我需要使用开源软件在docker容器内实现文件的防病毒即时扫描解决方案。Clamav On-Access 可以正常工作但有一些要求和限制:
更新:是否有任何解决此限制的方法?添加
对于每个容器运行ClamAV会产生巨大的内存开销,特别是对于小容器。
链接收集:
- 需要 CAP_SYS_ADMIN 能力才能在容器内工作
- 需要按容器而非按主机运行
- 每个正在运行的容器需要850MB的常驻内存来存储签名,即使是小容器也是如此
更新:是否有任何解决此限制的方法?添加
/var/lib/docker/overlay2/container_id/merged
是一个选项,由于容器的动态性,clamd.conf
需要在每个容器事件上更新。但即使添加了路径,ClamAV也无法检测到容器中的恶意文件。对于每个容器运行ClamAV会产生巨大的内存开销,特别是对于小容器。
链接收集: