Workshop: Drei Varianten, einen Echtzeit-Antiviren-Scanner an Samba-Server anzukoppeln

Funktionalität kostet Geschwindigkeit

Das Abfangen der Datei-»open()«-Operationen in Samba und das Scannen der Datei-Inhalte fordern mutmaßlich ihren Preis in Form von Einbußen bei der Performance. Darum tun hier Benchmark-Messungen not. Dazu hat das Linux-Magazin die Übertragungsraten eines Samba-Clients auf den oben beschriebenen Samba-Server gemessen (siehe Kasten "So haben wir getestet").

So haben wir getestet
Als Benchmark benutzte das Linux-Magazin Smbclient, das Teil der Samba-Distribution ist. Um Einflüsse des Netzwerks auszuschließen, lief das Tool selbst auch auf dem Samba-Server. Das Programm zeigt für jede Datei eine Übertragungsgeschwindigkeit an sowie die durchschnittliche Geschwindigkeit pro Session (siehe Abbildung 6). Der Benchmark lief pro Konfiguration mehrfach, um Caching-Einflüsse zu begrenzen, die Tester mittelten die Ergebnisse am Schluss arithmetisch. Abbildung 6: Smbclient schreibt und liest Dateien vom Fileserver und misst dabei den Datendurchsatz. Smbclient bekam während jedes Testlaufs ein Verzeichnis zum Lesen und Schreiben vorgesetzt, das rund 1 GByte Daten enthielt. Darin lagen ein 600 MByte großes CD-ISO-Image, ein Tar-Archiv mit kleinen Textdateien, außerdem zahlreiche Bilder und Windows-Binaries. Die Zusammenstellung versuchte also möglichst viele Arten von Dateien (große und kleine, Ascii und binär) abzubilden und so der Realität eines Fileservers sehr nahe zu kommen. Der Unterschied zwischen den gemessenen Lese- und Schreibzugriffen erklärt sich aus den Vorzügen des Samba-Schreibpuffers. Der muss nämlich erst volllaufen, bevor Linux zeitraubend auf die Platte greift. Beim Lesen bemüht es dagegen die Platte gleich. Die Dimension des Schreibpuffers ist konfigurierbar. Zu groß sollten Sie ihn aber nicht wählen, denn irgendwann werden die Schreibprozesse wieder langsamer. Während des vorliegenden Benchmarktests war der Puffer optimal auf das darunter liegende Dateisystem abgestimmt.

So haben wir
getestet

Als Benchmark benutzte das Linux-Magazin Smbclient, das Teil der Samba-Distribution ist. Um Einflüsse des Netzwerks auszuschließen, lief das Tool selbst auch auf dem Samba-Server. Das Programm zeigt für jede Datei eine Übertragungsgeschwindigkeit an sowie die durchschnittliche Geschwindigkeit pro Session (siehe Abbildung 6). Der Benchmark lief pro Konfiguration mehrfach, um Caching-Einflüsse zu begrenzen, die Tester mittelten die Ergebnisse am Schluss arithmetisch.

Abbildung 6: Smbclient schreibt und liest Dateien vom Fileserver und misst dabei den Datendurchsatz.

Smbclient bekam während jedes Testlaufs ein Verzeichnis zum Lesen und Schreiben vorgesetzt, das rund 1 GByte Daten enthielt. Darin lagen ein 600 MByte großes CD-ISO-Image, ein Tar-Archiv mit kleinen Textdateien, außerdem zahlreiche Bilder und Windows-Binaries. Die Zusammenstellung versuchte also möglichst viele Arten von Dateien (große und kleine, Ascii und binär) abzubilden und so der Realität eines Fileservers sehr nahe zu kommen.

Der Unterschied zwischen den gemessenen Lese- und Schreibzugriffen erklärt sich aus den Vorzügen des Samba-Schreibpuffers. Der muss nämlich erst volllaufen, bevor Linux zeitraubend auf die Platte greift. Beim Lesen bemüht es dagegen die Platte gleich. Die Dimension des Schreibpuffers ist konfigurierbar. Zu groß sollten Sie ihn aber nicht wählen, denn irgendwann werden die Schreibprozesse wieder langsamer. Während des vorliegenden Benchmarktests war der Puffer optimal auf das darunter liegende Dateisystem abgestimmt.

