Краткое руководство по установке и первоначальной настройке Kaspersky Endpoint Security для Linux
В этой статье описаны основные шаги локальной установки и первоначальной настройки Kaspersky Endpoint Security 12 для Linux (далее KESL), а также оптимизация настроек приложения для работы на высоконагруженных серверах. Установка в режиме Легкого агента и установка из Kaspersky Security Center в этой статье не рассматриваются.
Перед установкой
Шаг 1. Убедитесь, что устройство подходит для установки KESL
Убедитесь, что устройство соответствует:
- Аппаратным требованиям для установки KESL.
Учтите, что количество системных ресурсов, необходимых для работы KESL, может превышать указанное в требованиях. Это зависит от функциональности, которая будет использоваться, и нагрузки на устройстве. Например, если в задаче Защита от файловых угроз включена проверка архивов, приложению потребуется свободное место в директории /tmp, чтобы распаковать и проверить файлы. - Программным требованиям для установки KESL.
Если версии вашей ОС нет в списке поддерживаемых, она может быть уже снята с поддержки производителем или, наоборот, выпущена после релиза KESL.
Шаг 2. Подготовьте лицензию
Если у вас уже есть лицензия, убедитесь, что с ее помощью можно активировать KESL. Для этого посмотрите список совместимых приложений в Kaspersky CompanyAccount.
Новую лицензию вы можете выбрать и купить онлайн на официальном сайте «Лаборатории Касперского» или у наших партнеров.
Обратите внимание, что для архитектуры ARM потребуется отдельная лицензия. Такая лицензия действует на всей территории России, но не действует в некоторых регионах мира. Уточните условия лицензирования у региональных партнеров, если вам нужно установить KESL на устройствах с архитектурой ARM в зарубежных филиалах.
Шаг 3. Настройте ОС для установки KESL
- Выполните подготовку к установке.
- Убедитесь, что установлен интерпретатор языка Perl версии 5.10 и выше. Для этого выполните команду:
perl -vПример вывода команды:This is perl 5, version 30, subversion 0 (v5.30.0) built for x86_64-linux-gnu-thread-multiНа RHEL-системах, например РЕД ОС, дополнительно проверьте, что установлены пакеты perl-Getopt-Long и perl-File-Copy. Для этого выполните команды:rpm -q perl-Getopt-Long
rpm -q perl-File-Copy- Если пакет установлен, вы увидите:
perl-Getopt-Long-2.51-1.el7.noarch
- Если пакет не установлен, вы увидите:
package perl-Getopt-Long is not installed
- Если пакет установлен, вы увидите:
- Убедитесь, что права доступа к рабочим директориям KESL заданы корректно.
Установка и первоначальная настройка
Шаг 1. Установите KESL
- Скачайте самую новую сборку KESL с кумулятивным исправлением по инструкции.
- Распакуйте архив и найдите пакет kesl, подходящий для вашей ОС. Если вы планируете использовать локально на целевом устройстве графический интерфейс, найдите пакет kesl-gui, подходящий для вашей ОС.
- Установите пакеты kesl и kesl-gui с помощью командной строки по инструкции.
Установить пакет kesl-gui можно только после установки пакета kesl.
Шаг 2. Выполните первоначальную настройку
- Запустите скрипт первоначальной настройки приложения. Обратите внимание на следующие шаги работы скрипта:
- Настройка параметров прокси-сервера.
Необходима, если устройство выходит в интернет через прокси-сервер. KESL использует прокси-сервер, чтобы получать обновления антивирусных баз с публичных серверов «Лаборатории Касперского», а также для активации приложения с помощью кода активации. - Обновление баз приложения.
Пакет установки KESL не содержит антивирусные базы, поэтому их нужно обновить перед использованием приложения. Без антивирусных баз приложение неработоспособно.
Вы можете обновить базы после первоначальной настройки: запустите задачу Обновление по инструкции. - Активация приложения.
Активируйте приложение с помощью кода активации или файла ключа. При активации кодом приложению понадобится доступ в интернет для подключения к серверам активации «Лаборатории Касперского».
- Настройка параметров прокси-сервера.
- Проверьте состояние KESL с помощью команды:
# kesl-control --app-infoПример вывода команды:
- Убедитесь, что:
- В информации о лицензии указано «Ключ действителен».
- В дате последнего выпуска баз приложения указана актуальная дата.
- Функциональность, которую вы планируете использовать, доступна.
Некоторые задачи могут быть недоступны из-за ограничений лицензии.
Вы можете запустить скрипт еще раз и настроить KESL заново.
Чтобы упростить локальное развертывание на следующих устройствах, автоматизируйте первоначальную настройку по инструкции.
Оптимизация производительности
Проанализируйте, как KESL использует системные ресурсы и как меняется производительность установленных приложений. Настройте KESL по рекомендациям ниже, если производительность бизнес-приложений значительно снизилась или количество системных ресурсов, которые потребляет KESL, критично для работы ОС и приложений.
Задача «Защита от файловых угроз»
Задача Защита от файловых угроз по умолчанию включена.
Как работает задача
Приложение перехватывает события файловых операций и блокирует действия до окончания обработки событий. После проверки приложение может:
- снять блокировку и разрешить операцию;
- заблокировать и выполнить действия, заданные в параметрах FirstAction и SecondAction.
Как настроить задачу
Перехват событий требует времени на обработку — это влияет на производительность других приложений и ОС. Нужно настроить задачу так, чтобы соблюсти баланс между защищенностью и производительностью системы. Например, файлы данных и индексные файлы баз данных вы можете исключать из проверки. Вирусные эксперты «Лаборатории Касперского» считают, что вероятность проникновения вирусов из таких файлов очень низкая.
Мы рекомендуем настроить задачу следующим образом:
- Укажите исключения из проверки. Таблица ниже поможет выбрать тип исключений.
