/usr/sbin/amavisd为什么pcmd/regex在csf.pignore中不能处理此命令？

Question

由于某些原因，我无法让csf的LFD (/etc/csf/csf.pignore)忽略通过perl运行的amavisd-new。但是，守护进程通过/usr/bin/perl /usr/sbin/amavisd-new (some mode)运行，但是当我使用基于regex的pcmd:时，LFD不会忽略它。我是否对pcmd:中使用的LFD和/或regex有什么不理解的地方？我和pcmd:一起使用的其他东西也很好。我不想忽略amavis用户，也不想忽略perl。我正在用csf -ra重新加载更改。

我尝试过的各种方式：

pcmd:/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*\s/usr/sbin/amavisd-new\s.*
pcmd:.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/sbin/amavis.*

脑脊液: v9.24 (属)在Ubuntu16.04.1- x86_64上

Executable: /usr/bin/perl
Command Line (often faked in exploits): /usr/sbin/amavisd-new (master)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (virgin child)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch3-avail)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch4-avail)

Answer 1

尽量不要使用regexp。就这么做

exe:/usr/sbin/amavisd-new

在csf.pignore中，看看会发生什么。根据他们的论坛，这是perl守护进程的方法。他们承认这是不清楚的，因为他们的lfd警报说的是不同的可执行文件(即perl)。

Answer 2

如果CSF的LFD不忽略您的过程，可能有很多原因。这篇博客文章提到了许多因素和解决方案。

总括而言：

1. 重新启动CSF和LFD，而不仅仅是脑脊液(sudo service lfd restart)
2. 不要使用内联注释(在您的情况下看起来不错)
3. 检查RegEx语法(在您的情况下看起来也不错)
4. 检查系统和副作用(日志、更新、文件格式，.)