4 votes

azmeuk avatar

Analyser le système de fichiers complet en parallèle avec clamscan

Demandé el 1 de Août, 2018
Quand la question a-t-elle été
7980 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je lance un scan clamav chaque semaine sur mes serveurs. Il y a un serveur avec un cluster raid6 de 30 To d'espace disque sur lequel l'analyse prend plus de 24 heures.

Je me demande donc comment puis-je exécuter clamscan sur l'ensemble du système de fichiers, en tirant parti des plusieurs cœurs dont dispose le serveur ? Le serveur a de bonnes capacités d'entrée/sortie et je voudrais que le scan soit aussi rapide que le matériel le permet.

Je suis au courant de la --multiscan paramètre de clamdscan . Le principal problème que j'ai avec clamdscan est qu'il ne peut pas traiter les fichiers que le clamav auquel l'utilisateur ne peut pas accéder, et il semble déconseillé d'exécuter le démon en tant que root.

J'ai vu que certaines personnes utilisent parallèle pour y parvenir, mais je n'ai pas trouvé de commande de nettoyage qui puisse vraiment analyser l'ensemble du système de fichiers.

Demandé el 1 de Août, 2018 par azmeuk

Réponses

Trop de publicités?

4voto

Zac67 avatar
Zac67 Points 7920

Vous avez deux questions distinctes :

  1. Paralléliser clamdscan - en dehors de la combinaison --multiscan y --fdscan il n'y a pas grand chose à faire. Alternativement, vous pouvez exécuter plusieurs instances de clamscan sur des dossiers séparés, indépendamment du démon.
  2. Numériser les fichiers qui clamd ne peut pas accéder - ce n'est pas possible. clamd nécessite au moins un accès en lecture à tous les fichiers que vous voulez analyser et rapporter, et un accès en écriture à tous les fichiers que vous voulez analyser et nettoyer. J'exécuterais le démon avec un accès en lecture seulement et je gérerais les rapports manuellement. Si vous ne faites pas confiance à ClamAV pour gérer les fichiers malveillants, vous devriez utiliser un autre scanner.
Répondu el 20 de Août, 2018 par Zac67 (7920 Points )

0voto

Andrey Bondarenko avatar
Andrey Bondarenko Points 26
  1. La meilleure solution serait d'exécuter plusieurs instances de clamsdcan, en s'assurant que tous les démons ont une affinité avec différents cœurs et qu'ils utilisent tous des périphériques physiques différents (c'est-à-dire des disques) et, mieux encore, des canaux de bus séparés. L'E/S serait le goulot d'étranglement dans cette tâche.
  2. Assurez-vous que vous numérisez ce dont vous avez réellement besoin. L'analyse d'archives ou d'images disque est gourmande en CPU, E/S et RAM, car le processus doit lire (E/S), décompresser (CPU, RAM pour mapper les fichiers, E/S pour écrire dans le cache) et les analyser ensuite. Ce serait une bonne idée d'exclure les fichiers ISO, MKV, jpgs.
  3. Vous pourriez envisager de n'analyser que les fichiers récemment modifiés, car il s'agit d'un gros ISO que personne ne modifie à chaque analyse.
Répondu el 21 de Août, 2018 par Andrey Bondarenko (26 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X