Um nicht Äpfel und Birnen miteinander zu vergleichen, beschränkten sich die Messungen auf die vom Autor bevorzugten Varianten 2 und 3, beide mit Avira Antivir. Zum Vergleich dienten Messungen ohne jeden Virenscanner.

Das Ergebnis in Abbildung 5 zeigt erwartungsgemäß, dass Performanceverluste beim Einsatz von Antiviren-Software messbar sind. Zwischen Vscan-Antivir und Dazuko-Antivir sind die Unterschiede dagegen marginal. Offenbar macht sich das Hin- und Herreichen zwischen Kernel- und Userspace in der Praxis kaum bemerkbar, so beim Schreiben: 900 KByte/s zu 740 KByte/s. Zum Vergleich: Ohne On-Access-Scanner lag der Durchschnitt bei 1020 KByte/s. Generell sind solche Ergebnisse mit einer gewissen Skepsis zu interpretieren, da die Leistung auch von der Konfiguration des Scanners abhängt.

Abbildung 5: Durchschnittliche Benchmark-Ergebnisse beim Schreiben und Lesen von Dateien auf dem Samba-Server. Vergleich zwischen den Varianten 2 und 3 sowie ohne Virenschutz.

Fazit: Eine der Antivir-Varianten ist Favorit

Von allen drei Varianten gefiel den Testern die dritte, also Antivir ohne Vscan-Modul am besten. Trotz Lücke beim On-Close-Scannen erfüllt Dazuko alle Erwartungen an einen Echtzeit-Virenscanner, sperrt sofort den Dateizugriff auf Schadcode und ist schnell. (jk)

Infos
[1] Clam AV für Linux: [http://www.clamav.net] [2] Antivir Personal Edition Classic von Avira: [http://www.free-av.de] [3] Kaspersky Antivirus für Samba Server: [http://www.kaspersky.com/de/kavsambaserverbo] [4] Bitdefender for Samba 3 von Softwin: [http://www.bitdefender.de/PRODUCT-11-de--bitdefender-for-samba.html] [5] Samba-Vscan-Modul, die Samba-Implementation für Clam AV und Antivir: [http://www.openantivirus.org] [6] Dazuko-Projekt: [http://www.dazuko.org] [7] Linux-Usergroup Norderstedt: [http://www.lug-norderstedt.de]

Infos

[1] Clam AV für Linux: [http://www.clamav.net]

[2] Antivir Personal Edition Classic von Avira: [http://www.free-av.de]

[3] Kaspersky Antivirus für Samba Server: [http://www.kaspersky.com/de/kavsambaserverbo]

[4] Bitdefender for Samba 3 von Softwin: [http://www.bitdefender.de/PRODUCT-11-de--bitdefender-for-samba.html]

[5] Samba-Vscan-Modul, die Samba-Implementation für Clam AV und Antivir: [http://www.openantivirus.org]

[6] Dazuko-Projekt: [http://www.dazuko.org]

[7] Linux-Usergroup Norderstedt: [http://www.lug-norderstedt.de]

Der Autor
Florian Osses ist Auszubildender zum Fachinformatiker Systemintegration und Mitglied der Linux-Usergroup Norderstedt [7]. Die dort diskutierten Themen sind nach seiner Meinung ebenso vielfältig wie die Vereinsmitglieder. Dieser Artikel entstand im Zuge der Dokumentation eines Samba-Projekts.

Der Autor

Florian Osses ist Auszubildender zum Fachinformatiker Systemintegration und Mitglied der Linux-Usergroup Norderstedt [7]. Die dort diskutierten Themen sind nach seiner Meinung ebenso vielfältig wie die Vereinsmitglieder. Dieser Artikel entstand im Zuge der Dokumentation eines Samba-Projekts.