Ярлыки

FreeNAS (29) SSH (16) Transmission (13) WIDLE (11) FreeBSD (9) NAS4Free (9) серверный корпус (7) OpenSSH (6) звук (6) фото (6) Dropbox (5) ZXV10 H201L (5) cron (5) kldload (5) FreeNAS test (4) MPD (4) NAS (4) PXE (4) transmission-remote (4) widle.exe (4) ребёнок и компьютер (4) чулок (4) DHCP (3) FireFox (3) Intel NAS Perfomance Toolkit (3) MTU (3) Raspberry Pi (3) RusBSD (3) SSH proxy (3) WebDAV (3) Wget (3) home server (3) musicpd (3) uptime (3) web-качалка (3) обои (3) сиськи (3) 7KJD0 (2) AdBlock (2) Android (2) Athlon (2) Axel (2) BitTorrent Sync (2) Cliget (2) Clonezilla (2) Curl (2) DHCP on FreeNAS (2) DynDNS (2) FireFox vs ZXV10 H201L (2) FlashGot (2) FreeNAS 8 (2) Ghostery (2) IXL.dll (2) Linux (2) PassCryptoBox (2) ProxyCap (2) PuTTY (2) PyLoad (2) RAID (2) SAMBA (2) SSH SOCKS (2) UFS (2) Wallpaper (2) WinSCP (2) Windows (2) blogspot (2) cubieboard2 (2) encfs (2) fsck (2) fstab (2) github (2) mount (2) mpc (2) net.inet.tcp (2) nnCron (2) pkg_add (2) privoxy (2) proxy (2) pxelinux (2) Маршрутизация (2) Тюнинг (2) Яндекс.Диск (2) Яндекс.Диск в FreeNAS (2) будильник (2) девушка (2) шифрование (2) шлюзность (2) шум (2) 0.7.5.9898 (1) 256 (1) 3G и локальная сеть (1) 3G интернет (1) 3proxy (1) 3proxy конфигурация (1) ALR (1) APC (1) AUSTRUMI (1) Amazon (1) Android + NAS4Free (1) Andromission (1) Athlon AXDA2200UV3C (1) Autocopy (1) BIOS (1) Backup WinSCP Sessions (1) CNic (1) CPU (1) Cannot find file system superblock (1) Canon 600D (1) Canon 600D пробег на FreeBSD (1) Ceph FS (1) Chaintech (1) Chocolatey (1) Clear Type (1) Client175 (1) Comprar Tirar Comprar (1) CrystalDiskInfo (1) DDNS (1) DOS (1) Defendant (1) Dokan (1) Dropbox + Android (1) Dropbox + NAS4Free (1) Dropbox API (1) Dropbox in FreeBSD (1) Dropbox in FreeNAS (1) DynDNS.org (1) EducationPack (1) ExtraDNS (1) FolderSync (1) FolderSync Lite (1) FoxyProxy (1) FreeBSD 10 (1) FreeBSD 10.0-RELEASE (1) FreeNAS 10 (1) FreeNAS NAS4Free (1) FreeNAS WebGUI (1) FreeNAS завис (1) FreeNAS с ноля (1) GetLastInputInfo (1) Gmail Watcher (1) Google translate (1) Gruzila (1) H208L (1) HTTPS Everywhere (1) IDLE (1) ILIS (1) Intercepter (1) Intercepter-NG (1) Jumbo Frames (1) KDE4 (1) KMS (1) KiTTY (1) Kolibri (1) LASTINPUTINFO (1) Libretto (1) Linux + Android (1) M200a (1) MPD-Webinterface (1) MiniX (1) NAS4Free TEST (1) NAS4Free с ноля (1) NAS4Free-Plus (1) NASPT (1) NFS (1) NFS vs SAMBA (1) Native Shell (1) NativeCMD (1) New TTCP (1) On-line репетитор (1) OpenMediaVault (1) OpenSSL (1) PAC (1) PCI-SATA (1) PDNSD (1) PLINK (1) PLOP Linux (1) PMagic (1) Parted Magic (1) PersistAllDeviceInstalls (1) Pico PSU (1) Pixlr Grabber (1) Port Forwarding (1) Prestigio 4300 (1) Prestigio 4300 root (1) Prestigio MultiPhone 4300 DUO (1) PuTTY SOCKS (1) PuttyGen (1) R-Studio (1) R.saver (1) RDP (1) RDP for M200a (1) RDR (1) RealXXP (1) Release Notes (1) Remote Transmission (1) SMART (1) SMB/CIFS (1) SOCKS-proxy (1) SSH -D (1) SSH port (1) SSH продвинутые функции (1) SSH туннель (1) SSH шлюз (1) SSH-ключ (1) SerCrypt (1) Shadow Defender (1) SliTaz (1) SoftEther VPN (1) Software Data Cable (1) Sparkleshare (1) Static library (1) SyntaxHighlighter (1) TCP/IP (1) TeamViewer port (1) TorrentBox (1) TorrentMonitor (1) Transmission Add-ons (1) Transmission из консоли (1) Transmission через SSH (1) UALinux (1) UPS (1) Ubuntu (1) Ubuntu для ребёнка (1) Upgrade (1) UrlCorrector (1) WD (1) WOL (1) WPAD (1) WatchDog (1) Wi-Fi Keyboard (1) Win7 (1) Win7 and OpenSSH (1) WinAPIExec (1) Windows 7 из образа в домене (1) Windows AIK (1) Windows7 (1) X11 (1) XTips (1) Xorg (1) ZFS (1) ZTE (1) ZTE H208L (1) Zentyal (1) box.com (1) cifled (1) cmdradio (1) comled (1) crontab (1) davfs2 (1) dd (1) demonizer (1) devcon (1) dump (1) encfs4win (1) fail2ban (1) failed its checksum test (1) festival (1) festvox-aec (1) festvox-kal16 (1) forums.nas4free.org (1) fsbackup (1) fusefs-wdfs (1) gPXE (1) generalize (1) girl (1) gmail (1) gnome (1) google search (1) grep (1) http://repetitor.tut.by (1) icecast (1) ilis.by (1) iwconfig (1) iЛис (1) kill (1) mycubieserv.blogspot.com (1) ncpa.cpl (1) nuttcp (1) oobeSystem (1) passwd (1) pax (1) proftpd (1) ps (1) radio (1) root (1) route (1) rxcsum (1) samba antivirus (1) sendmail (1) shoutcast (1) smb.conf (1) startx (1) sysctls (1) syslinux (1) sysprep (1) tan (1) test (1) tor (1) transmission-daemon (1) transmisson-remote-gui (1) txcsum (1) ufs2tools (1) uname (1) unattend.xml (1) vi (1) wdfs (1) weather (1) which (1) winamp (1) winport-transmission (1) xprintidle (1) xprintidle для Windows (1) Агент Смит (1) БП (1) Белтелеком (1) Восстановление пароля root FreeBSD (1) Защита от взлома SSH (1) ИЛИС (1) Многопользовательськая торрент-качалка на transmission (1) Оптимизация wi-fi (1) Охолождение CPU (1) Переход на NAS4Free (1) Проброс портов (1) Распределенная файловая система (1) Сетевая загрузка (1) Туалетная автоматизация (1) Ускорение Интернета (1) ФФ (1) Хранение паролей в облаке (1) авторегулирование скорости Transmission (1) админка (1) антивирус на самбе (1) атака на SSH (1) безвентиляторная система (1) безвентиляторный корпус (1) блог (1) вентилятор (1) взлом SSH (1) восстановление (1) вставка кода (1) вставка кода в blogger (1) день программиста (1) дьяволица (1) заговор вокруг лампочки (1) запуск exe-шника из Dokan (1) интернет радио (1) интернет ускользает (1) кибермама (1) компрессия трафика (1) копия раздела FreeBSD (1) корпус (1) куллер (1) маршрут по умолчанию в Linux (1) маршрутизация NAS4Free (1) маршрутизация в FreeBSD (1) маршрутизация в NAS4Free (1) матрица играет со мной (1) метрика (1) модем (1) настройки PuTTy (1) не полное меню модема (1) ноутбучный БП (1) озабоченная (1) оповещения (1) пароли (1) пароль (1) погода (1) подбор пароля к SSH-ключу (1) подготовка к школе (1) подсветка синтаксиса в blogger (1) потоп (1) права доступа (1) проксинатор (1) радиатор (1) резервное копирование (1) репка (1) репозиторий (1) роутер (1) русификация консоли (1) рут (1) рут Prestigio 4300 (1) сбой (1) сетевой шлюз (1) сжатие трафика (1) скорость закачки Transmission (1) солярий в туалете (1) солярий дома (1) солярий своими руками (1) тренинги для детей (1) туалет (1) тян (1) упал FreeNAS (1) управление Transmission из командной строки (1) управление скоростью загрузки торрентов (1) ускоритель интернета (1) файл ответов (1) фильтрация контента (1) фотогалерея NAS4Free (1) фрагментация (1) функциональность bash в cmd.exe (1) хранение паролей (1) чертовка (1) шифрование трафика (1)

