Modi des Dateiwächters

Allgemeine Informationen

Der Dateiwächter SpIDer Guard, der den Zugriff auf Dateien kontrolliert, kann generell in drei Modi ausgeführt werden:

Normal (standardmäßig). In diesem Modus überwacht der Dateiwächter typische Dateioperationen wie Erstellen, Öffnen, Schließen und Starten. Es erfolgt zunächst eine Anfrage zur Überprüfung einer Datei, auf die zugegriffen wurde. Falls in der Datei eine Bedrohung erkannt wurde, wird sie neutralisiert. Während der Überprüfung können Anwendungen uneingeschränkt auf die Datei zugreifen.

Erweiterte Überwachung ausführbarer Dateien. Nicht-ausführbare Dateien werden im normalen Modus überwacht. Ausführbare Dateien, auf die zuzugreifen versucht wird, werden aber von SpIDer Guard gesperrt, sodass die angeforderte Aktion nicht ausgeführt werden kann, bis die Überprüfung abgeschlossen ist.

Als ausführbar gelten binäre PE-, ELF-Dateien und Skript-Textdateien, welche die Zeichenkombination „#!“ am Anfang des Codes enthalten.

Paranoid-Überwachungsmodus. Alle Dateien, auf die zuzugreifen versucht wird, werden von SpIDer Guard gesperrt, sodass die angeforderte Aktion nicht ausgeführt werden kann, bis die Überprüfung abgeschlossen ist.

Der Dateiwächter speichert die Ergebnisse der Überprüfung von Dateien in einem speziellen Cache. Wenn auf die gleiche Datei erneut zuzugreifen versucht wird, prüft der Dateiwächter, ob die Informationen zur Überprüfung dieser Datei im Cache vorliegen. Wenn sie vorhanden sind, überspringt der Dateiwächter die Datei und als Ergebnis der Überprüfung wird das zwischengespeicherte Ergebnis der letzten Überprüfung verwendet. Obwohl dieser Mechanismus unnötige Überprüfung der bereits überprüften Dateien verhindert, wirkt sich der Paranoid-Überwachungsmodus nachteilig auf die Ausführungszeiten der Dateioperationen aus.

Modus des Dateiwächters wechseln

Erweiterte Überwachung von Dateien und ihre Sperrung für die Dauer der Überprüfung sind nur möglich, wenn SpIDer Guard im Modus FANOTIFY ausgeführt wird und der Kernel des Betriebssystems mit der aktivierten Option CONFIG_FANOTIFY_ACCESS_PERMISSIONS kompiliert wurde.

 

Die Umschaltung von SpIDer Guard zwischen diesen Modi erfolgt nur mit dem Befehl cfset des Befehlszeilen-Tools drweb-ctl.

 

Um SpIDer Guard in einen anderen Modus zu versetzen, müssen Sie über die Rechte des Superusers (root) verfügen. Um als gewöhnlicher Benutzer in den root-Modus zu wechseln, verwenden Sie den Befehl zum Benutzerwechsel su oder den Befehl zum Ausführen einzelner Befehle oder Befehlsgruppen als root sudo.

Um SpIDer Guard in den Funktionsmodus FANOTIFY zu versetzen, führen Sie den folgenden Befehl aus:

$ sudo drweb-ctl cfset LinuxSpider.Mode FANOTIFY

Um den Modus des Dateiwächters zu wechseln, führen Sie den folgenden Befehl aus:

$ sudo drweb-ctl cfset LinuxSpider.BlockBeforeScan <Modus>

, wobei <Modus> festlegt, ob und wie Dateien gesperrt werden sollen. Möglich sind folgende Werte:

Off. Dateien werden nicht gesperrt, SpIDer Guard überwacht Dateizugriffe im normalen Modus.

Executables. Der Zugriff auf ausführbare Dateien wird gesperrt, SpIDer Guard überwacht ausführbare Dateien im erweiterten Überwachungsmodus.

All. Der Zugriff auf alle Dateien wird gesperrt, SpIDer Guard läuft im Paranoid-Überwachungsmodus.

Um den Zeitraum festzulegen, für den die zwischengespeicherten Ergebnisse der früheren Überprüfungen als aktuell gelten sollen, führen Sie den folgenden Befehl aus:

$ sudo drweb-ctl cfset FileCheck.RescanInterval <Zeitraum>

, wobei <Zeitraum> festlegt, wie lange die zwischengespeicherten Ergebnisse der früheren Überprüfungen gelten sollen. Zulässig ist ein Wert im Bereich von 0s bis 1m (einschließlich). Bei einem Wert weniger als 1 Sekunde werden Dateien jedes Mal überprüft, wenn auf sie zugegriffen wird.