[Sysadmins] Q: clamav [JT]

[Sergey]

On Thursday 11 March 2021, Konstantin Lepikhov wrote:

> Сейчас уже работает, да. Но осадочек остался ) Другой момент - это
> потребление памяти - clamd с настройками "из коробки" ест где-то 1Gb,
> причем, где это можно настроить в конфигурации самого clamd я не нашел.

Это и не настраивалось никогда. Базу clamd держит в памяти. Понемногу
распухла, за всё время. Может быть можно придумать другой формат, сжатый
какой-нибудь, но это будет нагрузка на процессор при проверке.

> Да и пишут, что оно будет тормозить, если памяти мало, т.к. в этом
> случае вся база будет читаться с диска каждый раз.

С диска вообще не вариант для сервиса, к которому обращаются постоянно.

По памяти есть другой момент. Там же ещё и торможение при обновлении базы
началось. В 0.101.5 они несколько это улучшили, а в 0.103 сделали другой
режим - параллельную загрузку базы:

Wed Mar 10 17:08:30 2021 -> Reading databases from /var/lib/clamav
Wed Mar 10 17:08:37 2021 -> Accepted connection from 127.0.0.1 on port 1436, fd 15
Wed Mar 10 17:08:39 2021 -> Accepted connection from 127.0.0.1 on port 1058, fd 15
Wed Mar 10 17:08:40 2021 -> Accepted connection from 127.0.0.1 on port 1096, fd 15
Wed Mar 10 17:08:41 2021 -> Accepted connection from 127.0.0.1 on port 1615, fd 15
Wed Mar 10 17:08:46 2021 -> Accepted connection from 127.0.0.1 on port 1900, fd 15
Wed Mar 10 17:09:10 2021 -> Accepted connection from 127.0.0.1 on port 1912, fd 10
Wed Mar 10 17:09:16 2021 -> Database correctly reloaded (8508529 signatures)
Wed Mar 10 17:09:16 2021 -> Activating the newly loaded database...

То есть, вот в этом примере с версией до 0.103 ClamAV не принимал бы 
запросы на сканирование с 17:08:30 по 17:09:16. По этой параллельной
загрузке есть предупреждение о возможном двукратном потреблении памяти,
этот режим отключить можно. Но я пока не замечал, чтобы реально много
отъедалось в этот момент. Почему, и как именно там всё на самом деле
сделано - это я не смотрел.

-- 
С уважением, Сергей.