Антивирусное сканирование по доступу на Samba

Далее пост на хабре http://habrahabr.ru/post/205326/ от Chromium58





Доброго времени суток, уважаемые пользователи Хабра.

После очередной вспышки вирусной активности в сетевой папке нашей организации я задумался об ее антивирусной защите. Речь идет о сетевой папке, за которую отвечает Samba, работающая на Debian Wheezy.

Обратившись в гугл за информацией, я нашел 2 актуальных на текущий момент способа:

Способ 1 — использовать clamfs

Clamfs осуществляет связь между защищённой антивирусом папкой (точкой монтирования) и обычным (служебным) каталогом. При попытке чтения (копирования) файла с защищённого каталога происходит автоматическая проверка файла демоном clamav-daemon на наличие в нём вируса. Для своей работы требует модуль ядра FUSE.

Этот способ хорош, но Samba у нас крутится в LXC контейнере. У меня не было уверенности в стабильности связки между модулем ядра FUSE и lxc контейнером(да и не хотелось трогать хост машину — там не только мои сервисы крутятся), поэтому я остановился на 2 способе.

Способ 2 — использовать samba vfs модуль svs (samba virus scanner)

Как утверждают разработчики svs модуль в теории способен использовать в роли backend'а любой антивирус, но на данный момент поддерживается только ClamAV.

Вот небольшое howto по установке данного модуля на примере Debian Wheezy(Samba 3.6.6):

1.) Первое что необходимо — это установить clamav

apt-get install clamav-daemon clamav-freshclam

Обновляем базы

freshclam

Запускаем демона

/etc/init.d/clamav-daemon start

2.) В репозиториях svs модуля нет, поэтому необходимо установить необходимые пакеты для сборки модуля

apt-get install build-essential qt4-make libqt4-dev

Скачиваем сорцы самбы и компилируем необходимые header'ы

apt-get source samba
cd samba-3.6.6/source3
./configure
./make

Скачиваем исходники модуля svs с сайта sourceforge в директорию /tmp.
Распаковываем и компилируем:

cd samba-3.6.6
bzcat /tmp/svs-0.1.4.tar.bz2 | tar xvf -
cd svs
qmake && make


Копируем svs модуль в директорию с vfs модулями самбы.
На 32 битной системе:

cp --no-dereference libsvs*.so* /usr/lib/samba/vfs/

На 64-битной системе:

cp --no-dereference libsvs*.so* /usr/lib64/samba/vfs/

Итак — модуль на месте, теперь нужно создать для него конфигурационный файл /etc/samba/svs.ini со следующим содержанием:

[SVS]
maxParallelScans=6
maxCachedResults=10000
statisticsLogInterval=500
statisticsLogThreadUtil=false
clamdscanCommand=clamdscan
postScanSleep=100
infectAction=quarantine
quarantineDirectory=/home/viruses
scanOnOpen=true
scanOnClose=true
turboMode=false
maxScannerHeartbeatAge=0
maxQueuedRequests=24
waitPendingScans=false

Разберем параметры:

maxParallelScans — максимальное число параллельных сканирований (я сделал по числу ядер процессора)
maxCachedResults — максимальное число кэшируемых результатов
statisticsLogInterval — время в миллисекундах между записами в лог сканера
statisticsLogThreadUtil — логирование утилизации потоков
clamdscanCommand — команда для запуска сканирования clamav
postScanSleep — время в миллисекундах, на которые процесс сканирование «засыпает» ( для уменьшения нагрузки на clamav)
infectAction — действие при обнаружении вируса. Может принимать значения 'none', 'delete', 'quarantine'
quarantineDirectory — директория, куда помещаются найденные вирусы
scanOnOpen — сканирование при открытии файла
scanOnClose — сканирование при закрытии файла
maxScannerHeartbeatAge — максимальное время в миллисекундах, после которого svs заменит поток следующим в очереди. При значении < '1000' эта опция считается выключенной
maxQueuedRequests — максимальное число ожидающих в очереди запросов на сканирование(4 X maxParallelScans)
waitPendingScans — не закрывать сессию сканирования до появления запросов сканирования в очереди

Теперь нужно включить vfs модуль svs на samba. Для этого добавим в настройки шары опцию

vfs objects = libsvs_clamav

Ну и перезапустим самбу

/etc/init.d/samba restart

Все. На этом настройка антивирусного сканирования по доступу на samba с помощью vfs модуля svs закончена.

На текущий момент у меня связка samba + svs работает без перебоев 2 месяца.
Про нагрузку на сервер могу сказать что на Xeon E31230 средний LA (load average) не поднимается выше 3 при одновременной работе 50 пользователей.

Ссылки:

Readme разработчика модуля SVS — sourceforge.net/p/svs/code/HEAD/tree/trunk/README
Хорошая статья, очень помогла при настройке — scottlinux.com/2011/09/06/clamav-virus-on-access-scanning-for-samba-shares/


Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)