Linux Security64(LS64)のチューニング/アーカイブファイルスキャンについて - F-Secure Community
<main> <article class="userContent"> <p> LS64は現在のウイルス対策のトレンドに最適化された形でアルゴリズム開発がなされ、ユーザが明示的に変更できる機能が制限されております。LS11シリーズではかなり細かなスキャン動作チューニングが可能でしたが、それはセキュリティの低下につながり、結果として弊社が提案するセキュリティ保護の観点とはかけ離れた運用状態となるケースが散見された事に起因します。例として、運用へのパフォーマンス影響を気にするあまり、CPU使用制限やタイムアウト短縮等をユーザが設定し、その結果スキャンスキップが頻発し、セキュリティリスクが増加する状態等です。その為、LS64でのスキャン動作のチューニングにおける制限については、ウイルスやコンピュータセキュリティのトレンド動向に応じた製品動作の設計の向上となる点をご理解いただけると幸いです。</p><p>また、LS64では最新のセキュリティ動向に対応する為、様々な検出ロジックの追加/向上が行われております。その為LS11.xxが稼働していた端末においてLS64への乗り換えを行った最、必要とするリソースが増加する可能性がございます。チューニングによる速度向上などが見込まない場合、端末パフォーマンスの向上についてもご検討ください。</p><p><br></p><p><br></p><p><strong>アーカイブスキャンのチューニング</strong></p><p>LS64ではLinux Security 11.xx シリーズと比較し、アーカイブファイルスキャンに利用されるアルゴリズムが変更されております。その為Linux Security11.xxとは異なるスキャン結果表示や、スキャン時間の変化が発生する可能性があります。これは、アルゴリズムの更新により、より深い階層のスキャンが可能となり、結果スキャンに必要な時間が増加する事に起因します。</p><p>LS11シリーズでご利用いただけていたスキャン時間制限の調整等は、LS64への搭載予定はありません。LS64への移行後にスキャン時間増加が運用に影響を及ぼすレベルである場合、「アーカイブファイル内の脅威」に基づき、「アーカイブファイルのスキャンの無効化」、「アーカイブをネスティングレベルまでスキャン」を少なくする事でスキャン時間短縮が図れます。それでもスキャン時間短縮が計れない場合や、アーカイブスキャンの無効化が採用できない場合、稼働サーバ自体の機能向上をご検討ください。</p><p><br></p><p>Policy Managerで下記の箇所を変更してください。</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032052/uploads/L2QKSQGRPVTQ/archive-png.png" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032052/uploads/L2QKSQGRPVTQ/archive-png.png" alt="Archive.PNG"></img></a> </div> </div> <p>-------------------------------------------------------------------------------------------------------------------------------------------------------</p><p><strong>アーカイブファイル内の脅威</strong></p><p>アーカイブファイルをスキャンする際、たとえファイル内にウイルスを発見したとしても、解凍/駆除/再圧縮を行う事がシステム負荷上、現実的ではない為、f-secure製品では脅威が検知されても駆除は行われません。F-Secure製品は、この点について該当ファイルが解凍された際、リアルタイムスキャンがファイルをスキャンする事により安全性を確保しています。</p><p>--------------------------------------------------------------------------------------------------------------------------------------------------------</p><p><br></p><p><strong>スキャン除外によるチューニング</strong></p><p>明らかに安全と思われるフォルダや、巨大なファイル(データベース)などについてはスキャンから除外する事でスキャン時間の短縮を図る事が可能です。</p><p>Policy Managerで下記の箇所を変更してください。