Антивирусное сканирование по доступу на Samba

Доброго времени суток, уважаемые пользователи Хабра.

После очередной вспышки вирусной активности в сетевой папке нашей организации я задумался об ее антивирусной защите. Речь идет о сетевой папке, за которую отвечает Samba, работающая на Debian Wheezy.

Обратившись в гугл за информацией, я нашел 2 актуальных на текущий момент способа:

Способ 1 — использовать clamfs

Clamfs осуществляет связь между защищённой антивирусом папкой (точкой монтирования) и обычным (служебным) каталогом. При попытке чтения (копирования) файла с защищённого каталога происходит автоматическая проверка файла демоном clamav-daemon на наличие в нём вируса. Для своей работы требует модуль ядра FUSE.

Этот способ хорош, но Samba у нас крутится в LXC контейнере. У меня не было уверенности в стабильности связки между модулем ядра FUSE и lxc контейнером(да и не хотелось трогать хост машину — там не только мои сервисы крутятся), поэтому я остановился на 2 способе.

Способ 2 — использовать samba vfs модуль svs (samba virus scanner)

Как утверждают разработчики svs модуль в теории способен использовать в роли backend'а любой антивирус, но на данный момент поддерживается только ClamAV.

Вот небольшое howto по установке данного модуля на примере Debian Wheezy(Samba 3.6.6):

1.) Первое что необходимо — это установить clamav
apt-get install clamav-daemon clamav-freshclam

Обновляем базы
freshclam

Запускаем демона
/etc/init.d/clamav-daemon start

2.) В репозиториях svs модуля нет, поэтому необходимо установить необходимые пакеты для сборки модуля
apt-get install build-essential qt4-make libqt4-dev

Скачиваем сорцы самбы и компилируем необходимые header'ы
apt-get source samba
cd samba-3.6.6/source3
./configure
./make

Скачиваем исходники модуля svs с сайта sourceforge в директорию /tmp.
Распаковываем и компилируем:
cd samba-3.6.6
bzcat /tmp/svs-0.1.4.tar.bz2 | tar xvf -
cd svs
qmake && make

Копируем svs модуль в директорию с vfs модулями самбы.
На 32 битной системе:
cp --no-dereference libsvs*.so* /usr/lib/samba/vfs/

На 64-битной системе:
cp --no-dereference libsvs*.so* /usr/lib64/samba/vfs/

Итак — модуль на месте, теперь нужно создать для него конфигурационный файл /etc/samba/svs.ini со следующим содержанием:

[SVS]
maxParallelScans=6
maxCachedResults=10000
statisticsLogInterval=500
statisticsLogThreadUtil=false
clamdscanCommand=clamdscan
postScanSleep=100
infectAction=quarantine
quarantineDirectory=/home/viruses
scanOnOpen=true
scanOnClose=true
turboMode=false
maxScannerHeartbeatAge=0
maxQueuedRequests=24
waitPendingScans=false

Разберем параметры:

maxParallelScans — максимальное число параллельных сканирований (я сделал по числу ядер процессора)
maxCachedResults — максимальное число кэшируемых результатов
statisticsLogInterval — время в миллисекундах между записами в лог сканера
statisticsLogThreadUtil — логирование утилизации потоков
clamdscanCommand — команда для запуска сканирования clamav
postScanSleep — время в миллисекундах, на которые процесс сканирование «засыпает» ( для уменьшения нагрузки на clamav)
infectAction — действие при обнаружении вируса. Может принимать значения 'none', 'delete', 'quarantine'
quarantineDirectory — директория, куда помещаются найденные вирусы
scanOnOpen — сканирование при открытии файла
scanOnClose — сканирование при закрытии файла
maxScannerHeartbeatAge — максимальное время в миллисекундах, после которого svs заменит поток следующим в очереди. При значении < '1000' эта опция считается выключенной
maxQueuedRequests — максимальное число ожидающих в очереди запросов на сканирование(4 X maxParallelScans)
waitPendingScans — не закрывать сессию сканирования до появления запросов сканирования в очереди

Теперь нужно включить vfs модуль svs на samba. Для этого добавим в настройки шары опцию
vfs objects = libsvs_clamav

Ну и перезапустим самбу
/etc/init.d/samba restart


Все. На этом настройка антивирусного сканирования по доступу на samba с помощью vfs модуля svs закончена.

На текущий момент у меня связка samba + svs работает без перебоев 2 месяца.
Про нагрузку на сервер могу сказать что на Xeon E31230 средний LA (load average) не поднимается выше 3 при одновременной работе 50 пользователей.

Ссылки:

Readme разработчика модуля SVS — sourceforge.net/p/svs/code/HEAD/tree/trunk/README
Хорошая статья, очень помогла при настройке — scottlinux.com/2011/09/06/clamav-virus-on-access-scanning-for-samba-shares
  • +19
  • 11.6k
  • 3
Share post
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 3

    0
    Спасибо! Попробую это использовать для проверки через NOD32. А то их серверный линуксовый антивирус на свежих линуксах в режиме демона не умеет работать вообще.
      0
      Ниже описал, как можно решить Вашу проблему с недемонным NOD32
      0
      Не советую использовать ClamFS. FUSE ведет себя очень нестабильно при высоком кол-ве read-access. И отваливается без предупреждения.
      Как вариант — использовать inotifywait и проверку через запуск clamdscan --no-summary $file.
      Клиент на высоконагруженном веб-сервере захотел себе такое, проблем не было, оверхед из-за прослойки со сканированием ничтожно мал, что заметить не смогли :)
      Проверяли только при создании/изменении файла.

      Only users with full accounts can post comments. Log in, please.