Ручная установка (Linux)
05 марта 2024
ID 180652
В этом разделе описано, как запустить Kaspersky Scan Engine на системах Linux.
Перед установкой и настройкой Kaspersky Scan Engine вам необходимо указать региональные настройки компьютера, на котором установлен Kaspersky Scan Engine. Используйте следующие команды.
LC_ALL=en_US.utf8 export LC_ALL |
Чтобы установить Kaspersky Scan Engine вручную:
- Убедитесь, что у вас есть права администратора.
- Создайте директорию
/opt/kaspersky/ScanEngine
. В этом справочном документе эта директория называется%service_dir%
. - Распакуйте содержимое пакета распространения в директорию
%service_dir%
на вашем компьютере. - Распакуйте объекты из пакета распространения KAV SDK (далее
%SDK_kit%
) следующим образом:- Объекты из
%SDK_kit%/bin/bases
в%service_dir%/bin/bases
. - Объекты из
%SDK_kit%/include
в%service_dir%/include
. - Объекты из
%SDK_kit%/lib
в%service_dir%/lib
. - Объекты из
% %SDK_kit%/ppl
в%service_dir%/ppl
. - Файл
%SDK_kit%/tools/kavsigner
в%service_dir%/tools
. - Файл
% %SDK_kit%/tools/integrity_check_sdk.xml
в%service_dir%
.
Только пользователи с правами администратора должны иметь доступ к объектам из
%SDK_kit%
.
Для совместимости с Kaspersky Scan Engine используйте KAV SDK версии 8.9.2.595 или более поздней версии. - Объекты из
- Ознакомьтесь с Пользовательским соглашением для Kaspersky Scan Engine. Пользовательское соглашение находится по адресу
%service_dir%/doc/license.txt
.Если вы согласны с условиями Пользовательского соглашения, переходите к следующему шагу. Если вы отклоняете условия Пользовательского соглашения, отмените установку.
- Откройте файл
%service_dir%/etc/klScanEngineUI.xml
. - Примите условия Пользовательского соглашения с конечным пользователем. В файле
klScanEngineUI.xml
замените<Common>rejected</Common>
на<Common>accepted</Common>
. - Если вы хотите использовать Kaspersky Security Network (KSN), ознакомьтесь с Пользовательским соглашением для KSN и Политикой конфиденциальности. Это Пользовательское соглашение также находится по адресу
%service_dir%/doc/ksn_license.txt
и содержит ссылку на Политику конфиденциальности.Если вы согласны с условиями Пользовательского соглашения для KSN и Политикой конфиденциальности, переходите к следующему шагу. Если вы отклоняете условия Пользовательского соглашения для KSN или Политику конфиденциальности, перейдите к шагу 10.
- Примите Пользовательское соглашение для KSN. Измените
<KSN>rejected</KSN>
на<KSN>accepted</KSN>
вklScanEngineUI.xml
. - Сохраните и закройте
%service_dir%/etc/klScanEngineUI.xml
. - Создайте символьную ссылку на
%service_dir%/etc/klScanEngineUI.xml
из директории/etc/
:ln -s
%service_dir%/etc/klScanEngineUI.xml /etc/klScanEngineUI.xml
- Если вы хотите использовать Kaspersky Scan Engine GUI, прочтите подраздел "Включение Kaspersky Scan Engine GUI" ниже.
- Создайте символьную ссылку на соответствующий файл конфигурации Kaspersky Scan Engine из директории
/etc/
:- Для режима HTTP скопируйте файл
%service_dir%/etc/kavhttpd.xml
в директорию/etc/
. - Для режима ICAP скопируйте файл
%service_dir%/etc/kavicapd.xml
в директорию/etc/
.
