vscand - vscan サービスデーモン
/usr/lib/vscan/vscand
vscand は、ファイルのオープン/クローズ処理時にファイルシステムからのウィルススキャン要求を処理するデーモンです。ファイルシステムによっては、そのファイルシステムの管理コマンド (zfs(1M) など) を使用してウィルススキャンの有効化や無効化をデータセット単位で行える場合があります。
ファイル状態またはスキャンポリシー (vscanadm(1M) を参照) からファイルのスキャンが要求された場合、vscand は ICAP (Internet Content Adaptation Protocol、RFC 3507) を使用して他社製の外部ウィルススキャナ (スキャンエンジン) と通信し、そのファイルをスキャンします。
ファイルがスキャンエンジンに送られるのは、そのファイルが前回のスキャン後に変更された場合と、そのファイルがまだ最新のスキャンエンジン構成 (ウィルス定義) に基づいてスキャンされていない場合です。この情報の格納先として、ファイルの modified 属性と scanstamp 属性が使用されます。ファイルのスキャンが完了すると、modified 属性はクリアされ、scanstamp 属性は更新されます。
ファイルにウィルスが含まれることが判明した場合、ウィルスの情報が syslogd(1M) に記録され、監査レコードが書き込まれ、そのファイルは (quarantine 属性の設定によって) 隔離されます。ファイルが隔離されると、そのファイルの読み取り、実行、または名前変更の試みがファイルシステムによって拒否されます。syslogd(1M) エントリと監査レコードには、感染したファイルの名前とそのファイル内で検出された違反の情報が記録されています。各違反は「ID - 脅威の説明」として指定されますが、この ID と脅威の説明については、ICAP RFC 3507 の拡張 X-Infection-Found-Header 内で定義されています。
デフォルトでは、vscand はポート 1344 上でスキャンエンジンに接続します。ポートなどのサービス構成パラメータを構成するには、vscanadm(1M) を使用します。
vscan サービスは、デフォルトでは無効になっていますが、svcadm(1M) を使用すると有効化できます。
次の終了ステータスが返されます。
デーモンが正常に起動されました。
デーモンの起動に失敗しました。
属性についての詳細は、マニュアルページの attributes(5) を参照してください。
|
ps(1)、svcs(1)、logadm(1M)、svcadm(1M)、syslogd(1M)、vscanadm(1M)、zfs(1M)、attributes(5)、smf(5)
ファイルへのアクセス時に、NFSv3 のような、ファイルシステムのオープン/クローズ処理を呼び出さないプロトコルが使用された場合、そのファイルではウィルススキャンは起動されません。
ファイルの内容は「平文」データとしてスキャンエンジンに転送されます。
有効化、無効化、または再起動要求など、vscan サービスに関する管理操作は、svcadm(1M) を使用して実行できます。vscan サービスのステータスを照会するには、svcs(1) コマンドを使用します。
vscan サービスは、サービス管理機能 smf(5) によって、次のサービス識別子として管理されます。
svc:/system/filesystem/vscan