Режими моніторингу файлів

Загальні відомості

Монітор файлової системи SpIDer Guard, що проводить контроль доступу до файлів, може використовувати три режими моніторингу:

Звичайний (встановлений за замовчуванням) — відстежуються операції доступу до файлів (створення, відкриття, закриття та запуск файла). Проводиться перевірка файла, до якого був запитаний доступ, за результатами перевірки до файла можуть бути застосовані дії з нейтралізації загрози, якщо вона в ньому виявлена. До завершення перевірки доступ до файла з боку програм, що запитали доступ, не обмежується.

Посилений контроль виконуваних файлів — для файлів, що не вважаються виконуваними, — так само, як і в звичайному режимі. Для файлів, що вважаються виконуваними, при спробі доступу SpIDer Guard блокує запитану операцію доступу доти, поки не стануть відомі результати перевірки файла на наявніть загроз.

Виконуваними файлами вважаються двійкові файли форматів PE та ELF, а також текстові файли сценаріїв, що містять преамбулу «#!».

«Агресивний» режим — при спробі доступу до будь-якого файла SpIDer Guard блокує запитану операцію доступу доти, поки не стануть відомі результати перевірки цього файла на наявніть загроз.

Сканер протягом визначеного часу зберігає результати перевірки файлів в спеціальному кеші, тому при повторному доступі до того самого файла за наявності інформації в кеші повторна перевірка файла не проводиться, за результат перевірки цього файла приймається результат з кешу. Незважаючи на це, використання «агресивного» режиму моніторингу призводить до суттєвого уповільнення роботи при доступі до файлів.

Змінення режиму моніторингу файлів

Режими посиленого моніторингу файлів з попереднім блокуванням доступні, тільки якщо SpIDer Guard працює в режимі FANOTIFY, а ядро ОС зібране з включеною опцією CONFIG_FANOTIFY_ACCESS_PERMISSIONS.

 

Переключення режимів роботи SpIDer Guard проводиться тільки за допомогою команди cfset утиліти drweb-ctl.

 

Для переключення режимів роботи SpIDer Guard необхідні права суперкористувача. Щоб отримати права суперкористувача, скористайтеся командою зміни користувача su або командою виконання від імені іншого користувача sudo.

Щоб перевести SpIDer Guard в режим роботи FANOTIFY, виконайте таку команду:

$ sudo drweb-ctl cfset LinuxSpider.Mode FANOTIFY

Щоб змінити режим моніторингу, виконайте таку команду:

$ sudo drweb-ctl cfset LinuxSpider.BlockBeforeScan <режим>

де <режим> визначає режим блокування:

Off — блокування доступу не проводиться, SpIDer Guard працює в звичайному (не блокуючому) режимі моніторингу;

Executables — проводиться блокування доступу до виконуваних файлів, SpIDer Guard проводить посилений контроль виконуваних файлів;

All — проводиться блокування доступу до будь-яких файлів, SpIDer Guard проводить «агресивний» режим моніторингу.

Щоб змінити термін актуальності результатів перевірки файлів, що містяться в кеші Сканера, виконайте таку команду:

$ sudo drweb-ctl cfset FileCheck.RescanInterval <період>

де <період> визначає період актуальності попередніх результатів перевірки, що містяться в кеші. Допустимі значення від 0s до 1m (включно). Якщо вказаний період менше 1 секунди, то файл перевірятиметься при будь-якому запиті.