Recommended
More Related Content
More from Kazuki Omo
6 anti virus
- 1. AntiVirusの設定 1 28nd 2015 面 和毅 1
- 4. 1. LinuxでのAntiVirusの必要性 提供するサービスに依存 • 提供するサービスによっては、AntiVirusソフトによるスキャンが必須のものもある – メールサーバ – Webサーバ – ftpサーバ – SMB/CIFSなどを用いたストレージ – その他、ファイルをアップロード・提供する環境 4
- 5. 2. Virusスキャンの種類 • 1 28nd 2015 面 和毅
- 6. 2. Virusスキャンの種類 二種類のスキャン • 手動スキャン(定時スキャン) – 手動でスキャン対象(デバイスやディレクトリ)を指定してVirus スキャンを実行するもの。または、OSやアプリで用意されてい るスケジューラなどで定時にスキャンを実行する場合もある。 – 感染した後にスキャンになるが、負荷が低い。また、処理が おかしくなる可能性が低い • オンアクセススキャン – ファイルを開く(open)、読む(read)、書き込む・保存(write)など のアクションが起こった際に、自動的に対象ファイルに対して スキャンを行うもの。 – 感染を未然に防げるが負荷が高い。実装によっては処理が おかしくなる事がある。 6
- 7. 2. Virusスキャンの種類 オンアクセススキャンの問題 AntiVirus アクセス対象をスキャンして 脅威が無ければアクセス許可 AntiVirus アクセス対象をスキャンして 脅威があった場合には-EPERMを返す
- 9. 3. AntiVirusでのスキャン対象・除外対象 • 1 28nd 2015 面 和毅
- 10. 3. AntiVirusでのスキャン対象・除外対象 • AntiVirusでスキャン対象から外すべきファイル – DBに関しては、以下のファイルは対象から外す(Oracle/MSなど がドキュメント) • DBのファイル類を外部からスキャンしても意味が無い(DB内部にウィル スが保存されてしまった場合にも スキャンは出来ない)。 • 仮にDB関連のファイルをウィルスなどが改変した場合に、整合性が保て なくなるため、DBが機能しなくなる • 上述の用な事態が起きたときに、AntiVirusソフトで安全にファイルを元に もどすことが理論上出来ない • DB関連のファイルは常に更新されている物が多いため特にLinuxなどオ ンアクセススキャンするものが掴むとパフォーマンスの問題が発生する。 • LinuxのオンアクセススキャンがDBファイル更新処理にスキャンタイムア ウトエラーを返してしまった場合にはDBファイル更新に失敗し、深刻な事 態に発展する可能性がある。 1 0
- 11. 3. AntiVirusでのスキャン対象・除外対象 • AntiVirusでスキャン対象から外すべきファイル – ISOファイルに関してもスキャン対象から外す • ISOファイルをVirusが変更した場合には、ファイルが壊れて マウントできなくなる – スキャンする際にはメモリで展開->適宜/tmpに退避 – バックアップファイルも展開にメモリ・HDDのリソースを 喰うため、外す 1 1
- 12. 3. AntiVirusでのスキャン対象・除外対象 • AntiVirusでスキャン対象から外すべきファイル アクセスすると スキャンする アーカイブにアクセスすると 展開してスキャンする 長所:圧縮/アーカイブファイルに対してのセキュリティリスクの減少 短所: 1. デフォルトで/tmpに展開するため、空きディスクサイズを圧迫する。 2. 毎回HDD上に展開してスキャンするため、パフォーマンスが極端に劣化する。 そのため、オンアクセス検索ではアーカイブファイルスキャンは外す 事がデフォルトになっている。
- 13. 3. AntiVirusでのスキャン対象・除外対象 アーカイブファイルが展開される際に オンアクセススキャンされる アーカイブ中にウィルスが混入していたとしても、アーカイブファイル中のファイルを 使用した際に、端末のオンアクセススキャンされる為、アーカイブファイル単独のスキャンは 不要であるという考え方もある。 これには 1. 使用する全てのPCにAntiVirusが導入されている。 2. 端末のPCで(可能な限り)オンアクセススキャンが有効になっている。 3. 全てのAntiVirusのパターンファイルは最新の物になっている。 という条件がつく。 条件を満たさないPC上で は感染のリスクがある • アーカイブのスキャンは必要か?
- 14. 3. AntiVirusでのスキャン対象・除外対象 アーカイブファイルに関しては、パフォーマンス及びリソースの観点から 1. (リスクを許容して)スキャン対象から(オンアクセス/スケジュール双方)完全に外す 2. (可用性の圧迫を許容して)アーカイブは別途スケジュールなどでスキャンを行う の2つが考えられる。 アーカイブファイルは スキャンしない アーカイブファイルは 別途スキャンする 1 2 • アーカイブファイルの扱いをどうするか?
- 15. 4. NAS上のファイルのスキャン • 1 28nd 2015 面 和毅
- 16. 4. NAS上のファイルのスキャン 1 6 NAS NASをマウントしている全てのサーバ上で、 NASのボリュームを常時スキャンしているため 1. NAS全体のパフォーマンス劣化 2. NAS上での「スキャンできなかった」エラーの増加 につながっている。 • NASのストレージをマウントしているサーバで起きる問題
- 17. 4. NAS上のファイルのスキャン NAS NAS上はオンアクセススキャンから外し、別途サーバによりスケジュールスキャンを行う。 長所: NASパフォーマンスの増加 短所: NASにウィルス混入時の即時検出が難しくなる (スケジュールスキャンを待つ必要がある) スケジュールスキャン • NASのストレージをスキャンする設定例 1
- 18. 4. NAS上のファイルのスキャン NAS NAS上はオンアクセススキャンから外す。 外部から入ってくるファイルは一度ローカルの キャッシュエリア(常時スキャン)にコピー。 スキャン後にNASに移動する。 長所: NASパフォーマンスの増加 外部からのウィルスの侵入を防げる 短所: ユーザがアップロードしたファイルを即時に 移動したい場合等にキャッシュにあるか NASにあるかを確認する必要がある(造り込み)。 • NASのストレージをスキャンする設定例 2
- 19. 4. NAS上のファイルのスキャン NAS上はオンアクセススキャンから外す。 外部から入ってくるファイルはアップロード時に NASの機能を使って、別途ファイルをスキャンする。 長所: NASパフォーマンスの増加 外部からのウィルスの侵入を防げる。 各ファイルに対してwrite/createなど 本当に変更がかかったもののみをスキャンする 短所: 対応する高価なストレージ(例 EMC: CAVA)と 専用スキャンサーバが必要となる。 NAS CAVA • NASのストレージをスキャンする設定例 3