Исключения задачи Глобальные исключения Задаются в параметрах задачи. Задаются в настройках приложения. Вы можете указать путь к файлам, тип монтирования, маску файла, тип угрозы или путь к процессу, совершающему файловые операции. Вы можете указать тип точки монтирования (Local, AllRemoteMounted, Mounted:NFS, Mounted:SMB или Mounted:Custom) или конкретные точки монтирования. KESL перехватывает и блокирует файловые операции. Затем KESL определяет, что операции производятся в исключенной области, и снимает блокировку. Объекты операций не проверяются. KESL не отслеживает исключенные области. Минимальные задержки в файловых операциях. Нет задержек в файловых операциях. - соединение с примонтированным удаленным ресурсом, например NFS или SMB, работает медленно;
- даже минимальные задержки в работе приложения критичны.
- Не включайте проверку архивов в параметре ScanArchived, если важно быстро обрабатывать такие файлы, например, упакованные объекты формата .jar.
Проверка влияет на производительность и требует достаточного количества свободного места в директории /tmp, чтобы распаковать и проверить файлы. KESL блокирует работу с файлами до окончания проверки.
Задачи «Защита от веб-угроз» и «Защита от сетевых угроз»
- Задача Защита от сетевых угроз по умолчанию выключена.
- Задача Защита от веб-угроз запускается автоматически при запуске приложения, если в ОС установлен веб-браузер. В остальных случаях задача по умолчанию выключена.
Чтобы выполнение задач не влияло на работу бизнес-приложений, следуйте рекомендациям ниже.
Как настроить межсетевой экран ОС
Добавьте разрешающее правило для входящих соединений с локального устройства (loopback), если в межсетевом экране ОС настроены блокирующие правила.
Пример команды для iptables:
Как настроить доступ в интернет
- Установите значение LocalCheck в параметре CertificateVerificationPolicy с помощью команды:
# kesl-control --set-net-settings CertificateVerificationPolicy=LocalCheckПриложение не будет использовать интернет для проверки сертификатов.
- Настройте прямой выход в интернет для обращения к серверам «Лаборатории Касперского».
- Настройте прокси-сервер:
- Для прокси-сервера с аутентификацией выполните команду:
# kesl-control --set-app-settings UseProxy=Yes ProxyServer=<имя пользователя>:<пароль>@<IP-адрес прокси-сервера>:<номер порта>
- Для прокси-сервера без аутентификации выполните команду:
# kesl-control --set-app-settings UseProxy=Yes ProxyServer=<IP-адрес прокси-сервера>:<номер порта>
- Для прокси-сервера с аутентификацией выполните команду:
Как настроить проверку защищенных соединений
Не устанавливайте значение All в параметре MonitorNetworkPorts задачи Защита от сетевых угроз, если устройство использует подключение по протоколу SMB.
Как настроить сервер Kubernetes
Совместная работа сетевых задач и контейнеризации Kubernetes требует дополнительной тонкой и трудоемкой настройки межсетевого экрана ОС.
Совместная работа невозможна при использовании Kubernetes c Cillium CNI.
Примеры настройки KESL для оптимизации производительности на серверах
Настройка KESL на сервере PostgreSQL
Для баз данных PostgreSQL критически важно полностью исключить задержки в файловых операциях с файлами данных и журналами предзаписи (WAL-файлами). Рекомендуем дополнительно исключить из проверки файловые операции процессов PostgreSQL.
При типовой установке PostgreSQL эти файлы находятся в следующих директориях:
- данные: /var/lib/postgresql/13/main
- WAL-файлы: /var/lib/postgresql/13/main/pg_wal
- исполняемые файлы: /usr/lib/postgresql/13/bin/
Чтобы добавить директории в глобальные исключения задачи Защита от файловых угроз:
- Проверьте, что директории данных и WAL-файлов являются точками монтирования, с помощью команды:
mountЕсли директорий нет в выводе команды mount:
- Создайте точку монтирования с помощью команды:
mount --bind /var/lib/postgresql/13/main/ /var/lib/postgresql/13/mainДобавлять отдельную точку монтирования для директории с WAL-файлами не нужно, она является вложенной директорией директории данных.
- Добавьте следующую строку в таблицу файловых систем ОС /etc/fstab, чтобы созданная точка монтирования осталась в системе после перезагрузки:
/var/lib/postgresql/13/main /var/lib/postgresql/13/main none defaults,bind 0 0
- Создайте точку монтирования с помощью команды:
- Добавьте директории в глобальные исключения задачи с помощью команд:
# kesl-control --set-app-settings ExcludedMountPoint.item_0000=/var/lib/postgresql/13/main# kesl-control --set-app-settings ExcludedMountPoint.item_0000=/var/lib/postgresql/13/main/pg_wal# kesl-control --set-app-settings ExcludedMountPoint.item_0000=/usr/lib/postgresql/13/bin/
- Перезапустите службу KESL, чтобы применить глобальные исключения:
# systemctl restart kesl.service
Настройка KESL на веб-сервере
Задачи Защита от веб-угроз и Защита от сетевых угроз могут значительно увеличивать потребление системных ресурсов при высокой клиентской нагрузке на сервер и работе по протоколу HTTPS. Это происходит из-за того, что приложение расшифровывает и проверяет HTTPS-трафик.
Проанализируйте, как изменяется нагрузка на сервер во время выполнения этих задач. Обратитесь в техническую поддержку «Лаборатории Касперского», чтобы подобрать настройки и устранить проблемы совместимости.
Настройка KESL на прокси-сервере
Мы рекомендуем отключить задачи Защита от веб-угроз и Защита от сетевых угроз на устройстве, выполняющем функции прокси-сервера или балансировщика нагрузки.