Ручная установка (Linux)

В этом разделе описано, как запустить Kaspersky Scan Engine на системах Linux.

Перед установкой и настройкой Kaspersky Scan Engine вам необходимо указать региональные настройки компьютера, на котором установлен Kaspersky Scan Engine. Используйте следующие команды.

Чтобы установить Kaspersky Scan Engine вручную:

1. Убедитесь, что у вас есть права администратора.
2. Создайте директорию /opt/kaspersky/ScanEngine. В этом справочном документе эта директория называется %service_dir%.
3. Распакуйте содержимое пакета распространения в директорию %service_dir% на вашем компьютере.
4. Распакуйте объекты из пакета распространения KAV SDK (далее %SDK_kit%) следующим образом:
   • Объекты из %SDK_kit%/bin/bases в %service_dir%/bin/bases.
   • Объекты из %SDK_kit%/include в %service_dir%/include.
   • Объекты из %SDK_kit%/lib в %service_dir%/lib.
   • Объекты из % %SDK_kit%/ppl в %service_dir%/ppl.
   • Файл %SDK_kit%/tools/kavsigner в %service_dir%/tools.
   • Файл% %SDK_kit%/tools/integrity_check_sdk.xml в %service_dir%.

   Только пользователи с правами администратора должны иметь доступ к объектам из %SDK_kit%.
   Для совместимости с Kaspersky Scan Engine используйте KAV SDK версии 8.9.2.595 или более поздней версии.

5. Ознакомьтесь с Пользовательским соглашением для Kaspersky Scan Engine. Пользовательское соглашение находится по адресу %service_dir%/doc/license.txt.

   Если вы согласны с условиями Пользовательского соглашения, переходите к следующему шагу. Если вы отклоняете условия Пользовательского соглашения, отмените установку.

6. Откройте файл %service_dir%/etc/klScanEngineUI.xml.
7. Примите условия Пользовательского соглашения с конечным пользователем. В файле klScanEngineUI.xml замените <Common>rejected</Common> на <Common>accepted</Common>.
8. Если вы хотите использовать Kaspersky Security Network (KSN), ознакомьтесь с Пользовательским соглашением для KSN и Политикой конфиденциальности. Это Пользовательское соглашение также находится по адресу %service_dir%/doc/ksn_license.txt и содержит ссылку на Политику конфиденциальности.

   Если вы согласны с условиями Пользовательского соглашения для KSN и Политикой конфиденциальности, переходите к следующему шагу. Если вы отклоняете условия Пользовательского соглашения для KSN или Политику конфиденциальности, перейдите к шагу 10.

9. Примите Пользовательское соглашение для KSN. Измените <KSN>rejected</KSN> на <KSN>accepted</KSN> в klScanEngineUI.xml.
10. Сохраните и закройте %service_dir%/etc/klScanEngineUI.xml.
11. Создайте символьную ссылку на %service_dir%/etc/klScanEngineUI.xml из директории /etc/:

    ln -s %service_dir%/etc/klScanEngineUI.xml /etc/klScanEngineUI.xml

12. Если вы хотите использовать Kaspersky Scan Engine GUI, прочтите подраздел "Включение Kaspersky Scan Engine GUI" ниже.
13. Создайте символьную ссылку на соответствующий файл конфигурации Kaspersky Scan Engine из директории /etc/:
    • Для режима HTTP скопируйте файл %service_dir%/etc/kavhttpd.xml в директорию /etc/.
    • Для режима ICAP скопируйте файл %service_dir%/etc/kavicapd.xml в директорию /etc/.

