それなりに適当にやってます

なんとなくそれっぽいメモとか備忘録とか適当に。 2018年5月にブログ移転しました。 古い記事は未整理です。

Sophos Antivirus for Linux のメモ

仕事で幾つか質問されたのでメモ

Q1. Sophosで"eicar"が駆除出来ない

そもそも eicar はテスト用で害がないのでSophosの駆除対象ではない(と思われる)対象としては検知するし、他のオプションは正常に動作しているので問題ないと思う。

# cd /tmp# savscan ./eicar.com --quarantine -rename# mkdir sandbox# savscan ./eicar.com -move=/tmp/sandbox# ls /tmp/sandboxeicar.com  # savscan ./sandbox/eicar.com -remove--quarantine: パーミッションを 400 へ変更-rename: 拡張子変更-remove: 削除-di: 駆除  #<-検知はするが eicar は駆除対象外-move=/tmp: 隔離
Q2. メールのホスト名が localhost.localdomain になる。

sophosから届くメールが "localhost.localdomain" になるのは、/etc/hosts の 127.0.0.1 行にホスト名を書いている事が原因、127.0.0.1 のとこに書くのをやめるか、hostname.localdomin などの記述に修正すれば直る。

Q3. スケジュールスキャン時のCPU負荷率が高い(仮想/1vcpu)

"cpulimit" か "cgroup" で制限すればなんとかなるかも??(未確認)

# yum --enablerepo=epel install cpulimit# savscan〜# nohup cpulimit -z -p <pid> -i -l 25 &

コマンドオプション

# cpulimit Error: You must specify a cpu limit percentage  Usage: cpulimit [OPTIONS...] TARGET     OPTIONS      -l, --limit=N          percentage of cpu allowed from 0 to 400 (required)      -v, --verbose          show control statistics      -z, --lazy             exit if there is no target process, or if it dies      -i, --include-children limit also the children processes      -h, --help             display this help and exit   TARGET must be exactly one of these:      -p, --pid=N            pid of the process (implies -z)      -e, --exe=FILE         name of the executable program file or path name      COMMAND [ARGS]         run this command and limit it (implies -z)Report bugs to <marlonx80@hotmail.com>.  

実装としてはSIGSTOPとSIGCONTでプロセスの停止/再開でうんたん。シンプル・・・
https://github.com/opsengine/cpulimit

Q4. SophosオンラインスキャンでJavaアプリが遅い

アーカイブスキャンを外す。展開された時点でスキャンされるので、通常なら有効にする必要はないとのこと。

Sophos Anti-Virus for Linux: Performance issues running Java application servers
https://www.sophos.com/en-us/support/knowledgebase/118988.aspx

以上