Drweb ctl cfset linux spider start no

Примеры использования утилиты Dr.Web Ctl ( drweb-ctl ):

1. Проверка объектов

1.1. Простые команды проверки

1. Выполнить проверку каталога /home с параметрами по умолчанию:

$ drweb-ctl scan /home

2. Выполнить проверку списка путей, перечисленных в файле daily_scan (по одному пути в строке файла):

$ drweb-ctl scan —stdin

3. Выполнить проверку загрузочной записи на диске sda :

$ drweb-ctl bootscan /dev/sda

4. Выполнить проверку запущенных процессов:

1.2. Проверка файлов, отобранных по критериям

В нижеприведенных примерах для формирования выборки файлов, подлежащих проверке, используется результат работы утилиты find . Полученный перечень файлова передается команде drweb-ctl scan с параметром —stdin или —stdin0 .

1. Выполнить проверку списка файлов, возвращенных утилитой find , и разделенных символом NUL (‘ \0 ‘):

$ find -print0 | drweb-ctl scan —stdin0

2. Проверить все файлы всех каталогов, начиная с корневого, находящихся на одном разделе файловой системы:

$ find / -xdev -type f | drweb-ctl scan —stdin

3. Проверить все файлы всех каталогов, начиная с корневого, кроме файлов /var/log/messages и /var/log/syslog :

$ find / -type f ! -path /var/log/messages ! -path /var/log/syslog | drweb-ctl scan –stdin

4. Проверить во всех каталогах, начиная с корневого, файлы, принадлежащие пользователю root :

$ find / -type f -user root | drweb-ctl scan —stdin

5. Проверить во всех каталогах, начиная с корневого, файлы, принадлежащие пользователям root и admin :

$ find / -type f $ -user root -o -user admin $ | drweb-ctl scan —stdin

6. Проверить во всех каталогах, начиная с корневого, файлы, принадлежащие пользователям с UID из диапазона 1000 – 1005:

$ find / -type f -uid +999 -uid -1006 | drweb-ctl scan —stdin

7. Проверить файлы во всех каталогах, начиная с корневого, но находящихся не более чем на пятом уровне вложенности относительно корневого каталога:

$ find / -maxdepth 5 -type f | drweb-ctl scan —stdin

8. Проверить файлы в корневом каталоге, не заходя во вложенные каталоги:

$ find / -maxdepth 1 -type f | drweb-ctl scan —stdin

9. Проверить файлы во всех каталогах, начиная с корневого, при этом следовать по встречающимся символическим ссылкам:

$ find -L / -type f | drweb-ctl scan —stdin

10. Проверить файлы во всех каталогах, начиная с корневого, при этом не следовать по встречающимся символическим ссылкам:

$ find -P / -type f | drweb-ctl scan —stdin

11. Проверить во всех каталогах, начиная с корневого, файлы, созданные не позже, чем 01 мая 2017 года:

$ find / -type f -newermt 2017-05-01 | drweb-ctl scan —stdin

1.3. Проверка дополнительных объектов

1. Проверка объектов, расположенном в каталоге /tmp на удаленном узле 192.168.0.1 , подключившись к нему через SSH как пользователь user с паролем passw :

$ drweb-ctl remotescan 192.168.0.1 /tmp —Login user —Password passw

2. Управление конфигурацией

1. Вывести на экран информацию о текущем составе программного комплекса, включая информацию о запущенных компонентах:

2. Вывести на экран все параметры из секции [Root] активной конфигурации:

$ drweb-ctl cfshow Root

3. Задать значение ‘ No ‘ для параметра Start в секции [ClamD] активной конфигурации (это приведет к остановке работы компонента Dr.Web ClamD ):

# drweb-ctl cfset ClamD.Start No

Обратите внимание на то, что в данном случае требуются полномочия суперпользователя. Пример вызова этой же команды с использованием sudo для временного повышения полномочий:

$ sudo drweb-ctl cfset ClamD.Start No

4. Запретить компоненту обновления выполнять получение обновлений файлов 123.vdb и 567.dws :

# drweb-ctl cfset Update.ExcludedFiles -a 123.vdb
# drweb-ctl cfset Update.ExcludedFiles -a 567.dws

Обратите внимание на то, что в данном случае используется опция -a для добавления нового значения к уже имеющемуся списку значений параметра Update.ExcludedFiles .

