AntiVirusの設定

1 28nd 2015 面 和毅

1

目次

1.LinuxでのAntiVirusの必要性

2.Virusスキャンの種類

3.AntiVirusでのスキャン対象・除外対象

4.アーカイブのスキャン

5.NASのファイルのスキャン

2

1. LinuxでのAntiVirusの必要性

2014年の脆弱性とインシデント

• 2014年もLinuxでの脆弱性とそれを利用した

攻撃がありました。

3

1. LinuxでのAntiVirusの必要性

提供するサービスに依存

• 提供するサービスによっては、AntiVirusソフトによるスキャンが必須のものもある – メールサーバ

– Webサーバ

– ftpサーバ

– SMB/CIFSなどを用いたストレージ

– その他、ファイルをアップロード・提供する環境

4

5

2. Virusスキャンの種類

• 1 28nd 2015 面 和毅

2. Virusスキャンの種類

二種類のスキャン

• 手動スキャン(定時スキャン）

– 手動でスキャン対象（デバイスやディレクトリ）を指定してVirusスキャンを実行するもの。または、OSやアプリで用意されているスケジューラなどで定時にスキャンを実行する場合もある。

– 感染した後にスキャンになるが、負荷が低い。また、処理がおかしくなる可能性が低い

• オンアクセススキャン

– ファイルを開く(open)、読む(read)、書き込む・保存(write)などのアクションが起こった際に、自動的に対象ファイルに対してスキャンを行うもの。

– 感染を未然に防げるが負荷が高い。実装によっては処理がおかしくなる事がある。

6

2. Virusスキャンの種類

オンアクセススキャンの問題

AntiVirus アクセス対象をスキャンして

脅威が無ければアクセス許可

AntiVirus アクセス対象をスキャンして

脅威があった場合には-EPERMを返す

2. Virusスキャンの種類

オンアクセススキャンの問題

AntiVirus スキャンに時間が掛かる場合(スキャンプロセスが

応答しない場合)には-EPERMを返す。

結果、プロセスはファイルアクセス／更新に

失敗する。

注意!!

9

3. AntiVirusでのスキャン対象・除外対象

• 1 28nd 2015 面 和毅

3. AntiVirusでのスキャン対象・除外対象 • AntiVirusでスキャン対象から外すべきファイル

– DBに関しては、以下のファイルは対象から外す(Oracle/MSなどがドキュメント) • DBのファイル類を外部からスキャンしても意味が無い（DB内部にウィルスが保存されてしまった場合にも

スキャンは出来ない）。 • 仮にDB関連のファイルをウィルスなどが改変した場合に、整合性が保てなくなるため、DBが機能しなくなる

• 上述の用な事態が起きたときに、AntiVirusソフトで安全にファイルを元にもどすことが理論上出来ない

• DB関連のファイルは常に更新されている物が多いため特にLinuxなどオンアクセススキャンするものが掴むとパフォーマンスの問題が発生する。

• LinuxのオンアクセススキャンがDBファイル更新処理にスキャンタイムアウトエラーを返してしまった場合にはDBファイル更新に失敗し、深刻な事態に発展する可能性がある。

10

3. AntiVirusでのスキャン対象・除外対象

• AntiVirusでスキャン対象から外すべきファイル

– ISOファイルに関してもスキャン対象から外す

• ＩＳＯファイルをVirusが変更した場合には、ファイルが壊れてマウントできなくなる

–スキャンする際にはメモリで展開->適宜/tmpに退避

–バックアップファイルも展開にメモリ・HDDのリソースを喰うため、外す

11

3. AntiVirusでのスキャン対象・除外対象

• AntiVirusでスキャン対象から外すべきファイル

アクセスすると

スキャンする

アーカイブにアクセスすると

展開してスキャンする

長所：圧縮／アーカイブファイルに対してのセキュリティリスクの減少

短所： 1. デフォルトで/tmpに展開するため、空きディスクサイズを圧迫する。

2. 毎回HDD上に展開してスキャンするため、パフォーマンスが極端に劣化する。

そのため、オンアクセス検索ではアーカイブファイルスキャンは外す

事がデフォルトになっている。

3. AntiVirusでのスキャン対象・除外対象

アーカイブファイルが展開される際に

オンアクセススキャンされる

アーカイブ中にウィルスが混入していたとしても、アーカイブファイル中のファイルを

使用した際に、端末のオンアクセススキャンされる為、アーカイブファイル単独のスキャンは

不要であるという考え方もある。

これには

1. 使用する全てのPCにAntiVirusが導入されている。

2. 端末のPCで（可能な限り）オンアクセススキャンが有効になっている。

3. 全てのAntiVirusのパターンファイルは最新の物になっている。

という条件がつく。

条件を満たさないPC上で

は感染のリスクがある

• アーカイブのスキャンは必要か？

3. AntiVirusでのスキャン対象・除外対象

アーカイブファイルに関しては、パフォーマンス及びリソースの観点から

1. （リスクを許容して）スキャン対象から（オンアクセス／スケジュール双方）完全に外す

2. （可用性の圧迫を許容して）アーカイブは別途スケジュールなどでスキャンを行う

の2つが考えられる。

アーカイブファイルは

スキャンしない アーカイブファイルは

別途スキャンする

1 2

• アーカイブファイルの扱いをどうするか？

15

4. NAS上のファイルのスキャン

• 1 28nd 2015 面 和毅

4. NAS上のファイルのスキャン

16

NAS

NASをマウントしている全てのサーバ上で、

NASのボリュームを常時スキャンしているため

1. NAS全体のパフォーマンス劣化

2. NAS上での「スキャンできなかった」エラーの増加

につながっている。

• NASのストレージをマウントしているサーバで起きる問題

4. NAS上のファイルのスキャン

NAS

NAS上はオンアクセススキャンから外し、別途サーバによりスケジュールスキャンを行う。

長所: NASパフォーマンスの増加

短所: NASにウィルス混入時の即時検出が難しくなる

（スケジュールスキャンを待つ必要がある）

スケジュールスキャン

• NASのストレージをスキャンする設定例 1

4. NAS上のファイルのスキャン

NAS

NAS上はオンアクセススキャンから外す。

外部から入ってくるファイルは一度ローカルの

キャッシュエリア（常時スキャン）にコピー。

スキャン後にNASに移動する。

長所: NASパフォーマンスの増加

外部からのウィルスの侵入を防げる

短所: ユーザがアップロードしたファイルを即時に

移動したい場合等にキャッシュにあるか

NASにあるかを確認する必要がある（造り込み）。

• NASのストレージをスキャンする設定例 2

4. NAS上のファイルのスキャン

NAS上はオンアクセススキャンから外す。

外部から入ってくるファイルはアップロード時に

NASの機能を使って、別途ファイルをスキャンする。

長所: NASパフォーマンスの増加

外部からのウィルスの侵入を防げる。

各ファイルに対してwrite/createなど

本当に変更がかかったもののみをスキャンする

短所: 対応する高価なストレージ(例 EMC: CAVA)と

専用スキャンサーバが必要となる。

NAS

CAVA

• NASのストレージをスキャンする設定例 3