この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは。大阪オフィスの林です。
今回は、F-Secure PSBで管理されているAmazon Linux 2のリアルタイムスキャンの検証をしていきます。Amazon Linux 2へのLinux Protectionインストール方法や、F-Secure PSBで管理できるLinux Protectionの設定一覧は下記をご参照頂ければと思います。
環境
- Amazon Linux 2
- ami-0cc75a8978fbbc969
- F-Secure
- F-Secure PSB Server Protection Premium v20.3
- F-Secure Linux Security v12.0.191
やってみた
デフォルト設定だとリアルタイムスキャンは動きません!
F-Secure PSB管理下のLinuxProtectionのデフォルト設定ではリアルタイムスキャンが動作しません。デフォルトのプロフィールを見てみるとリアルタイムスキャンの設定が有効
になっているので一見動作してくれそうですが動きません。
理由は「スキャンするファイルとフォルダ」の設定が空のためです。
試しに、デフォルトの設定のままeicar
を使ったリアルタイムスキャンの動作を見てみます。
[ec2-user@ip-10-2-2-213 work]$ wget https://secure.eicar.org/eicar.com
(省略)
2020-08-30 13:33:32 (9.08 MB/s) - ‘eicar.com’ saved [68/68]
今回の検証ではマルウェア検知時の動作として削除する
というアクションを設定しているのですが、ダウンロードしたテスト用のウイルスファイルがそのまま残っていて、リアルタイムスキャンが動いていないことがわかります。
[ec2-user@ip-10-2-2-213 work]$ ll
total 4
-rw-rw-r-- 1 ec2-user ec2-user 68 Jul 1 19:34 eicar.com
設定してみる
それでは「スキャンするファイルとフォルダ」の設定をいれてから動作を見ていきたいと思います。今回の検証ではスキャンするファイルとフォルダの設定に / (ルートディレクトリ)
をいれ、動作を見ていきます。
同じようにeicar
を使ってリアルタイムスキャンの動作を見てみます。
[ec2-user@ip-10-2-2-213 work]$ wget https://secure.eicar.org/eicar.com
(省略)
2020-08-30 13:41:56 (9.51 MB/s) - ‘eicar.com’ saved [68/68]
マルウェア検知時の動作として削除する
というアクションを設定しているので、ダウンロードした直後にテスト用のウイルスファイルが削除され、リアルタイムスキャンが動作したことがわかります。
[ec2-user@ip-10-2-2-213 work]$ ll
total 0
[ec2-user@ip-10-2-2-213 work]$
F-Secure PSBの管理ポータルからイベントログを確認してみます。ソースが「ウイルスのリアルタイムスキャン」でイベントが記録されていることがわかります。
サーバ側での設定確認方法
管理対象サーバでリアルタイムスキャンの設定を確認する場合は下記のコマンドで現在割り当てられている設定を確認することができます。F-Secure PSBの管理ポータルで割り当てた設定がサーバ側に反映されているかどうかの確認にも使うことができます。
[ec2-user@ip-10-2-2-213 work]$ sudo /opt/f-secure/linuxsecurity/bin/lsctl get oas
{
"actions": {
"malware": "remove",
"pua": "none",
"suspected": "none"
},
"archive_max_nested": 5,
"block_archive_max_nested": false,
"block_encrypted_archives": false,
"detect_pua": true,
"enabled": true,
"exclude_paths": [],
"include_paths": [
"/"
],
"scan_archives": false,
"scan_only_executables": false
}
まとめ
デフォルトのプロフィールのままではリアルタイムスキャンが動作しないといった点は少し注意が必要ですが、設定自体は簡単でリアルタイムスキャンを行えることがわかりました。ログもF-Secure PSBの管理ポータルから確認できるため、集中管理といった観点でも効率的な運用が出来そうです。
以上、大阪オフィスの林がお送りしました!