    Например, в режиме HTTP вы должны выполнить следующую команду:

    ln -s %service_dir%/etc/kavhttpd.xml /etc/kavhttpd.xml

14. Если вы не используете Kaspersky Scan Engine GUI и требуется подключение через прокси-сервер, вы должны указать зашифрованное имя пользователя и пароль для прокси-сервера. Чтобы зашифровать имя пользователя и пароль:
    1. Создайте ключ шифрования следующим образом:

       openssl rand -out %service_dir%/httpsrv/kl_scanengine_db.key 512

    2. Предоставьте право на чтение только владельцу, выполнив следующую команду:

       chmod 400 %service_dir%/httpsrv/kl_scanengine_db.key

    3. Чтобы зашифровать учетные данные, используйте утилиту kav_encrypt. Эта утилита также автоматически записывает зашифрованные имя пользователя и пароль в файл конфигурации kavhttpd.xml (для режима HTTP) или kavicapd.xml (для режима ICAP). Утилита находится в директории %service_dir%/tools/.

       Запустите утилиту kav_encrypt со следующими параметрами:

       -m <httpd | icap> -p <user_name:password>

15. В /etc/systemd/system/multi-user.target.wants/ создайте символьные ссылки на следующие файлы:
    • В режиме ICAP создайте символьную ссылку на /opt/kaspersky/ScanEngine/etc/kavicapd.service с помощью следующей команды:

    ln -s /opt/kaspersky/ScanEngine/etc/kavicapd.service /etc/systemd/system/kavicapd.service

    • Для режима HTTP создайте символьную ссылку на /opt/kaspersky/ScanEngine/etc/kavhttpd.service с помощью следующей команды:

    ln -s /opt/kaspersky/ScanEngine/etc/kavhttpd.service /etc/systemd/system/kavhttpd.service

16. Зарегистрируйте Kaspersky Scan Engine в системе с помощью следующих команд:

    systemctl daemon-reload systemctl enable kavhttpd systemctl enable kavicapd

17. Запустите зарегистрированные службы Kaspersky Scan Engine:
    • Для режима ICAP запустите:

    service kavicapd start

    • Для режима HTTP запустите:

    service kavhttpd start

18. Перейдите к следующим шагам, как описано в разделе "Начало работы" в режиме HTTP или ICAP.
19. Активируйте Kaspersky Scan Engine в режиме лицензирования офлайн или в режиме лицензирования онлайн.

После установки Kaspersky Scan Engine вы можете в любой момент проверить целостность его компонентов с помощью утилиты проверки целостности.

Включение Kaspersky Scan Engine GUI

Чтобы включить Kaspersky Scan Engine GUI:

1. Убедитесь, что у вас есть права администратора.
2. Выполните одно из следующих действий.
   • Если вы ранее не устанавливали экземпляр Kaspersky Scan Engine GUI или не хотите добавлять новый экземпляр в существующий кластер, выполните действия, описанные в разделе Подготовка к установке Kaspersky Scan Engine GUI.
   • Если у вас уже есть экземпляр Kaspersky Scan Engine GUI и вы хотите добавить новый экземпляр в тот же кластер, перейдите к шагу 4.
3. На компьютере, на котором установлен PostgreSQL, выполните перечисленные ниже действия от имени пользователя, который может создавать новых пользователей и базы данных. Для выполнения этих действий вы можете использовать утилиту psql или pgAdmin.

   Убедитесь, что пользователь, выполняющий запросы к базе данных, имеет доступ к директории, содержащей таблицы tables.sql, а также имеет доступ на чтение к самому tables.sql.

   1. Создайте нового пользователя PostgreSQL с именем scanengine:

      CREATE USER scanengine;

   2. Задайте пароль для пользователя scanengine:

      ALTER USER scanengine WITH PASSWORD '%PASSWORD%';

   3. Используя PostgreSQL, создайте базу данных под названием kavebase:

      CREATE DATABASE kavebase OWNER scanengine;

   4. В базе данных kavebase выполните запросы, описанные в %service_dir%/samples/tables.sql.

      psql -d kavebase -a -f tables.sql

4. Откройте /etc/klScanEngineUI.xml.
5. В элементе <Mode> укажите режим работы Kaspersky Scan Engine:

   Для режима HTTP:

   <Mode>httpd</Mode>

   Для режима ICAP:

   <Mode>icap</Mode>

6. Измените <EnableUI>false</EnableUI> на <EnableUI>true</EnableUI>.
7. В элементе <ConnectionString> укажите адрес веб-службы Kaspersky Scan Engine GUI в формате %IP%:%port%.

