Analise o sistema de arquivos completo em paralelo com o clamscan

1

Eu executo uma varredura clamav semanalmente nos meus servidores. Há um servidor com um cluster raid6 de 30TB de espaço em disco onde a varredura leva mais de 24h para ser executada.

Então, pergunto-me como posso executar o clamscan em todo o sistema de arquivos, aproveitando os vários núcleos que o servidor possui? O servidor tem boas capacidades de E / S e gostaria que a varredura fosse rápido como o hardware pode ir.

Eu sei sobre o parâmetro --multiscan de clamdscan . O principal problema que tenho com o clamdscan é que ele não pode processar arquivos que o usuário clamav não pode acessar, e parece desencorajado executar o daemon como root.

Eu vi algumas pessoas usando o paralelo para conseguir isso, mas não consegui encontrar um comando limpo que realmente fosse digitalizado todo o sistema de arquivos.

    
por azmeuk 01.08.2018 / 09:42

2 respostas

2

Você tem duas perguntas separadas:

  1. Paralelizar clamdscan - além de combinar --multiscan e --fdscan , há pouco que você possa fazer. Como alternativa, você pode executar várias instâncias de clamscan em pastas separadas, independentemente do daemon.
  2. Verificar arquivos que clamd não pode acessar - isso não é possível. clamd requer pelo menos acesso de leitura a todos os arquivos que você deseja verificar e relatar, além de gravar o acesso a todos os arquivos que você deseja verificar e limpar. Eu executaria o daemon apenas com acesso de leitura e lidaria com os relatórios manualmente. Se você não confia que o ClamAV seja capaz de lidar com arquivos maliciosos, você deve usar outro scanner.
por 20.08.2018 / 15:14
0
  1. A melhor maneira seria executar várias instâncias do clamsdcan, garantindo que todos os daemons tivessem afinidade com diferentes núcleos e todos eles usassem dispositivos físicos diferentes (ou seja, discos) e, até mesmo, canais de barramento separados. AE / S seria o gargalo nessa tarefa.
  2. Verifique se você está digitalizando o que realmente precisa. A varredura de arquivos ou imagens de disco seria CPU, E / S e RAM com fome, porque o processo deve ler (i / o), descompactar (CPU, RAM para mapear arquivos, E / S para gravar cache) e digitalizá-los depois. Pode ser boa ideia excluir arquivos ISO, arquivos MKV, jpgs.
  3. Você pode considerar varrer somente os arquivos recentemente alterados, porque varre ISO grande, que ninguém altera cada varredura.
por 21.08.2018 / 10:20