Virenschutz verursacht stündliche Last auf LUNS

[chris1234]

Hallo zusammen,

wir haben 4 Esxi Hosts, verwaltet vom vcenter in der version 5.1.0.
Als Speicher benutzen wir 2 VNX5100 Storage. Es laufen 42 maschinen, insgesamt sind es über 50. Als Virenschutz nutzen wir Trend Micro Officescan 11.

Jetzt ist es so das bei jeder aktualisierung der Pattern Files die Latenz für Schreibvorgänge von 0-2 auf 2250 schießt. Dies passiert stündlich.
es ist bei jeder VM, die Werte unterscheinden sich aber es sind immer extreme Spitze zu sehen.

Da es ja am Virenschutz liegt, würde mich intressieren ob es bei euch auch so ist und welche Lösung es gibt.

Gruß Chris

[rprengel]

Hallo zusammen,

wir haben 4 Esxi Hosts, verwaltet vom vcenter in der version 5.1.0.
Als Speicher benutzen wir 2 VNX5100 Storage. Es laufen 42 maschinen, insgesamt sind es über 50. Als Virenschutz nutzen wir Trend Micro Officescan 11.

Jetzt ist es so das bei jeder aktualisierung der Pattern Files die Latenz für Schreibvorgänge von 0-2 auf 2250 schießt. Dies passiert stündlich.
es ist bei jeder VM, die Werte unterscheinden sich aber es sind immer extreme Spitze zu sehen.

Da es ja am Virenschutz liegt, würde mich intressieren ob es bei euch auch so ist und welche Lösung es gibt.

Gruß Chris

Wofür brauchts dunda einen Virenschutz?

[chris1234]

verstehe ich nicht

ich denke ich der heutigen Zeit, auf den Fileservern z.B. ist ein Virenschutz schon nötig.

Deshalb ja meine Frage wie macht ihr das ?

[rprengel]

verstehe ich nicht

ich denke ich der heutigen Zeit, auf den Fileservern z.B. ist ein Virenschutz schon nötig.

Deshalb ja meine Frage wie macht ihr das ?

Du scannst innerhalb der VMs oder scannst du die Storages auf den die Vmware-Files liegen?

[chris1234]

innerhalb der VM´s. Jede VM hat einen Virenscanenr installiert.

[Dayworker]

Die meisten AV-Hersteller hatten eigentlich auch immer eine Server-Lösung parat, damit man gerade nicht jede VM mit ihrem eigenen AV-Scanner ausbremsen muß.

[rprengel]

innerhalb der VM´s. Jede VM hat einen Virenscanenr installiert.

Dann wirst du deine Umgebung nue organisieren müssen.
- weniger VMs die einen Virenscanner benötigen
- anderer Virenscanner
- Lastintensive VMs besser auf die Hosts verteilen
- schnellere hardware die das Problem durch brutale Kraft einfach löst

Vorschlag:
Ein Linux-Filesever und Virenscanner an allen Endgeräten.
Das sollte reichen.

Gruss

[kastlr]

Hallo zusammen,

dass Problem ist ja nicht der Virusscan im allgemeinen, sondern dass alle Virenscanner zeitgleich ihre Patternfiles downloaden und schreiben wollen.
Dadurch entsteht eine kurzfristige und überdurchschnittliche Schreiblast auf den verwendeten LUN's.

Die hier bisher diskutierten Lösungen greifen daher nicht, denn es ist ja wohl unstrittig, dass heutzutage jedes System über einen Virenscanner verfügen sollte.

Ich vermute mal, dass in eurer Umgebung mindestens eines der unten aufgeführten Scenarios auftritt

• der Write Cache der beiden VNXen wird durch die vielen Write geflutet
• die ESXi LUNs liegen im niedrigsten Storage Tier oder es kommen nur wenige SSDs zum Einsatz
• den ESXi Servern wurden nur wenige LUNs zur Verfügung gestellt
• die HBA Queues zu den LUN's laufen voll
• die verwendete AV Lösung kann nicht so konfiguriert werden, dass entweder ein (leicht) zeitversetzter oder ein Gruppenupdate der Patternfiles möglich ist.

Die Frage ist nun eher, beeinträchtigt diese kurzfristige Last das Arbeiten so massiv, dass weitere Massnahmen erforderlich sind.

Gruß,
Ralf

[rprengel]

Hallo zusammen,



Die hier bisher diskutierten Lösungen greifen daher nicht, denn es ist ja wohl unstrittig, dass heutzutage jedes System über einen Virenscanner verfügen sollte.

Hallo,
Windows-Systeme siche ja aber Linux und Unix eher nein wenn das Netz sauber aufgesetzt ist.

Gruss

[kastlr]

Na ja,

ich stimme ja gerne zu, dass Probleme mit Viren auf Windows Maschinen weit häufiger auftreten als in der Linux/Unix Welt.

Allerdings ist auch dort die Gefahr real, und daher wäre es aus meiner Sicht schon grob fahrlässig (wenn nicht sogar vorsätzlich) diesen Bereich ungeschützt zu lassen.
Denn bei einem Virenbefall ist die Antwort, unter Linux/Unix keinen Virenschutz zu benötigen sicherlich nicht förderlich für die weitere Karriere in seiner Firma.

Gruß,
Ralf

[rprengel]

Na ja,

ich stimme ja gerne zu, dass Probleme mit Viren auf Windows Maschinen weit häufiger auftreten als in der Linux/Unix Welt.

Allerdings ist auch dort die Gefahr real, und daher wäre es aus meiner Sicht schon grob fahrlässig (wenn nicht sogar vorsätzlich) diesen Bereich ungeschützt zu lassen.
Denn bei einem Virenbefall ist die Antwort, unter Linux/Unix keinen Virenschutz zu benötigen sicherlich nicht förderlich für die weitere Karriere in seiner Firma.

Gruß,
Ralf

Es gibt keine aktiven Viren für Linux. Das Problem sind immer samba-shares über die sich Windows-Systeme vereuchte Dateien ziehen.
Die bekommen sie aber auch auf anderem Wege wie Mails oder USB-Sticks.
Wenn du ein Linux-System verlierst hast du grössere Probleme als Viren. Dann hat jemand über ein Exploit das System komplett übernommen und wenn der Angreifer das nicht will merkst du es noch nicht einmal sofern das System nicht richtig hart abgesichert ist und der Admin richtig gut ist.
Klar spricht nichts dagegen einen Virenscanner auf Linux-Systemen mit laufen zu lassen aber die Überlegungen sind für Linux-Systeme nicht zielführend.

Gruss

[~thc]

Es gibt keine aktiven Viren für Linux.

Das möchte ich ein bisschen relativieren. Hunderttausende Betroffene, die sich Schadsoftware für Android eingefangen haben und die Besitzer von hunderttausenden von IoT-Geräten, die zum Mirai-Botnetz gehören, würden sich wünschen, dem wäre wirklich so.

Ich denke, du meinst Viren für Desktop-Linuxe - und da hast du Recht. Durch die große Heterogenität der Distributionen ist es kaum möglich, einen ohne Weiteres lauffähigen Trojaner oder Wurm für alle diese Distris zu schreiben. Da ist die Windows-Monokultur ein einfacheres Ziel.

Sobald aber durch gezieltes Programmieren (Android) oder Schlamperei (IoT-Devices mit offenem SSH/Telnet-Port etc.) wieder eine große Gruppe sehr ähnlicher Geräte verfügbar wird, ist es damit vorbei.