</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032052/uploads/4FQXNSGWX65S/exclude-png.png" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032052/uploads/4FQXNSGWX65S/exclude-png.png" alt="Exclude.PNG"></img></a> </div> </div> <p><br></p><p>特定ファイルのスキャンにかかる時間の調査方法</p><p>Example:---</p><p>[root@cent08 ~]# time /opt/f-secure/linuxsecurity/bin/fsanalyze fspm-15.11.94088.exe</p><p>Engine versions: F-Secure Corporation Aquarius/18.0.687/2020-10-09_05 F-Secure Corporation Hydra/6.0.235/2020-10-09_02 F-Secure Corporation FMLib/17.0.607.475 (cf1875a)/2020-04-07_01 fsicapd/2.0.114</p><p><br></p><p>1 files scanned</p><p><br></p><p>real 0m5.177s</p><p>user 0m0.000s</p><p>sys 0m0.004s</p><p>------------</p><p><br></p><p><br></p><p><strong>セキュリティクラウド使用/不使用によるチューニング(リアルタイムスキャン/マニュアルスキャン)</strong></p><p>上記に加え、LS64はクラウドデータベースを常に参照し、パターンファイル更新よりも最新の脅威情報をスキャンに取り込みます。その為、一部ネットワーク(※)においてはこのインターネット接続がスキャンの遅延を招く事があります。マニュアルスキャン実行中以外の時間帯においてLS64の稼働率が高い場合、この機能を無効化する事で負荷を低減させる事ができます。</p><p>※高速ネットワークにおいては有効化をする事で逆にスキャン速度が向上する場合もあります。</p><p><br></p><p>Policy Managerで下記の箇所を変更してください。(この設定はリアルタイムスキャンカテゴリに位置しますが、マニュアルスキャンにも影響します。)</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032052/uploads/9TGIUYZRHF8D/realtime-png.png" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032052/uploads/9TGIUYZRHF8D/realtime-png.png" alt="Realtime.PNG"></img></a> </div> </div> <p></p><p><br></p><p><strong>パターンファイル更新タイミングの調整</strong></p><p>LS64はパターンファイル更新時間を短縮するため、多くのコンピュータリソースを利用して更新適用作業を実行します。その為、稼働サーバのピークタイムとパターンファイル更新適用タイミングが重なる場合、稼働サービスに影響が出る事が考えられます。Policy Managerでパターンファイルの適用適用タイミングをコントロールする事でこの事象を回避可能です。(当設定はパターンファイルに含まれる”コンポーネントアップデート”に対してのみ有効です。ウイルス定義等の低負荷でセキュリティ上必須の更新については即座に適用されます。)こちらの設定を行っていても、コンポーネントアップデートのリリース後、リリースの有効期限に達すると強制的に適用が行われます。</p><div class="embedExternal embedImage display-large float-none"> <div class="embedExternal-content"> <a class="embedImage-link" href="https://us.v-cdn.net/6032052/uploads/6MTSTIGDBQZH/image.png" rel="nofollow noreferrer noopener ugc" target="_blank"> <img class="embedImage-img" src="https://us.v-cdn.net/6032052/uploads/6MTSTIGDBQZH/image.png" alt="image.png"></img></a> </div> </div> <p><br></p><p>また、パターンファイルは約1週間以上(パターンファイルのリリース状況により可変)更新が無いと、次回更新で完全パターン更新を行います。普段は差分パターン更新である為、完全パターン更新が発生すると更新負荷が更に高くなります。パターンファイルは高頻度で更新されている為、なるべく短い間隔での更新をおすすめいたします。</p><p><br></p><p><strong>スキャンエンジンの更新によるパフォーマンス向上</strong></p><p>LS64はパターンファイル配信チャネルを通じて配信される、エンジン更新によりパフォーマンスの向上を図っております。LS64の機能でこれらのエンジン更新を特定Verに固定する事ができますが、エンジン更新によるパフォーマンス向上の恩恵を受けられない事態が予想されます。</p><p>最新のLS64バージョンリリース情報</p><p><a href="https://community.f-secure.com/en/discussion/117646/linux-security-64-change-log/" rel="nofollow noreferrer ugc">https://community.f-secure.com/en/discussion/117646/linux-security-64-change-log/</a></p> </article> </main>
