问题背景:
- 根据合同,我必须在每台主机上安装系统防病毒解决方案。
- 对于此产品,我正在运行 Linux(源自 Red hat)。
- 这些实例托管 Apache/PHP,并在其上安装 Wordpress 网站(数据库是一个单独的实例)。
- 我遇到了性能问题,AV 正在按需扫描 Wordpress 网站的文件,但由于网站的需求,这需要大量重复扫描,这会导致大量的 CPU 峰值并偶尔导致系统挂起。
问题:
我想知道是否有针对 Wordpress 的标准 AV 排除列表(或最佳实践)。我曾尝试在线搜索,但找不到任何有用的东西(Wordpress AV 插件不是系统 AV,因此不会通过我的合同审计员)
除了为机器提供更多的 CPU 容量和减少 IO 延迟之外,还有其他选择吗?
** 编辑 **
根据合同,我们必须使用一家大型供应商;出于安全原因,我不能透露具体是哪家供应商。它确实可以进行基于访问的扫描,并且有一个内核插件可以实现这一点。扫描的每个文件都会写入消息日志。由于网站的使用情况,这个文件数量相当可观。(一个网站每周的点击量达到 6 万次,这是最麻烦的)
答案1
你的终极问题是关于排除列表,尽管你的关键问题似乎是 CPU 峰值。作为对那问题,您是否指示内核要优先处理哪些进程?使用“nice”,您可以优先处理 Web 服务器,使 AV CPU 利用率保持在合理范围内。
好的写入大量日志条目的软件应该具有缓冲功能(如 Nginx 所具有的),这样它就不会在每一行都进行磁盘写入,而只有在有 N 行要写入时才进行。检查您的 AV 软件,看看它是否可以进行日志写入缓冲。