网络文件共享 (NFS) 允许计算机通过网络与其他计算机共享目录和文件,它由两个主要部分组成:一个服务器以及一个或多个客户端。NFS 是一个客户端-服务器系统,但涉及的主机可能包含两端:通过网络共享文件系统(导出),以及从其他主机导入文件系统(安装)。 NFS 服务器托管文件和目录,任何访问这些文件和目录的计算机均视为 NFS 客户端。
McAfee VirusScan Enterprise for Linux (VSEL) 既可安装在 NFS 服务器上,也可安装在 NFS 客户端上。
NFS 导出
NFS 导出是指 NFS 服务器导出的可在客户端系统上导入或安装的任何目录。
以下是来自 NFS 服务器的 NFS 导出示例:
[root@testnfs ~]# cat /etc/exports
/root/testnfs *(rw)
/export *(rw,sync,no_root_squash)
VSEL 在 NFS 服务器上的运行原理
如果 VSEL 安装在充当 NFS 服务器的系统上,则会在本地文件系统上的文件打开或文件关闭呼叫期间扫描文件,但不会对远程 NFS 客户端针对 NFS 导出文件系统执行的任何写入操作进行扫描。所有来自于 NFS 导出文件系统的读取操作都会在读取访问过程中发出的文件打开呼叫期间接受扫描。
注意:当 VSEL 安装在 NFS 服务器而非 NFS 客户端上时,如果某个感染写入到了安装的共享中,NFS 客户端会将此感染写入到 NFS 服务器上导出的共享中。 如果 NFS 客户端从自身客户端缓存中访问数据(NFS 客户端上默认会启用缓存),而非从服务器中读取数据,则后续的读取操作可能不会触发检测。
VSEL 在 NFS 客户端上的运行原理
如果 VSEL 安装在充当 NFS 客户端的计算机上,则会在本地文件系统上的任何文件打开或文件关闭呼叫期间扫描文件。当从充当 NFS 客户端的远程计算机中访问文件时,VSEL 会在文件打开和文件关闭呼叫时进行文件扫描。
检测和隔离
如果 VSEL 安装在 NFS 客户端上,会在客户端上检测到写入 NFS 服务器时的检测项。
- VSEL 1.6:无法隔离来自远程系统的感染。
- VSEL 1.7 和 1.9:有关隔离来自远程系统被感染文件的信息,请参阅 KB73298。
