Linux 掃描排除項

您可以新增 Linux 伺服器的掃描排除項。

當您設定全域掃描排除項目時，我們會將這些檔案和資料夾排除在所有使用者及其裝置的掃描範圍之外。

如果您僅要在某些伺服器上排除檔案或資料夾，則可以使用伺服器威脅保護原則實現此目的。請參閱伺服器威脅防護策略。

新增排除項會降低您的防護，因此建議您使用原則來確定需要排除項的使用者和裝置，而不是使用此全域選項。

安全使用掃描排除項

警告

新增掃描排除項前務必謹慎，因為這樣做可能會降低防護。

設定掃描排除項時要小心，因爲您可能會增加系統風險並降低防護。

儘可能使掃描排除項更具體。過度濫用排除項目，涵蓋超出實際需求的檔案與目錄，是有風險的。

您可以按完整路徑排除特定目錄或檔案。若要排除目錄及其下面的所有目錄和檔案，請新增一個尾隨斜線。

範例

/mnt/hgfs/excluded 排除名為 excluded 的檔案或目錄，但不包括目錄中的檔案。
/mnt/hgfs/excluded/ 排除名爲 excluded 的目錄以及檔案系統中其下的所有目錄和檔案。

我們建議您儘可能具體地使用此排除項類型。

您可以排除任何位置中的目錄或檔案。

範例

*/excluded 排除位於任何位置的名為 excluded 的檔案或目錄，但不包括目錄內的檔案。
*/excluded/* 排除任何位置中名為excluded 的目錄，以及檔案系統中其下的所有目錄和檔案。

我們建議您儘可能具體地使用此排除項類型。

排除 Data Lake 事件

Sophos Central 對 Data Lake 排除項目的處理方式，與掃描排除項目不同。即使某個目錄已從掃描中排除，您仍可能會看到該目錄的 Data Lake 事件。

例如，針對 /mnt/hgfs/excluded/ 的排除設定，對於掃描排除與 Data Lake 排除會產生以下不同影響。

正在掃描：排除名爲 excluded 的目錄以及檔案系統中其下的所有目錄和檔案。
Data Lake：會排除檔案系統中名為 excluded 的目錄底下的所有目錄與檔案，但不包含該目錄本身。

在此範例中，若要讓 Data Lake 事件達到與掃描排除相同的效果，您必須設定以下排除項目：

/mnt/hgfs/excluded 將該目錄從 Data Lake 中排除。
將 /mnt/hgfs/excluded/* 之後 /mnt/hgfs/excluded 的所有目錄與檔案從 Data Lake 中排除。

Server Protection for Linux

警告

如果在排除路徑的開頭或結尾不包含任何必要的萬用字元，Server Protection for Linux 可能會誤解譯某些排除項。這可能會導致您排除的數量超過或低於預期。

您必須謹慎指定排除項，並盡可能明確。

若適用，我們已針對 Server Protection for Linux (SPL) 提供了具體範例。請按照以下範例定義排除項，以便 SPL 正確解譯這些排除項。

