Modes de surveillance des fichiers

Informations générales

Le moniteur du système de fichiers SpIDer Guard contrôlant l’accès aux fichiers peut utiliser trois modes de surveillance :

Standard (défini par défaut) : surveillance d’accès aux fichiers (création, ouverture, fermeture, lancement d’un fichier). Requête de l’analyse du fichier auquel une tentative d’accès a été effectuée. Si une menace est détectée dans le fichier, des actions de neutralisation peuvent y être appliquées. L’accès des applications au fichier en cours d’analyse n’est pas restreint.

Surveillance renforcée des fichiers exécutables : la surveillance des fichiers non exécutable est la même que dans le mode standard. En cas de tentative d’accès aux fichiers exécutables, SpIDer Guard bloque cette opération jusqu’à l’obtention des résultats de l’analyse pour la présence de menaces ;

Les fichiers exécutables désignent les fichiers binaires aux formats PE et ELF et les fichiers texte de scripts contenant la préambule « #! ».

Mode paranoïde : en cas de tentative d’accès à un fichier, SpIDer Guard bloque cette opération jusqu’à l’obtention des résultats de l’analyse du fichier pour la présence de menaces.

Pendant un temps déterminé, le Scanner enregistre les résultats de l’analyse des fichiers dans un cache spécial. C’est pourquoi en cas d’accès à ce fichier, il ne sera pas rescanné si le cache contient les informations nécessaires. Dans ce cas, le résultat tiré du cache sera utilisé en tant que le résultat de l’analyse. Pourtant, l’utilisation du mode «paranoïde» ralentit le travail lors de l’accès aux fichiers.

Changement de mode de surveillance de fichiers

Les modes de surveillance renforcées avec leur blocage préalable sont disponible uniquement si SpIDer Guard fonctionne en mode FANOTIFY et que le noyau de l’OS est compilé avec l’option CONFIG_FANOTIFY_ACCESS_PERMISSIONS activée.

 

Le changement de modes de fonctionnement de SpIDer Guard est effectué avec la commande cfset de l’utilitaire drweb-ctl.

 

Le mode de fonctionnement de SpIDer Guard peut être changé uniquement par un utilisateur possédant les droits de super-utilisateur. Pour obtenir les droits de super-utilisateur, utilisez la commande de changement d’utilisateur su ou la commande d’exécution au nom d’un autre utilisateur sudo.

Pour mettre SpIDer Guard en mode FANOTIFY, exécutez la commande suivante :

$ sudo drweb-ctl cfset LinuxSpider.Mode FANOTIFY

Pour changer de mode de surveillance, utilisez la commande suivante :

$ sudo drweb-ctl cfset LinuxSpider.BlockBeforeScan <mode>

<mode> détermine le mode de blocage :

Off : l’accès n’est pas bloqué, SpIDer Guard effectue une surveillance en mode standard (pas en mode de blocage) ;

Executables : l’accès aux fichiers exécutables est bloqué, SpIDer Guard effectue une surveillance renforcée des fichiers exécutables ;

All : l’accès à tous les fichiers est bloqué, SpIDer Guard effectue une surveillance en mode « paranoïde ».

Pour modifier la durée de validité des résultats de l’analyse de fichiers stockés par le Scanner dans le cache, exécutez la commande suivante :

$ sudo drweb-ctl cfset FileCheck.RescanInterval <période>

<période> détermine la période de validité des résultats d’analyse précédents se trouvant dans le cache. Valeurs autorisées : de 0s à 1m inclusivement. Si vous indiquez une période inférieure à 1 seconde, le fichier sera analysé à chaque appel.