5.3.2. Установка и настройка
Установка libesets_pac.soвыполняется при помощи стандартного механизма установки
предварительно загружаемых библиотек. Необходимо только определить переменную среды
LD_PRELOAD и полный путь к библиотеке libesets_pac.so. Для получения дополнительных
сведений обратитесь к страницам руководства, посвященным ld.so(
.
ВАЖНО.Необходимо отметить, что переменная среды LD_PRELOAD должна быть определена
только для тех процессов демона сетевых серверов (ftp, samba и т. д.), которые требуется
контролировать при помощи сканирования по доступу. Обычно предварительная загрузка
вызовов LIBC во все процессы операционной системы не рекомендуется, так как это может
значительно снизить производительность системы или даже привести к ее зависанию. В этой
связи не должны применяться механизмы, использующие файл конфигурации etc/ld.so.preload,
а также выполняющие глобальный экспорт переменной среды LD_PRELOAD. Эти механизмы
будут переопределять все соответствующие вызовы LIBC во всей системе, что может привести
к зависанию системы во время инициализации.
Таким образом, для перехвата только необходимых вызовов доступа к файлам, относящихся
только к объектам в выбранной области файловой системы, необходимо переопределить
исполняемый оператор соответствующего сервера сетевой файловой системы при помощи
следующей строки:
LD_PRELOAD=/path/to/libesets_pac.so COMMAND COMMAND-ARGUMENTS
где COMMAND COMMAND-ARGUMENTS является исходным исполнимым оператором.
Прочитайте и измените разделы [global] и [pac] файла конфигурации ESETS. Обратите вни-мание, что для правильной работы сканирования по доступу необходимо определить
объекты файловой системы (каталоги и файлы), которые должны контролироваться пред-варительно загружаемой библиотекой. Это можно сделать определив параметры опций
настройки ctl_incl и ctl_excl в разделе [pac] файла конфигурации. Для повторного считывания
вновь созданной конфигурации перезагрузите демон ESETS.
5.3.3. Рекомендации
Чтобы обеспечить работу сканирования по доступу сразу после запуска сервера сетевой
файловой системы, желательно определить переменную среды LD_PRELOAD непосредственно
в скрипте инициализации соответствующего сетевого файлового сервера.
ПРИМЕР. Представим, что нам необходим сканер по доступу, перехватывающий все события
обращения к файловой системе сразу после запуска сервера Samba. В этом случае в скрипте
инициализации, относящемся к демону Samba (/etc/init.d/smb), следует заменить оператор
daemon /usr/sbin/smbd $SMBDOPTIONS
отвечающий за инициализацию демона smbd, следующей строкой
LD_PRELOAD=/path/to/libesets_pac.so daemon /usr/sbin/smbd $SMBD OPTIONS
Таким образом, выбранные объекты файловой системы, контролируемые со стороны Samba,
будут проверяться сразу после инициализации Samba, то есть во время запуска системы.
Тема: Настройка Eset File Security 4.0.10 на Ubuntu Server 14 (Прочитано 718 раз)
