13 ответов в этой теме

[ASCII]

Добрый день.

Используем в организации ES 6.00.4

Есть необходимость на Linux машинах исключить каталог из проверки, но при этом проверять один из подкаталогов.

Использую регулярное выражения вида qr{^dir1\\dir2\\[userDIR\\]+}i

Каталог dir1/dir2/userDIR является домашним каталогом пользователя (т.е. надо что бы проверяло домашний каталог, но не проверяло другие папки в этой ветке).

Агент DrWeb на машине отказывается воспринимать правило корректно. Подскажите в чем может быть проблема?

[Kirill Polubelov]

Первое, что бросается в глаза -- вы указываете относительный путь, а не абсолютный.

Абсолютный бы выглядел, например, так:

/dir1/dir2/userDIR

А сейчас, отсчёт идет, по видимому, от рабочего каталога проверяющего процесса.

Сообщение было изменено Kirill Polubelov: 10 Март 2017 - 17:23

[ASCII]

Первое, что бросается в глаза -- вы указываете относительный путь, а не абсолютный.

Абсолютный бы выглядел, например, так:

/dir1/dir2/userDIR

А сейчас, отсчёт идет, по видимому, от рабочего каталога проверяющего процесса.

исправил регулярное выражение на:

qr{^//dir1//dir2//[userDIR//]+}i (пробовал варьировать количество слешей)

не хочет применять. Регулярки для Linux чем-то принципиально отличаются от регулярок для windows?

[Kirill Polubelov]

Итак, у вас есть:

1. ЕС 6.0.4

2. Сканер под Linux, которому необходимо задать путь для проверки.

 

Несмотря на то, что яне совсем понимаю, почему вы, исходя из ваших условий, не хотите просто задавать путь для проверки как

/dir1/dir2/userdir

тогда он будет проверяться, а остальные, например. /dir1/dir2/userdir1, /dir1/dir2/userdir2, ..., /dir1/dir2/userdirN — нет.

 

Тем не менее, отвечая, непорсредственно на ваш вопрос, путь в исключениях должен выглядеть, например так:

qr{/dir1/dir2/(?!userdir)}

Сообщение было изменено Kirill Polubelov: 14 Март 2017 - 10:48

[ASCII]

Несмотря на то, что яне совсем понимаю, почему вы, исходя из ваших условий, не хотите просто задавать путь для проверки как

/dir1/dir2/userdir

Добрый день, подскажи в таком случае как в явном виде задать папку которую НУЖНО проверять?

 

А так же как понять что DrWeb корректно воспринимает регулярное выражение? Уже самые примитивные подсовывал, все равно не хочет исключать из пула полной проверки/выборочной.

 

Описана ли как то внутренними переменными такая сущность как "домашний каталог" (есть отдельный пункт в сканере, но не смог найти инфы о том как он описывается в DrWeb)

[Kirill Polubelov]

Добрый день, подскажи в таком случае как в явном виде задать папку которую НУЖНО проверять?

Ага, давайте тогда, начнём с самого начала.

Где (сканирование по расписанию, ручной запуск), чем (enterprise сканер, GUI) вы хотите сканировать.

Если предположить, что вы выбираете станцию, выбираете "выборочное сканирование", то, путь, где сканировать задаётся самым очевидным образом, учитывая лишь тот факт, что, конечно, же остальные галки, вида "сканировать все диски" и пр. надо снять.

 

А так же как понять что DrWeb корректно воспринимает регулярное выражение?

 

В логе сканера пишутся пути.

 

Уже самые примитивные подсовывал, все равно не хочет исключать из пула полной проверки/выборочной.

 

Так ИСКЛЮЧАТЬ или СКАНИРОВАТЬ?

 

И при полной проверке, на то она и полная, проверяется "не только лишь всё" ©

 

Описана ли как то внутренними переменными такая сущность как "домашний каталог" (есть отдельный пункт в сканере, но не смог найти инфы о том как он описывается в DrWeb)

 

Опять же, зависит, от способа запуска и что запускаете.

Запуск GUI сканера пользователем, да, сущность определена, в энтерпрайз сканере, запускаемом по расписанию или по команде из веб-интерфейса, домашним каталогом будет являться профиль системы, в лучшем случае.

[ASCII]

Ага, давайте тогда, начнём с самого начала.

Где (сканирование по расписанию, ручной запуск), чем (enterprise сканер, GUI) вы хотите сканировать.

Если предположить, что вы выбираете станцию, выбираете "выборочное сканирование", то, путь, где сканировать задаётся самым очевидным образом, учитывая лишь тот факт, что, конечно, же остальные галки, вида "сканировать все диски" и пр. надо снять.

Где - сканирование по расписанию.

Чем - ES.

В логе сканера пишутся пути.

Именно поэтому я и спрашиваю, как проверить что регулярка адекватно понимается ES. Т.к. в логах пути - которые не должны быть.

И при полной проверке, на то она и полная, проверяется "не только лишь всё" ©

Представьте что в системе есть папка неограниченного размера.

Что хотелось бы получить:

1. Никто не авторизован на ПК - эта папка не проверяется.

2. На Пк авторизован пользователь - проверяется ПОДПАПКА имя которой соответствует имени пользователя.

(т.к. реализация 2 пункта сложна - можно сделать что бы проверялись папки только часто сидящих пользователей. т.е.  НЕ проверять DIR, но проверять DIR/userDIR1, DIR/userDIR2, DIR/userDIR3. Поэтому и был вопрос "Как явно указать какую папку проверять")

 

Опять же, зависит, от способа запуска и что запускаете.

Запуск GUI сканера пользователем, да, сущность определена, в энтерпрайз сканере, запускаемом по расписанию или по команде из веб-интерфейса, домашним каталогом будет являться профиль системы, в лучшем случае.

В идеале GUI у пользователя максимально ограничен. Все задачи планируется ставить на ES.

[Kirill Polubelov]

Именно поэтому я и спрашиваю, как проверить что регулярка адекватно понимается ES. Т.к. в логах пути - которые не должны быть.

Включите подробный журнал Агента, через веб-интерфейс:

АВ-сеть - Группа/Станция - Агент Dr.Web - Журнал - Уровень детализации журнала Агента: Отладка.

Должно показывать, как "разворачивает" регэкспы. Хотя, в дефолтной трассировке, тоже может бвть (сам лог -- %ProgramData%\Doctor Web\Logs\dwservice.log)

 

но проверять DIR/userDIR1, DIR/userDIR2

Так и пишите в задании Действие "Сканер Dr.Web выборочное сканирование", убираете

 Проверять загрузочные секторы

Проверять автоматически запускаемые программы

Проверять загружаемые программы и модули

Проверять на наличие руткитов

Сканировать все стационарные диски

 

А в "Пути, выбранные для сканирования" ваши DIR/userDIR1, DIR/userDIR2 (жмёте на [+] и добавляете)

[ASCII]

Добрый день.

Давайте  начнем с начала.

Существует папка dir1, монтирование которой осуществляется по протоколу NFS. Внутри данной папки располагаются домашние каталоги пользователей, каждый из которых носит имя учетной записи пользователя (dir1/userDIR1, dir1/userDIR2 .. dir1/userDIRn). Сканирование на вирусы происходит согласно расписанию в ES.

Задача: необходимо, чтобы при авторизации того или иного пользователя, сканирование на вирусы происходило только в его домашнем каталоге, и не происходило сканирование каталогов других пользователей.

Например: User1 заходит на компьютер. Необходимо, чтобы Dr.WEB производил сканирование на вирусы все локальные папки на компьютере, а в примонтированной папке ТОЛЬКО домашний каталог ДАННОГО пользователя dir1/userDIR1, и ни в какие другие папки он не лез.