   Например:

   <ConnectionString>198.51.100.0:443</ConnectionString>

8. Укажите SSL-сертификат для установки в веб-службе Kaspersky Scan Engine GUI.
   • Если у вас уже есть SSL-сертификат, который вы хотите установить в веб-службе Kaspersky Scan Engine GUI, укажите пути к вашему сертификату и вашему закрытому ключу:
     1. В элементе <SSLCertificatePath> укажите путь к вашему сертификату SSL.
     2. В элементе <SSLPrivateKeyPath> укажите путь к вашему закрытому ключу.
   • Если у вас нет SSL-сертификата, который вы хотите установить в веб-службе Kaspersky Scan Engine GUI, сгенерируйте новый. Запустите утилиту %service_dir%/tools/openssl следующим образом:

   /opt/kaspersky/ScanEngine/tools/openssl req -x509 -nodes -days 1825 -subj /C=RU/CN="%ConnectionString%" -newkey rsa:4096 -extensions EXT -config "/opt/kaspersky/ScanEngine/tools/openssl.cnf" -keyout "/opt/kaspersky/ScanEngine/httpsrv/kl_scanengine_private.pem" -out "/opt/kaspersky/ScanEngine/httpsrv/kl_scanengine_cert.pem"

   Здесь %ConnectionString% – это значение, указанное в элементе %ConnectionString%. Рекомендуется использовать значения rsa:4096 или rsa:3072 с параметром -newkey. Минимальное поддерживаемое значение – rsa:2048.

   Вы должны настроить доступ к файлу закрытого ключа для Kaspersky Scan Engine GUI, чтобы только пользователь root и учетная запись пользователя, под которой запущена служба, могли иметь разрешение на чтение.

9. Создайте ключ шифрования следующим образом:

   openssl rand -out %service_dir%/httpsrv/kl_scanengine_db.key 512

10. Предоставьте право на чтение только владельцу, выполнив следующую команду:

    chmod 400 %service_dir%/httpsrv/kl_scanengine_db.key

11. В элементе DatabaseSettings > ConnectionString укажите адрес новой или существующей базы данных kavebase, к которой вы хотите подключиться, используя формат %IP%:%port%.
12. Сохраните и закройте /etc/klScanEngineUI.xml.
13. Зашифруйте имя пользователя и пароль пользователя, который будет использоваться для доступа к базе данных kavebase:
    • Если вы никогда раньше не устанавливали экземпляр Kaspersky Scan Engine с графическим интерфейсом пользователя или не хотите добавлять новый экземпляр в существующий кластер, зашифруйте имя и пароль пользователя, указанного на шаге 3.
    • Если у вас уже есть экземпляр Kaspersky Scan Engine с графическим интерфейсом пользователя и вы хотите добавить новый экземпляр в тот же кластер, зашифруйте имя и пароль пользователя, который используется для доступа к базе данных kavebase кластера.

    Чтобы зашифровать учетные данные, используйте утилиту kav_encrypt. Эта утилита также автоматически записывает зашифрованные имя пользователя и пароль в /etc/klScanEngineUI.xml. Утилита находится в директории %service_dir%/tools/.

    Запустите утилиту kav_encrypt со следующими параметрами:

    -d '%username%:%password%'

14. В /etc/systemd/system/multi-user.target.wants/ создайте символьную ссылку на /opt/kaspersky/ScanEngine/etc/klScanEngineUI.service с помощью следующей команды:

    ln -s /opt/kaspersky/ScanEngine/etc/klScanEngineUI.service /etc/systemd/system/klScanEngineUI.service

15. Зарегистрируйте Kaspersky Scan Engine в системе с помощью следующих команд:

    systemctl daemon-reload systemctl enable klScanEngineUI

16. Запустите зарегистрированную службу Kaspersky Scan Engine:

    service klScanEngineUI start