Linux-Scan-Ausschlüsse

Sie können Scan-Ausschlüsse für Linux-Server hinzufügen.

Wenn Sie globale Scan-Ausschlüsse einrichten, schließen wir diese Dateien und Ordner vom Scannen für alle Ihre Benutzer und deren Geräte aus.

Mit einer Server Threat Protection-Richtlinie können Sie Dateien oder Ordner für bestimmte Server ausschließen. Siehe Threat Protection-Richtlinie für Server.

Da das Hinzufügen von Ausschlüssen Ihren Schutz verringert, empfehlen wir, Richtlinien für Benutzer und Geräte zu verwenden, bei denen der Ausschluss erforderlich ist, anstatt die globale Option zu verwenden.

Sichere Verwendung von Scan-Ausschlüssen

Warnung

Denken Sie sorgfältig nach, bevor Sie Scan-Ausschlüsse hinzufügen, weil sich Ihr Schutz dadurch verringern kann.

Seien Sie vorsichtig, wenn Sie Scan-Ausschlüsse einrichten, da Sie das Risiko für Ihre Systeme erhöhen und den Schutz verringern können.

Machen Sie Ihre Scan-Ausschlüsse so spezifisch wie möglich. Es ist riskant, den Ausschluss zu verallgemeinern, um mehr Dateien und Verzeichnisse abzudecken, als Sie benötigen.

Sie können ein bestimmtes Verzeichnis oder einer bestimmten Datei durch Angabe des vollständigen Pfads ausschließen. Um ein Verzeichnis und alle darunter liegenden Verzeichnisse und Dateien auszuschließen, fügen Sie einen Schrägstrich hinzu. Beispiel:

/mnt/hgfs/excluded schließt alle Dateien mit dem Namen excluded an jedem beliebigen Speicherort aus.
/mnt/hgfs/excluded/ schließt das Verzeichnis excluded und alle darunter liegenden Verzeichnisse und Dateien im Dateisystem aus.

Wir empfehlen Ihnen, diesen Ausschlusstyp so spezifisch wie möglich zu gestalten.

Sie können ein Verzeichnis oder eine Datei an einem beliebigen Speicherort ausschließen. Beispiel:

*/excluded schließt alle Dateien mit dem Namen excluded an jedem beliebigen Speicherort aus.
*/excluded/* schließt das Verzeichnis excluded an jedem beliebigen Speicherort und alle darunter liegenden Verzeichnisse und Dateien im Dateisystem aus.

Wir empfehlen Ihnen, diesen Ausschlusstyp so spezifisch wie möglich zu gestalten.

Server Protection for Linux

Warnung

Server Protection for Linux kann einige Ausschlüsse falsch interpretieren, wenn Sie keine erforderlichen Platzhalter am Anfang oder Ende des ausgeschlossenen Pfades einfügen. Dies kann dazu führen, dass Sie mehr oder weniger ausschließen, als Sie beabsichtigt haben.

Sie müssen die Ausschlüsse sorgfältig angeben und so spezifisch wie möglich sein.

Wir haben einige konkrete Beispiele für Server Protection for Linux (SPL) bereitgestellt. Befolgen Sie diese Beispiele, um Ihre Ausschlüsse so zu definieren, dass SPL sie richtig interpretiert.

Ausschlüsse werden gescannt

Sie können die Ausschlüsse in dieser Tabelle zum Scannen von Ausschlüssen und erlaubten Anwendungen verwenden.

Wenn Sie Platzhalter in Ihrem Pfad verwenden möchten, sehen Sie sich die Beispiele für Pfad und Verzeichnis in dieser Tabelle an.

