Общие сведения
Монитор файловой системы SpIDer Guard, осуществляющий контроль доступа к файлам, может использовать три режима мониторинга:
•Обычный (установлен по умолчанию) — отслеживаются операции по доступу к файлам (создание, открытие, закрытие и запуск файла). Запрашивается проверка файла, доступ к которому был осуществлен, по результатам проверки к файлу могут быть применены действия по нейтрализации угрозы, если она в нем обнаружена. До окончания проверки доступ к файлу со стороны приложений, запросивших доступ, не ограничивается.
•Усиленный контроль исполняемых файлов — для файлов, не считающихся исполняемыми, — так же, как и в обычном режиме. Для файлов, считающихся исполняемыми, при попытке доступа SpIDer Guard блокирует запрошенную операцию доступа до тех пор, пока не станут известны результаты проверки файла на наличие угроз;
|
Исполняемыми файлами считаются двоичные файлы форматов PE и ELF, а также текстовые файлы скриптов, содержащие преамбулу «#!». |
•«Параноидальный» режим — при попытке доступа к любому файлу SpIDer Guard блокирует запрошенную операцию доступа до тех пор, пока не станут известны результаты проверки этого файла на наличие угроз.
Сканер в течение определенного времени сохраняет результаты проверки файлов в специальном кэше, поэтому при повторном доступе к тому же файлу, при наличии информации в кэше, повторное сканирование файла не производится, в качестве результата проверки этого файла используется результат, извлеченный из кэша. Несмотря на это, использование «параноидального» режима мониторинга приводит к существенному замедлению работы при доступе к файлам.
Изменение режима мониторинга файлов
|
Режимы усиленного мониторинга файлов с их предварительной блокировкой доступны только если SpIDer Guard работает в режиме FANOTIFY, а ядро ОС собрано со включенной опцией CONFIG_FANOTIFY_ACCESS_PERMISSIONS.
Переключение режимов работы SpIDer Guard производится только при помощи команды cfset утилиты drweb-ctl.
Для переключения режимов работы SpIDer Guard необходимо обладать правами суперпользователя. Для получения прав суперпользователя воспользуйтесь командой смены пользователя su или командой выполнения от имени другого пользователя sudo. |
•Для переключения SpIDer Guard в режим работы FANOTIFY используйте команду:
$ sudo drweb-ctl cfset LinuxSpider.Mode FANOTIFY |
•Для изменения режима мониторинга используйте команду:
$ sudo drweb-ctl cfset LinuxSpider.BlockBeforeScan <режим> |
где <режим> определяет режим блокировки:
▫Off — блокировка доступа не производится, SpIDer Guard осуществляет обычный (не блокирующий) режим мониторинга;
▫Executables — производится блокировка доступа к исполняемым файлам, SpIDer Guard осуществляет усиленный контроль исполняемых файлов;
▫All — производится блокировка доступа к любым файлам, SpIDer Guard осуществляет «параноидальный» режим мониторинга.
•Для изменения срока актуальности результатов проверки файлов, хранимых Сканером в кэше, используйте команду:
$ sudo drweb-ctl cfset FileCheck.RescanInterval <период> |
где <период> определяет период актуальности предыдущих результатов проверки, находящихся в кэше. Допустимо значение от 0s до 1m (включительно). Если указан период менее 1 секунды, то файл будет проверяться при любом запросе.