Jump to content

Recommended Posts

Posted (edited)

Всем доброго дня! 

имеем:

Виртуальные машины под управлением Astra Linux SE 1.6 Smolensk с установленным Kaspersky Security для виртуальных сред 5.1 легкий агент для Linux. (5.1.44.514) 

Сервер интеграции поверх KSC 13.0.0.11247 под серверной виндой 

все сетевые настройки и порты - дефолтные, без конфликтов.

среда виртуализации - Варя 7.0.2

 

ситуация следующая:

При включённом файловом антивирусе (собственно, единственный модуль легкого агента для Linux) скорость аплода (только аплода) на примонтированные в /mnt/ CIFS/SMB сетевые шары (поднятые на другой вм под управлением Astra Linux, в целях эксперимента на ней полностью выключен Касперский легкий агент) падает с Nгбит/с до 1-2кбит/с, то есть становится околонулевой. 

В целях чистоты эксперимента единственной для каспера областью защиты в политике легкого агента указана пустая локальная временная папка /tmp/1/ . Отключены все методы проверки кроме неотключаемого сигнатурного анализа.
В основных параметрах защиты отключено все кроме неотключаемых объектов для обнаружения - вирусы, черви; троянские программы. В исключения прописан путь «/».

Файрвол UFW на вм отключён 

В логтрейсе легкого агента на виртуальной машине с уровнем 1000 все чисто.

При отключении файлового антивируса в политике легкого агента проблема моментально исчезает.

Edited by Lexus
Posted (edited)

Собственно, дело не в скорости, перед копированием каждого отдельного файла, независимо от его размера, процесс подвисает на ~30 секунд 

 

Edited by Lexus
Posted (edited)

В общем смена версии SMB оживила копирование. Но только копирование. 
Вернувшись к тому, где где всплыла эта проблема - бекапы постгри на внешнюю шару, теперь вместо подвисающего на несколько суток процесса копирования выскакивает ошибка доступа

Вероятно Каспер то ли прерывает доступ, то ли как-то влияет на атрибуты, когда натыкается на файл, который ему по факту даже не надо проверять. 
повторюсь, с выключенным файловым антивирусом все летает без проблем. 

NFO: Backup start, pg_probackup version: 2.5.5, instance: main, backup ID: RDXSBM, backup mode: FULL, wal mode: ARCHIVE, remote: false, compress-algorithm: none, compress-level: 1

INFO: wait for pg_start_backup()

ERROR: cannot rename file “/mnt/backup/…../backup.control.tmp” to “/mnt/backup/…../backup.control” Permission denied. 
 

Edited by Lexus
Posted (edited)
В 23.06.2022 в 13:40, Lexus сказал:

(5.1.44.514) 

Довольно багованная версия. Почему не 5.2?

В 23.06.2022 в 13:40, Lexus сказал:

В исключения прописан путь «/».

Путь у вас задан в исключения от сканирования, но не от перехвата со стороны антивируса.  

Edited by mike 1
Posted
5 часов назад, mike 1 сказал:

Довольно багованная версия. Почему не 5.2?

На момент развертывания на 5.2 отсутствовал сертификат фстэк. .514 это кусок сертифицированной версии 5.1.44.295

5 часов назад, mike 1 сказал:

Довольно багованная версия. Почему не 5.2?

Путь у вас задан в исключения от сканирования, но не от перехвата со стороны антивируса.  

В 23.06.2022 в 13:40, Lexus сказал:

В целях чистоты эксперимента единственной для каспера областью защиты в политике легкого агента указана пустая локальная временная папка /tmp/1/ .

Если это не исключает перехват по всем адресам кроме указанного, то как это возможно сделать ?

  • Solution
Posted
7 часов назад, Lexus сказал:

На момент развертывания на 5.2 отсутствовал сертификат фстэк.

Я бы рекомендовал переход на 5.2. Там логика работы исключений через политику другая. Насчет исключений: в легком агенте 5.1 и 5.2 есть два типа исключений. Все что вы задаете через политику в KSC является исключением 1 типа в клиенте 5.1. В клиенте 5.1 вы не можете задавать исключения 2 типа. Их можно задавать только вручную на каждом сервере. 

Цитата

«Исключение первого типа». 
Если добавить путь, который не является точкой монтирования, в список исключений fanotify_excludes.list, то файловые операции по данным путям будут перехватываться, но будут разрешены без выполнения сканирующей логики. В этом случае исключения для директорий необходимо указывать с символом "/" в конце пути ("/excluded/dir/").

Цитата

«Исключение второго типа».
Если добавить путь, который является точкой монтирования, в список исключений fanotify_excludes.list, то файловые операции по данным путям не будут перехватываться. В этом случае исключения для директорий необходимо указывать без символа "/" в конце пути ("/excluded/dir").
Данные исключения отличаются от исключений в политике Linux Light Agent тем, что они работают на более низком уровне, до сканирующей логики.

Цитата

Смонтированная директория должна быть представлена в исключениях. Если сделать точку монтирования /u01/backup, но внести в список исключений только /u01 ,то путь /u01/backup будет исключён из сканирования, но не будет исключён из перехвата, так как на директорию будет распространяться «исключение 1 типа» по пути /u01.

Чтобы добавить исключение 2 типа, нужно подготовить файл fanotify_excludes.list с исключениями и положить в папку /etc/opt/kaspersky/lightagent. После добавления файла необходимо перезапустить сервис легкого агента sudo systemctl restart lightagent. 

Posted

Ещё забыл написать, исключения 2 типа будут работать для сборки 5.1.44.517 и выше. 

Posted
7 часов назад, mike 1 сказал:

Ещё забыл написать, исключения 2 типа будут работать для сборки 5.1.44.517 и выше. 

Собственно, да, под .514 решение не работает.

Информация, которую вы привели, это из какой-то внутренней закрытой документации?
Не смог найти ничего похожего в открытых источниках 
 

Posted
2 часа назад, Lexus сказал:

Информация, которую вы привели, это из какой-то внутренней закрытой документации?

В какой-то степени. Эта информация была получена в процессе разбора работы исключений в лёгком агенте через Kaspersky Company Account.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...