Typ	Ausschluss
Absoluter Pfad zur Datei	`/foo/bar/file.name` Schließt die genannte Datei aus. Beispiel: `/foo/bar/eicar.com`.
Absoluter Pfad zum Verzeichnis	`/foo/bar/` Schließt alles im genannten Verzeichnis und darunter aus. Seien Sie vorsichtig, wenn Sie diesen Ausschlusstyp verwenden, da dies Ihren Schutz verringert. Wir empfehlen Ihnen, diesen Ausschlusstyp so spezifisch wie möglich zu gestalten. Verwenden Sie ihn nicht, um übergeordnete Verzeichnisse auszuschließen.
Dateiname	`file.name` Schließt Dateien mit diesem Namen in einem beliebigen Verzeichnis aus. Dies bezieht sich auf das gesamte Dateisystem und ist nicht spezifisch für einen Speicherort. Beispiel: `eicar.com` Schließt `/foo/eicar.com`, `/foo/bar/eicar.com` und `/baz/eicar.com` aus.
Relativer Pfad zu einer Datei	`bar/file.name` SPL: `*/bar/file.name` Schließt jeden Pfad aus, der mit dem genannten Verzeichnis und der genannten Datei endet. Dies bezieht sich auf das gesamte Dateisystem und ist nicht spezifisch für einen Speicherort. Beispiel: `bar/eicar.com` Schließt `/bar/eicar.com` und `/foo/bar/eicar.com`aus, jedoch nicht `/foo/eicar.com`.
Verzeichnisname	`bar/` SPL: `/bar/` Schließt alles unter einem Verzeichnis mit diesem Namen aus. Dies bezieht sich auf das gesamte Dateisystem und ist nicht spezifisch für einen Speicherort. Schließt `/foo/bar/`, `/bar/` und `/baz/foo/bar/` aus. Seien Sie vorsichtig, wenn Sie diesen Ausschlusstyp verwenden, da dies Ihren Schutz verringert. Wir empfehlen Ihnen, diesen Ausschlusstyp so spezifisch wie möglich zu gestalten. Verwenden Sie ihn nicht, um übergeordnete Verzeichnisse auszuschließen.
Relativer Pfad zu einem Verzeichnis	`foo/bar/` SPL: `/foo/bar/` Schließt jeden Pfad aus, der das genannte Verzeichnis enthält. Dies bezieht sich auf das gesamte Dateisystem und ist nicht spezifisch für einen Speicherort. Schließt `/foo/bar/` und `/baz/foo/bar/` aus. Seien Sie vorsichtig, wenn Sie diesen Ausschlusstyp verwenden, da dies Ihren Schutz verringert. Wir empfehlen Ihnen, diesen Ausschlusstyp so spezifisch wie möglich zu gestalten. Verwenden Sie ihn nicht, um übergeordnete Verzeichnisse auszuschließen.
Dateierweiterung	`.fileextension` Schließt jede Datei mit dieser Erweiterung in einem beliebigen Verzeichnis aus. Beispiel: `.com` Schließt `eicar.com` und `eicar.tmp.com` aus, jedoch nicht `eicar.co` oder `eicar.com.tmp`. Seien Sie vorsichtig, wenn Sie diesen Ausschlusstyp verwenden, da dies Ihren Schutz verringert. Wir empfehlen Ihnen, diesen Ausschlusstyp so spezifisch wie möglich zu gestalten.
Dateinamen-Präfix	`file nameprefix.` Beispiel: `eicar.` Schließt jede Datei mit diesem Dateinamen-Präfix in einem beliebigen Verzeichnis aus. Schließt `eicar.foo` aus, jedoch nicht `eicar`. Schließt auch `/foo/eicar.fileextension/bar`
Absoluter Pfad mit Dateinamenerweiterung	`/directory/.file nameextension` Schließt alle Dateien mit der genannten Erweiterung im genannten Verzeichnis aus. Beispiel: `/lib/.so` Schließt `/lib/bar.so` und `/lib/foo/bar.so` aus.
Absoluter Pfad mit Dateinamen-Präfix	`/directory/file nameprefix.` Schließt alle Dateien mit dem genannten Präfix im genannten Verzeichnis aus. Beispiel: `/lib/libz.` Schließt `/lib/libz.so` und `/lib/libz.so.1` aus. Schließt auch `/tmp/libz.foo/bar.so`
Absoluter Pfad mit dem Suffix des Verzeichnisnamens	`/directory/.directorynamesuffix/` SPL: `/directory/.directorynamesuffix/` Schließt alle Verzeichnisse mit dem genannten Suffix unter dem genannten aus. Beispiel: `/lib/.so/` SPL-Beispiel: `/lib/.so/` Schließt `/lib/foo.so/bar` und `/lib/foo/bar.so/baz` aus
Absoluter Pfad mit dem Präfix des Verzeichnisnamens	`/directory/directorynameprefix./` SPL: `/directory/directorynameprefix./` Schließt alle Verzeichnisse mit dem genannten Präfix unter dem genannten Pfad aus. Beispiel: `/lib/libz./` SPL-Beispiel: `/lib/libz./` Schließt `/lib/libz.so/foo` und `/lib/libz.so.1/bar` aus.
Absoluter Pfad mit Zeichen-Suffix	`/directory/file.?` Schließt alle Dateien mit dem genannten Dateinamen und genannten Zeichen-Suffix unter dem genannten Verzeichnis aus. Beispiel: `/var/log/syslog.?` Schließt `/var/log/syslog.0` und `/var/log/syslog.1` aus. Schließt `/var/log/syslog.10` nicht aus.
Platzhalter-Pfad	`/directory//file.name` Schließt alle Dateien mit dem genannten Dateinamen aus, die dem genannten Verzeichnis und dem Platzhaltermuster entsprechen. Beispiel: `/home//eicar.com`

Beispiele

Hier sind einige Beispiele für Ausschlussausdrücke.

Ausdruck	Ausgeschlossene Objekte
`*/data/report`	Eine Datei mit dem Namen `report` in einem Verzeichnis mit dem Namen `data` an einem beliebigen Speicherort
`*.txt`	Jede Datei, deren Name mit `.txt` endet, an einem beliebigen Speicherort
`/mnt/hgfs/data/*.txt`	Jede Datei, deren Name mit `.txt` endet im Verzeichnis`/mnt/hgfs/data/`
`*/report??2020`	Jede Datei, deren Name mit `report` beginnt, gefolgt von zwei Zeichen, und mit `2020` endet, an einem beliebigen Speicherort
`/report20??/`	Jedes Verzeichnis an einem beliebigen Speicherort, dessen Name mit `report20` beginnt und mit zwei beliebigen Zeichen endet, sowie alle Verzeichnisse und Dateien darunter

Befehlszeilen-Ausschlüsse

Sie können die in dieser Tabelle aufgeführten Ausschlüsse in der Befehlszeile verwenden.

Diese Ausschlüsse beziehen sich alle auf das aktuelle Arbeitsverzeichnis.

Typ Ausschluss

Datei im aktuellen Verzeichnis.

./file.name

Schließt die genannte Datei im aktuellen Verzeichnis aus.

./eicar.com

$PWD/eicar.com

Dies entspricht beispielsweise /home/pair/eicar.com.

Unterverzeichnis des aktuellen Arbeitsverzeichnisses

./directory

Schließt das genannte Unterverzeichnis aus.

./foo/

$PWD/foo/

Pfad zur Datei aus dem aktuellen Arbeitsverzeichnis

./directory/file.name

Schließt die genannte Datei nur auf dem genannten Pfad aus.

/.foo/eicar.com

$PWD/foo/eicar.com

Relativer Pfad aus dem aktuellen Arbeitsverzeichnis

../directory/

Schließt das genannte Verzeichnis aus

../foo/

$PWD/../foo

Dies entspricht beispielsweise /home/pair/../foo.

Weitere Ressourcen