5. Удалить файл 123.vdb из списка файлов, обновление которых запрещено для компонента обновления:

# drweb-ctl cfset Update.ExcludedFiles -r 123.vdb

6. Сбросить список файлов, обновление которых запрещено для компонента обновления, в значение по умолчанию:

# drweb-ctl cfset Update.ExcludedFiles -e

7. Выполнить принудительное обновление антивирусных компонентов продукта:

8. Выполнить перезагрузку конфигурации для компонентов установленного программного комплекса Dr.Web:

$ sudo drweb-ctl reload

9. Подключить продукт к серверу централизованной защиты , работающему на узле 192.168.0.1 , при условии, что открытый ключ сервера располагается в файле /home/user/cskey.pub :

$ drweb-ctl esconnect 192.168.0.1 —Key /home/user/cskey.pub

10. Отключить продукт от сервера централизованной защиты:

$ sudo drweb-ctl esdisconnect

3. Управление угрозами

1. Вывести на экран информацию об обнаруженных угрозах:

2. Переместить все файлы, содержащие необезвреженные угрозы, в карантин:

$ drweb-ctl threats —Quarantine All

3. Вывести на экран список файлов, перемещенных в карантин:

4. Восстановить все файлы из карантина:

$ drweb-ctl quarantine —Restore All

4. Пример работы в режиме автономной копии

1. Проверить файлы и обработать карантин в режиме автономной копии:

$ drweb-ctl scan /home/user -a —OnKnownVirus=Quarantine
$ drweb-ctl quarantine -a —Delete All

Первая команда проверит файлы в каталоге /home/user в режиме автономной копии, и файлы, содержащие известные вирусы, будут помещены в карантин. Вторая команда обработает содержимое карантина (также в режиме автономной копии) и удалит все содержащиеся в нем объекты.

Источник

Drweb ctl cfset linux spider start no

Компонент использует параметры конфигурации, заданные в секции [LinuxSpider] объединенного конфигурационного файла продукта Dr.Web для файловых серверов UNIX.

В секции представлены следующие параметры:

Уровень подробности ведения журнала компонента.

Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root] .

Значение по умолчанию: Notice

Путь к исполняемому файлу компонента.

Значение по умолчанию: /bin/drweb-spider

• Для Linux : /opt/drweb.com/bin/drweb-spider

Компонент должен быть запущен демоном управления конфигурацией Dr.Web ConfigD .

Установка данного параметра в Yes предписывает демону управления конфигурацией немедленно попытаться запустить компонент, а установка его в значение No – немедленно завершить работу компонента.

Значение по умолчанию: Зависит от того, в составе какого продукта работает компонент.

Определяет режим работы монитора файловой системы SpIDer Guard.

• LKM – Работа через LKM-модуль Dr.Web, установленный в ядро операционной системы ( LKM – Linux kernel module ).

• FANOTIFY – Работа через системный механизм fanotify .

• AUTO – Автоматическое определение оптимального режима работы.

Изменение значения этого параметра следует производить с крайней осторожностью, поскольку ядра различных ОС GNU/Linux в разной мере поддерживают тот и другой режим работы. Настоятельно рекомендуется оставлять этот параметр в значении AUTO , чтобы при запуске был выбран оптимальный режим интеграции с диспетчером файловой системы. При этом компонент сначала пытается использовать режим FANOTIFY , потом, в случае неудачи – LKM . Если не удалось использовать ни один из режимов, работа компонента завершается.

При необходимости вы можете собрать LKM-модуль Dr.Web из исходных кодов и установить его в систему, следуя инструкции в разделе Сборка модуля ядра для SpIDer Guard .

Значение по умолчанию: AUTO

Включать или нет в журнал на отладочном уровне (при LogLevel = DEBUG ) подробные сообщения о доступе к файлам.

Значение по умолчанию: No

Определяет список процессов, файловая активность которых не контролируется. Если файловая операция была совершена любым из процессов, перечисленных здесь, то измененный или созданный файл не будет проверяться.

Читайте также: Linux list com ports

Может иметь список значений. Значения в списке указываются через запятую (каждое значение – в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).

Пример: Добавить в список процессы wget и curl .

1. Добавление значений в файл конфигурации.

• Два значения в одной строке

[LinuxSpider]
ExcludedProc = «/usr/bin/wget», «/usr/bin/curl»

• Две строки (по одному значению в строке)

[LinuxSpider]
ExcludedProc = /usr/bin/wget
ExcludedProc = /usr/bin/curl

2. Добавление значений через команду drweb-ctl cfset .

# drweb-ctl cfset LinuxSpider.ExcludedProc -a /usr/bin/wget
# drweb-ctl cfset LinuxSpider.ExcludedProc -a /usr/bin/curl

Значение по умолчанию: (не задано)

Определяет путь к объекту, который должен быть пропущен при мониторинге файловых операций. Допускается указание пути как к каталогу, так и к конкретному файлу. Если указан каталог, то будут исключены из наблюдения все файлы этого каталога.

Пример: Добавить в список файлы /etc/file1 и каталог /usr/bin .

1. Добавление значений в файл конфигурации.

• Два значения в одной строке

[LinuxSpider]
ExcludedPath = «/etc/file1», «/usr/bin»

• Две строки (по одному значению в строке)

[LinuxSpider]
ExcludedPath = /etc/file1
ExcludedPath = /usr/bin

2. Добавление значений через команду drweb-ctl cfset .

# drweb-ctl cfset LinuxSpider.ExcludedPath -a /etc/file1
# drweb-ctl cfset LinuxSpider.ExcludedPath -a /usr/bin

Обратите внимание, что не имеет смысла указывать здесь пути к символическим ссылкам, поскольку при проверке файла всегда анализируется прямой путь к нему, поэтому указанные здесь символические ссылки не будут иметь никакого эффекта.

Значение по умолчанию: /proc, /sys

Определяет путь к объекту, который должен находиться под наблюдением и проверяться при совершении с ним файловых операций. Допускается указание пути как к каталогу, так и к конкретному файлу. Если указан каталог, то будут проверены все файлы и подкаталоги этого каталога, пути к которым отсутствуют в списке ExcludedPath .

Этот параметр имеет приоритет над параметром ExcludedPath в этой же секции: если путь к одному и тому же объекту указан в обоих списках, то объект будет проверяться при совершении с ним файловых операций.

Пример: Добавить в список файлы /etc/file1 и каталог /usr/bin .

1. Добавление значений в файл конфигурации.

• Два значения в одной строке

[LinuxSpider]
IncludedPath = «/etc/file1», «/usr/bin»

• Две строки (по одному значению в строке)

[LinuxSpider]
IncludedPath = /etc/file1
IncludedPath = /usr/bin

2. Добавление значений через команду drweb-ctl cfset .

# drweb-ctl cfset LinuxSpider.IncludedPath -a /etc/file1
# drweb-ctl cfset LinuxSpider.IncludedPath -a /usr/bin

Значение по умолчанию: /

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле известной угрозы (вируса и т.д.), обнаруженной методом сигнатурного анализа, при проверке файла, инициированной по запросу SpIDer Guard.

Возможные значения: Cure, Quarantine, Delete

Значение по умолчанию: Cure

Определяет реакцию Dr.Web для файловых серверов UNIX на неудачу излечения угрозы (т.е. применение действия Cure закончилось неудачей) при проверке файла, инициированной по запросу SpIDer Guard.

Читайте также: Включить numlock mac os

Возможные значения: Quarantine, Delete

Значение по умолчанию: Quarantine

Определяет реакцию Dr.Web для файловых серверов UNIX на обнаружение в проверяемом файле неизвестной угрозы (или подозрения на угрозу) методом эвристического анализа, при проверке файла, инициированной по запросу SpIDer Guard.