Ha valaki ki akarja próbálni az azonnali ellenőrzést egy kis segítség:

Feltétel, hogy a kernel verziója egyenlő vagy nagyobb legyen, mint 3.8 és az ún. fanotify lehetőség a kernelbe legyen fordítva, ami a cat /boot/config-<kernel_version> | grep FANOTIFY paranccsal ellenőrizhető. Ez nálam, a v3-nál így néz ki és az eredmény:
root@omv:~# cat /boot/config-4.9.0-0.bpo.2-amd64 | grep FANOTIFY
CONFIG_FANOTIFY=y
CONFIG_FANOTIFY_ACCESS_PERMISSIONS=y

A funkció eléréséhez a plugin extra opciójába kell írni a parancsokat, felejtsük el a config fájl babrálását, ez így biztosabb.

ScanOnAccess yes
OnAccessIncludePath /srv/dev-disk-by-label-Downloads
OnAccessPrevention yes
OnAccessExtraScanning yes

Az első parancs a funkció engedélyezése, a második hogy hol végezze az ellenőrzést (az alkönyvtárakban is keres). A harmadik parancs elméletileg egyből blokkolja az ellenőrzött fájl eseményeit. A szöveges teszt fájlnál nem volt mit blokkolni. Az utolsó parancs pedig az újonnan létrehozott, áthelyezett vagy átnevezett fájloknál is elvégzi a vizsgálatot.

Hogy láthassak is valamit engedélyeztem az OMV Értesítés funkciót és például ahogy átmásoltam az adott könyvtárba a teszt fájlt, azonnal jött az e-mail figyelmeztetés:
"A virus has been detected: /srv/dev-disk-by-label-Downloads/Downloads/incomplete/Teszt.txt

Your faithful employee,
ClamAV"

A blog alapján további funkciókkal is bővíthető a keresés, elég jól testre szabható. Minden további ötlet, kiegészítés jól jön. Az eredmény biztató.

[ Szerkesztve ]