Примечание: Прописывать абсолютные пути на каждом компьютере — бессмысленно, т. к. пользователи к рабочим местам не привязаны. Компьютеры для пользователей взаимозаменяемы. Сегодня пользователь может работать на одном компьютере, завтра на другом.

 

 

PS.

АВ-сеть - Группа/Станция - Агент Dr.Web - Журнал - Уровень детализации журнала Агента: Отладка.

нет такого раздела

[Kirill Polubelov]

>> нет такого раздела

Для вашей версии, см. http://download.geo.drweb.com/pub/drweb/esuite/6.00/doc/HTML/admin-manual/ru/6_3.htm"Вкладка Отчёт"

[Kirill Polubelov]

Да, добрый день.

Давайте разбираться.

 

>> Существует папка dir1, монтирование которой осуществляется по протоколу NFS. Внутри данной папки располагаются домашние каталоги пользователей, каждый из которых носит имя учетной записи пользователя (dir1/userDIR1, dir1/userDIR2 .. dir1/userDIRn).

 

Это, вроде бы, понятно. То есть никаких линукс-сканеров. Обычная винда, юзер и net use шары?

 

>> Сканирование на вирусы происходит согласно расписанию в ES.

 

Вот здесь уже не совсем понятно, если прочитать чуть дальше. Сканирование по расписанию ведь никак не зависит от того, зашёл какой-то пользователь или нет.

Его привязать к входам-выходам вряд ли получится.

 

>> Задача: необходимо, чтобы при авторизации того или иного пользователя, сканирование на вирусы происходило только в его домашнем каталоге, и не происходило сканирование каталогов других пользователей.

>> Например: User1 заходит на компьютер. Необходимо, чтобы Dr.WEB производил сканирование на вирусы все локальные папки на компьютере, а в примонтированной папке ТОЛЬКО домашний каталог ДАННОГО пользователя dir1/userDIR1, и ни в какие другие папки он не лез.

 

SpIDer Guard (файловый монитор), в режиме реального времени, как мне кажется, уже делает именно то, что вы подразумеваете. Без лишних телодвижений.

В 10-й версии есть еще фоновое сканирование и превентивная защита в дополнение к сему.

 

То, что вы, непосредственно хотите, в точности реализовать, посредством сканирования по расписанию, не получится.

Во-первых, нет типа задания, которое бы выполнялось непосредственно при входе пользователя. В расписании Агента. во всяком случае.

Во-вторых сканер не запускается (по расписанию) от имени вошедшего пользователя, а от имени системы.

Как я понял, вы, тоже, так или иначе это понимаете, и пытаетесь, наугад, запускать сканирование по расписанию, и, посредством регэкспов, ограничить область сканирования.

И здесь главный вопрос, как, непосредственно, вы задаете домашний каталог пользователя? Видимо, в виде переменной, что-то вроде %USERPROFILE%? Скажу сразу, для сканера, запускаемого от системы, это не сработает, для него эта переменная не определена, или определена иначе, нежели для пользователя.

 

В общем, предлагаю, подняться в самое-самое начало и рассказать о целях, которые вы хотите, в итоге, достигнуть и, кстати, почему 6.0.4?

Сообщение было изменено Kirill Polubelov: 17 Апрель 2017 - 11:41

[ASCII]

Это, вроде бы, понятно. То есть никаких линукс-сканеров. Обычная винда, юзер и net use шары?

ПК пользователей - на debian 8.

SpIDer Guard (файловый монитор), в режиме реального времени, как мне кажется, уже делает именно то, что вы подразумеваете. Без лишних телодвижений.

\

попробуем.

Видимо, в виде переменной, что-то вроде %USERPROFILE%?

надеюсь что мпеременную $USER он воспримет адекватно =).

Спасибо, по результатам отпишусь.

[ASCII]

почему 6.0.4?

досталось в наследство.

[Kirill Polubelov]

ПК пользователей - на debian 8.

 

Ммм, "вечер перестаёт быть томным" ©

 

Это, на самом деле, всё меняет.

Получается Unix-агент на станциях?