Настройка разрешающих правил в системе SELinux
08 февраля 2024
ID 237183
Если во время первоначальной настройки программе не удалось настроить систему SELinux автоматически или вы отказались от автоматической настройки, вы можете настроить систему SELinux для работы с Kaspersky Industrial CyberSecurity for Linux Nodes вручную.
Чтобы настроить SELinux для работы с Kaspersky Industrial CyberSecurity for Linux Nodes:
- Переведите SELinux в неблокирующий режим:
- Если SELinux был активирован, выполните следующую команду:
# setenforce Permissive - Если SELinux был выключен, в конфигурационном файле /etc/selinux/config задайте значение параметра
SELINUX=permissiveи перезагрузите операционную систему.
- Если SELinux был активирован, выполните следующую команду:
- Убедитесь, что в системе установлена утилита semanage utility. Если утилита не установлена, установите пакет policycoreutils-python*.
- Если вы используете пользовательскую политику SELinux, то есть отличную от заданной по умолчанию targeted policy, назначьте метку для следующих исходных исполняемых файлов Kaspersky Industrial CyberSecurity for Linux Nodes в соответствии с используемой политикой SELinux:
- /var/opt/kaspersky/kics/1.3.0.<номер сборки>_<метка времени установки>/opt/kaspersky/kics/libexec/kics
- /var/opt/kaspersky/kics/1.3.0.<номер сборки>_<метка времени установки>/opt/kaspersky/kics/bin/kics-control
- /var/opt/kaspersky/kics/1.3.0.<номер сборки>_<метка времени установки>/opt/kaspersky/kics/libexec/kics-gui
- /var/opt/kaspersky/kics/1.3.0.<номер сборки>_<метка времени установки>/opt/kaspersky/kics/shared/kics
- /var/opt/kaspersky/kics/1.3.0.<номер сборки>_<метка времени установки>/opt/kaspersky/kics/bin/aushape
- /var/opt/kaspersky/kics/1.3.0.<номер сборки>_<метка времени установки>/opt/kaspersky/kics/libexec/aushape-audispd-plugin
- /var/opt/kaspersky/kics/1.3.0.<номер сборки>_<метка времени установки>/opt/kaspersky/kics/lib64/agent/libaushape.so.0
- Запустите следующие задачи:
- задачу Защита от файловых угроз:
kics-control --start-task 1 - задачу Проверка важных областей:
kics-control --start-task 4 -W - задачу Интеграция с Kaspersky Industrial CyberSecurity for Networks:
kics-control --start-task 23
Рекомендуется запустить все задачи, которые вы планируете запускать при использовании программы Kaspersky Industrial CyberSecurity for Linux Nodes.
- задачу Защита от файловых угроз:
- Запустите графический пользовательский интерфейс, если вы планируете его использовать.
- Убедитесь, что в файле audit.log нет ошибок:
grep kics /var/log/audit/audit.log - Если в файле audit.log присутствуют ошибки, создайте и загрузите новый модуль правил на основе блокирующих записей, чтобы устранить ошибки, и снова запустите задачи, которые вы планируете запускать при использовании программы Kaspersky Industrial CyberSecurity for Linux Nodes.
В случае появления новых audit-сообщений, связанных с Kaspersky Industrial CyberSecurity for Linux Nodes, требуется обновить файл модуля правил.
- Переведите SELinux в блокирующий режим:
# setenforce Enforcing
Если вы используете пользовательскую политику SELinux, то после установки обновлений программы вам нужно вручную назначить метку для исходных исполняемых файлов Kaspersky Industrial CyberSecurity for Linux Nodes (выполните шаги 1, 3–8).
Дополнительную информацию вы можете найти в документации для используемой операционной системы.
