Ограничить ресурсы ClamAV при сканировании или альтернативном решении
Environment Centos 6 Cpanel 32 ГБ ОЗУ 512gb SSD drive / about half used
Took on managing a server and installed ClamAV. Used CRON to schedule a scan @ 1am. I notice that sites on the host stopped responding. Things like slow response to no database connection. I checked htop and saw high resource usage. Since it was so late I decided to let it run anticipating it would be done soon enough. Come to find it still running @ 9am in the morning and causing sporadic outages.
Looking for suggestions on a solution. Either a way to limit resource usage or an alternative to Clam AV
I'll elaborate in that this is a Cpanel server. The thread model is hacked wordpress sites and scanning .php files for infections. Which makes scanning worth while I'd think.
for i in `awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq`; do /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/$i 2>>/dev/null; done >> /root/infections&
This is the CRON job created to run ClamD. At first I realized that I had backups and Clamd scheduled at the same time. However after changing the time I get the same result.
Looking at htop there are several clamd processes running and it again maxes the server out.
CPanel support suggested removing the cron job. There is lots of talk about using the service instead but after reading everything I was confused even more.
Вы ничего не сказали нам о том, как вы сканируете файлы. То, что вы запускаете «запланированное» сканирование, скорее означает, что вы запускаете clamscan или clamdscan, но вы не показали нам код, который вы используете. Есть много-много плохих способов реализовать это и только несколько хороших. Даже с хорошими из них это может быть довольно ресурсоемким (может помочь правильное использование ionice и nice).
Если вы запустите свой антивирусный сканер для одного файла, он потратит огромное количество времени и загрузит дисковую полосу на загрузку отпечатка пальца. данные (затем очень короткое время проверки файла). Если вы используете clamscan, переключитесь на clamd + clamdscan.
Переключение на другой AV не решит проблему с вашей реализацией - IME sophos немного отличается от clamscan, хотя sophos также может быть настроен для работы в качестве демона, и агент может передавать ему файлы для проверки, но api не публикуется, и sophos не поставляет клиента.
Кроме того, существует очень мало вирусов для Linux (и ни одного в активном обращении). Не существует модели угроз, которую можно было бы решить с помощью планового сканирования.