Upload
kazuki-omo
View
157
Download
0
Embed Size (px)
Citation preview
1. LinuxでのAntiVirusの必要性
提供するサービスに依存
• 提供するサービスによっては、AntiVirusソフトによるスキャンが必須のものもある – メールサーバ
– Webサーバ
– ftpサーバ
– SMB/CIFSなどを用いたストレージ
– その他、ファイルをアップロード・提供する環境
4
2. Virusスキャンの種類
二種類のスキャン
• 手動スキャン(定時スキャン)
– 手動でスキャン対象(デバイスやディレクトリ)を指定してVirusスキャンを実行するもの。または、OSやアプリで用意されているスケジューラなどで定時にスキャンを実行する場合もある。
– 感染した後にスキャンになるが、負荷が低い。また、処理がおかしくなる可能性が低い
• オンアクセススキャン
– ファイルを開く(open)、読む(read)、書き込む・保存(write)などのアクションが起こった際に、自動的に対象ファイルに対してスキャンを行うもの。
– 感染を未然に防げるが負荷が高い。実装によっては処理がおかしくなる事がある。
6
2. Virusスキャンの種類
オンアクセススキャンの問題
AntiVirus アクセス対象をスキャンして
脅威が無ければアクセス許可
AntiVirus アクセス対象をスキャンして
脅威があった場合には-EPERMを返す
2. Virusスキャンの種類
オンアクセススキャンの問題
AntiVirus スキャンに時間が掛かる場合(スキャンプロセスが
応答しない場合)には-EPERMを返す。
結果、プロセスはファイルアクセス/更新に
失敗する。
注意!!
3. AntiVirusでのスキャン対象・除外対象 • AntiVirusでスキャン対象から外すべきファイル
– DBに関しては、以下のファイルは対象から外す(Oracle/MSなどがドキュメント) • DBのファイル類を外部からスキャンしても意味が無い(DB内部にウィルスが保存されてしまった場合にも
スキャンは出来ない)。 • 仮にDB関連のファイルをウィルスなどが改変した場合に、整合性が保てなくなるため、DBが機能しなくなる
• 上述の用な事態が起きたときに、AntiVirusソフトで安全にファイルを元にもどすことが理論上出来ない
• DB関連のファイルは常に更新されている物が多いため特にLinuxなどオンアクセススキャンするものが掴むとパフォーマンスの問題が発生する。
• LinuxのオンアクセススキャンがDBファイル更新処理にスキャンタイムアウトエラーを返してしまった場合にはDBファイル更新に失敗し、深刻な事態に発展する可能性がある。
10
3. AntiVirusでのスキャン対象・除外対象
• AntiVirusでスキャン対象から外すべきファイル
– ISOファイルに関してもスキャン対象から外す
• ISOファイルをVirusが変更した場合には、ファイルが壊れてマウントできなくなる
–スキャンする際にはメモリで展開->適宜/tmpに退避
–バックアップファイルも展開にメモリ・HDDのリソースを喰うため、外す
11
3. AntiVirusでのスキャン対象・除外対象
• AntiVirusでスキャン対象から外すべきファイル
アクセスすると
スキャンする
アーカイブにアクセスすると
展開してスキャンする
長所:圧縮/アーカイブファイルに対してのセキュリティリスクの減少
短所: 1. デフォルトで/tmpに展開するため、空きディスクサイズを圧迫する。
2. 毎回HDD上に展開してスキャンするため、パフォーマンスが極端に劣化する。
そのため、オンアクセス検索ではアーカイブファイルスキャンは外す
事がデフォルトになっている。
3. AntiVirusでのスキャン対象・除外対象
アーカイブファイルが展開される際に
オンアクセススキャンされる
アーカイブ中にウィルスが混入していたとしても、アーカイブファイル中のファイルを
使用した際に、端末のオンアクセススキャンされる為、アーカイブファイル単独のスキャンは
不要であるという考え方もある。
これには
1. 使用する全てのPCにAntiVirusが導入されている。
2. 端末のPCで(可能な限り)オンアクセススキャンが有効になっている。
3. 全てのAntiVirusのパターンファイルは最新の物になっている。
という条件がつく。
条件を満たさないPC上で
は感染のリスクがある
• アーカイブのスキャンは必要か?
3. AntiVirusでのスキャン対象・除外対象
アーカイブファイルに関しては、パフォーマンス及びリソースの観点から
1. (リスクを許容して)スキャン対象から(オンアクセス/スケジュール双方)完全に外す
2. (可用性の圧迫を許容して)アーカイブは別途スケジュールなどでスキャンを行う
の2つが考えられる。
アーカイブファイルは
スキャンしない アーカイブファイルは
別途スキャンする
1 2
• アーカイブファイルの扱いをどうするか?
4. NAS上のファイルのスキャン
16
NAS
NASをマウントしている全てのサーバ上で、
NASのボリュームを常時スキャンしているため
1. NAS全体のパフォーマンス劣化
2. NAS上での「スキャンできなかった」エラーの増加
につながっている。
• NASのストレージをマウントしているサーバで起きる問題
4. NAS上のファイルのスキャン
NAS
NAS上はオンアクセススキャンから外し、別途サーバによりスケジュールスキャンを行う。
長所: NASパフォーマンスの増加
短所: NASにウィルス混入時の即時検出が難しくなる
(スケジュールスキャンを待つ必要がある)
スケジュールスキャン
• NASのストレージをスキャンする設定例 1
4. NAS上のファイルのスキャン
NAS
NAS上はオンアクセススキャンから外す。
外部から入ってくるファイルは一度ローカルの
キャッシュエリア(常時スキャン)にコピー。
スキャン後にNASに移動する。
長所: NASパフォーマンスの増加
外部からのウィルスの侵入を防げる
短所: ユーザがアップロードしたファイルを即時に
移動したい場合等にキャッシュにあるか
NASにあるかを確認する必要がある(造り込み)。
• NASのストレージをスキャンする設定例 2