掃描排除項目

您可以使用此表中的排除項來進行掃描排除和允許應用程式。

如果要在路徑中使用萬用字元，請參閱此表格中的路徑和目錄範例。

類型	排除項
檔案的絕對路徑	`/foo/bar/file.name` 排除命名檔案。範例：`/foo/bar/eicar.com`。
目錄的絕對路徑	`/foo/bar/` 排除命名目錄及其下面目錄中的所有內容。使用此排除項類型時請小心，因為它們會降低對您的保護。我們建議您儘可能具體地使用此排除項類型。不要使用它來排除高層級目錄。
檔案名稱	`file.name` 排除任何目錄中具有此名稱的檔案。這會匹配檔案系統中的任何位置，並不特定於某個目錄。範例：`eicar.com` 排除 `/foo/eicar.com`、`/foo/bar/eicar.com` 和 `/baz/eicar.com`。
檔案的相對路徑	`bar/file.name` SPL：`*/bar/file.name` 排除以命名目錄和檔案結尾的任何路徑。這會匹配檔案系統中的任何位置，並不特定於某個目錄。範例：`bar/eicar.com` 排除 `/bar/eicar.com` 和 `/foo/bar/eicar.com`，但不排除 `/foo/eicar.com`。
目錄名稱	`bar/` SPL：`/bar/` 排除任何具有此名稱的目錄下的所有內容。這會匹配檔案系統中的任何位置，並不特定於某個目錄。排除 `/foo/bar/`、 `/bar/` 和 `/baz/foo/bar/`。使用此排除項類型時請小心，因為它們會降低對您的保護。我們建議您儘可能具體地使用此排除項類型。不要使用它來排除高層級目錄。
目錄的相對路徑	`foo/bar/` SPL：`/foo/bar/` 排除任何包含命名目錄的路徑。這會匹配檔案系統中的任何位置，並不特定於某個目錄。排除 `/foo/bar/` 和 `/baz/foo/bar/`。使用此排除項類型時請小心，因為它們會降低對您的保護。我們建議您儘可能具體地使用此排除項類型。不要使用它來排除高層級目錄。
副檔名	`.fileextension` 排除任何目錄中具有此副檔名的任何檔案。範例：`.com` 排除 `eicar.com` 和 `eicar.tmp.com`，但不排除 `eicar.co` 或 `eicar.com.tmp`。使用此排除項類型時請小心，因為它們會降低對您的保護。我們建議您儘可能具體地使用此排除項類型。
檔案名前置詞	`file nameprefix.` 範例：`eicar.` 排除任何目錄中具有此檔案名前置詞的任何檔案。排除 `eicar.foo` ，但不排除 `eicar`。此外，排除 `/foo/eicar.fileextension/bar`
具有檔案名副檔名的絕對路徑	`/directory/.file nameextension` 排除命名目錄下具有命名副檔名的任何檔案。範例：`/lib/.so` 排除 `/lib/bar.so` 和 `/lib/foo/bar.so`。
具有檔案名前置詞的絕對路徑	`/directory/file nameprefix.` 排除命名目錄下具有命名前置詞的任何檔案。範例：`/lib/libz.` 排除 `/lib/libz.so` 和 `/lib/libz.so.1`。此外，排除 `/tmp/libz.foo/bar.so`
具有目錄名尾碼的絕對路徑	`/directory/.directorynamesuffix/` SPL：`/directory/.directorynamesuffix/` 排除命名路徑下具有命名尾碼的任何目錄。範例：`/lib/.so/` SPL 範例：`/lib/.so/` 排除 `/lib/foo.so/bar` 和 `/lib/foo/bar.so/baz`。
具有目錄名前置詞的絕對路徑	`/directory/directorynameprefix./` SPL：`/directory/directorynameprefix./` 排除命名路徑下具有命名前置詞的任何目錄。範例：`/lib/libz./` SPL 範例：`/lib/libz./` 排除 `/lib/libz.so/foo` 和 `/lib/libz.so.1/bar`。
具有字元尾碼的絕對路徑	`/directory/file.?` 排除命名目錄下具有命名檔案名和命名字元尾碼的任何檔案。範例：`/var/log/syslog.?` 排除 `/var/log/syslog.0` 和 `/var/log/syslog.1`。不排除 `/var/log/syslog.10`。
萬用字元路徑	`/directory//file.name` 排除任何檔名符合指定目錄與萬用字元模式的檔案。範例：`/home//eicar.com`

範例

以下是一些排除表示式的範例。

表示式	排除的項目
`*/data/report`	在任何位置中的 `data` 目錄中名爲 `report` 的檔案
`*.txt`	在任何位置中，名稱以 `.txt` 結尾的任何檔案
`/mnt/hgfs/data/*.txt`	在 `/mnt/hgfs/data/` 目錄中，名稱以 `.txt` 結尾的任何檔案
`*/report??2020`	在任何位置中，名稱以 `report` 開頭，後面接著兩個字元，且以 `2020` 結尾的任何檔案
`/report20??/`	在任何位置中，名稱以 `report20` 開頭，並以兩個字元結尾的任何目錄，以及檔案系統中其下的所有目錄和檔案

命令行排除項

您可以在命令行上使用此表中顯示的排除項。

這些排除項都與目前工作目錄相關。

類型排除項

目前目錄中的檔案。

./file.name

排除目前目錄中的命名檔案。

./eicar.com

$PWD/eicar.com

例如，此項映射到 /home/pair/eicar.com。

./directory

排除命名子目錄。

./foo/

$PWD/foo/

從目前工作目錄到檔案的路徑

./directory/file.name

僅排除命名路徑上的命名檔案。

/.foo/eicar.com

$PWD/foo/eicar.com

目前工作目錄的相對路徑

../directory/

排除命名目錄

../foo/

$PWD/../foo

例如，此項映射到 /home/pair/../foo。