], а вторая задаст для нее значение параметра Path, указав путь к наблюдаемой области файловой системы. Все прочие параметры в данной секции будут совпадать со значениями параметров из общей секции [LinuxSpider].