# readme

file-minitor是一个监控sftp和scp上传文件动作并对上传文件进行病毒扫描的工具

## 工作方式

针对sftp，它解析实时sftp日志，识别上传文件行为并使用clamdscan扫描文件

针对scp，它利用auditd中的审计规则判识别写文件动作

一旦上传文件完成，file-monitor会立即修改文件名，添加 `.scanning` 后缀，若扫描到文件，删除文件，并在原地留下一个警示文件 `.virus`
如果没有病毒，会恢复文件名

扫描病毒文件的时间会根据文件类型、文件大小而变化，最长扫描时间为5分钟

同样大小下，`.zip`文件扫描比较慢，建议压缩包格式为 `.tar.gz`

## todo

添加白名单：

- 用户白名单：不扫描指定用户上传的文件
- 路径白名单：不扫描上传到指定路径的文件