Я внедряю антивирусное решение для Linux с демоном ClamAV, работающим в режиме On-Access, наблюдая за созданными / открытыми файлами на предмет наличия вредоносного контента в хост-системе И в контейнерах докеров, работающих на хосте. Какие ограничения я обнаружил до сих пор:
OnAccessMountPath
директива в конфигурации ClamAV/
и Clamav выйдет с ошибкой:clamd: ERROR: ScanOnAccess: Not including path '/' while DDD is enabled
clamd: ERROR: ScanOnAccess: Please use the OnAccessMountPath option to watch '/'
Чтобы использовать OnAccessPrevention, вам необходимо использовать OnAccessIncludePath (inotify) вместо OnAccessMountPath (fanotify).
Пока что я запустил два демона ClamAV как описанный в этом SO-ответе: один для /var/lib/docker
в inotify
Режим - OnAccessIncludePath
директива в конфигурации и еще одна для /
в fanotify
Режим - OnAccessMountPath
директива в конфигурации
Могу ли я запустить только один демон для всего хоста, который будет сканировать и распечатывать уведомления при обнаружении файла maliciuos?
Ссылки: