Невозможно заставить clmonacc отслеживать файловую систему Docker overlay2 с хоста виртуальной машины Linux.

Невозможно заставить clmonacc отслеживать файловую систему Docker overlay2 с хоста виртуальной машины Linux. ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Невозможно заставить clmonacc отслеживать файловую систему Docker overlay2 с хоста виртуальной машины Linux.

Цитата

Сообщение Anonymous » 11 ноя 2025, 22:10

Я пытался заставить сканер ClamAV при доступе clamonacc отслеживать файловую систему overlay2, где файловые системы контейнера Docker смонтированы на моей виртуальной машине Linux (Ubuntu 24.04), чтобы я мог обнаружить любое вредоносное ПО, проникающее в контейнер (например, через загруженное). Я пытаюсь сделать это, запустив clmonacc на хосте Linux. Запуск clamonacc в каждом контейнере потребует слишком много ресурсов (памяти), так как будет несколько (возможно, большое) работающих контейнеров, поэтому я не хочу делать это для каждого контейнера.
Что работает: если я изменю clamd.conf так, чтобы OnAccessMountPath указывал на /home/ (который является обычным каталогом на моей виртуальной машине хоста) и запустил

Код: Выделить всё

sudo clamonacc --move=

он работает так, как я ожидаю: он немедленно регистрируется как вредоносное ПО и перемещает тестовый файл вредоносного ПО eincar.txt, который я помещаю в любой из /home/ и его подкаталоги.
Что не работает: однако, если я укажу OnAccessMountPath на /var/lib/docker/overlay2, который содержит объединенная файловая система работающего Docker-контейнера в подкаталоге, расположенном на моей виртуальной машине по адресу

Код: Выделить всё

/var/lib/docker/overlay2//merged

он не обнаруживает eincar.txt Я копирую куда угодно в контейнер (я вижу eincar.txt, когда вставляю его в контейнер).
Может кто-нибудь сказать мне, почему это так? Я немного удивлен, что это не работает, поскольку для сравнения я могу настроить наблюдатель inotify (с помощью команды командной строки inotifywatch) на хосте виртуальной машины Linux для просмотра /var/lib/docker/overlay2/, и этот наблюдатель inotify с радостью обнаружит и сообщит о событиях, если я копирую/создаю/изменяю/удаляю любой файл в работающем контейнере. Я могу без проблем копировать файлы непосредственно в файловую систему контейнера с хоста виртуальной машины, используя путь /var/lib/docker/overlay2//merged (также редактировать, удалять, перемещать их и т. д.).
Почему clamonacc не работает с хоста виртуальной машины Linux в этой файловой системе наложения Docker, тогда как inotify работает, и как это исправить? Есть ли какое-то значение конфигурации, которое я пропустил в clamd.conf?
Буду очень благодарен за любую помощь.
Томас

Подробнее здесь: https://stackoverflow.com/questions/798 ... ux-vm-host

1762888241

Anonymous

Я пытался заставить сканер ClamAV при доступе clamonacc отслеживать файловую систему overlay2, где файловые системы контейнера Docker смонтированы на моей виртуальной машине Linux (Ubuntu 24.04), чтобы я мог обнаружить любое вредоносное ПО, проникающее в контейнер (например, через загруженное). Я пытаюсь сделать это, запустив clmonacc на хосте Linux. Запуск clamonacc в каждом контейнере потребует слишком много ресурсов (памяти), так как будет несколько (возможно, большое) работающих контейнеров, поэтому я не хочу делать это для каждого контейнера.
Что работает: если я изменю clamd.conf так, чтобы OnAccessMountPath указывал на /home/ (который является обычным каталогом на моей виртуальной машине хоста) и запустил
[code]sudo clamonacc --move=[/code]
он работает так, как я ожидаю: он немедленно регистрируется как вредоносное ПО и перемещает тестовый файл вредоносного ПО eincar.txt, который я помещаю в любой из /home/ и его подкаталоги.
Что не работает: однако, если я укажу OnAccessMountPath на /var/lib/docker/overlay2, который содержит объединенная файловая система работающего Docker-контейнера в подкаталоге, расположенном на моей виртуальной машине по адресу
[code]/var/lib/docker/overlay2//merged[/code]
он не обнаруживает eincar.txt Я копирую куда угодно в контейнер (я вижу eincar.txt, когда вставляю его в контейнер).
Может кто-нибудь сказать мне, почему это так? Я немного удивлен, что это не работает, поскольку для сравнения я могу настроить наблюдатель inotify (с помощью команды командной строки inotifywatch) на хосте виртуальной машины Linux для просмотра /var/lib/docker/overlay2/, и этот наблюдатель inotify с радостью обнаружит и сообщит о событиях, если я копирую/создаю/изменяю/удаляю любой файл в работающем контейнере. Я могу без проблем копировать файлы непосредственно в файловую систему контейнера с хоста виртуальной машины, используя путь /var/lib/docker/overlay2//merged (также редактировать, удалять, перемещать их и т. д.).
Почему clamonacc не работает с хоста виртуальной машины Linux в этой файловой системе наложения Docker, тогда как inotify работает, и как это исправить? Есть ли какое-то значение конфигурации, которое я пропустил в clamd.conf?
Буду очень благодарен за любую помощь.
Томас 

Подробнее здесь: [url]https://stackoverflow.com/questions/79817022/cant-get-clamonacc-monitoring-of-docker-overlay2-file-system-from-linux-vm-host[/url]