Например, в режиме HTTP вы должны выполнить следующую команду:
ln -s
%service_dir%/etc/kavhttpd.xml /etc/kavhttpd.xml
- Для режима HTTP скопируйте файл
- Если вы не используете Kaspersky Scan Engine GUI и требуется подключение через прокси-сервер, вы должны указать зашифрованное имя пользователя и пароль для прокси-сервера. Чтобы зашифровать имя пользователя и пароль:
- Создайте ключ шифрования следующим образом:
openssl rand -out %service_dir%/httpsrv/kl_scanengine_db.key 512
- Предоставьте право на чтение только владельцу, выполнив следующую команду:
chmod 400 %service_dir%/httpsrv/kl_scanengine_db.key
- Чтобы зашифровать учетные данные, используйте утилиту
kav_encrypt
. Эта утилита также автоматически записывает зашифрованные имя пользователя и пароль в файл конфигурацииkavhttpd.xml
(для режима HTTP) илиkavicapd.xml
(для режима ICAP). Утилита находится в директории%service_dir%/tools/
.Запустите утилиту
kav_encrypt
со следующими параметрами:-m <httpd | icap> -p <user_name:password>
- Создайте ключ шифрования следующим образом:
- В
/etc/systemd/system/multi-user.target.wants/
создайте символьные ссылки на следующие файлы:- В режиме ICAP создайте символьную ссылку на
/opt/kaspersky/ScanEngine/etc/kavicapd.service
с помощью следующей команды:
ln -s /opt/kaspersky/ScanEngine/etc/kavicapd.service /etc/systemd/system/kavicapd.service
- Для режима HTTP создайте символьную ссылку на
/opt/kaspersky/ScanEngine/etc/kavhttpd.service
с помощью следующей команды:
ln -s /opt/kaspersky/ScanEngine/etc/kavhttpd.service /etc/systemd/system/kavhttpd.service
- В режиме ICAP создайте символьную ссылку на
- Зарегистрируйте Kaspersky Scan Engine в системе с помощью следующих команд:
systemctl daemon-reload
systemctl enable kavhttpd
systemctl enable kavicapd
- Запустите зарегистрированные службы Kaspersky Scan Engine:
- Для режима ICAP запустите:
service kavicapd start
- Для режима HTTP запустите:
service kavhttpd start
- Перейдите к следующим шагам, как описано в разделе "Начало работы" в режиме HTTP или ICAP.
- Активируйте Kaspersky Scan Engine в режиме лицензирования офлайн или в режиме лицензирования онлайн.
После установки Kaspersky Scan Engine вы можете в любой момент проверить целостность его компонентов с помощью утилиты проверки целостности.
Включение Kaspersky Scan Engine GUI
Чтобы включить Kaspersky Scan Engine GUI:
- Убедитесь, что у вас есть права администратора.
- Выполните одно из следующих действий.
- Если вы ранее не устанавливали экземпляр Kaspersky Scan Engine GUI или не хотите добавлять новый экземпляр в существующий кластер, выполните действия, описанные в разделе Подготовка к установке Kaspersky Scan Engine GUI.
- Если у вас уже есть экземпляр Kaspersky Scan Engine GUI и вы хотите добавить новый экземпляр в тот же кластер, перейдите к шагу 4.
- На компьютере, на котором установлен PostgreSQL, выполните перечисленные ниже действия от имени пользователя, который может создавать новых пользователей и базы данных. Для выполнения этих действий вы можете использовать утилиту psql или pgAdmin.
Убедитесь, что пользователь, выполняющий запросы к базе данных, имеет доступ к директории, содержащей таблицы
tables.sql
, а также имеет доступ на чтение к самомуtables.sql
.- Создайте нового пользователя PostgreSQL с именем
scanengine
:CREATE USER scanengine;
- Задайте пароль для пользователя
scanengine
:ALTER USER scanengine WITH PASSWORD '%PASSWORD%';
- Используя PostgreSQL, создайте базу данных под названием
kavebase
:CREATE DATABASE kavebase OWNER scanengine;
- В базе данных
kavebase
выполните запросы, описанные в%service_dir%/samples/tables.sql
.psql -d kavebase -a -f tables.sql
- Создайте нового пользователя PostgreSQL с именем
- Откройте
/etc/klScanEngineUI.xml
. - В элементе
<Mode>
укажите режим работы Kaspersky Scan Engine:Для режима HTTP:
<Mode>httpd</Mode>
Для режима ICAP:
<Mode>icap</Mode>
- Измените
<EnableUI>false</EnableUI>
на<EnableUI>true</EnableUI>
. - В элементе
<ConnectionString>
укажите адрес веб-службы Kaspersky Scan Engine GUI в формате %IP%:%port%.Например:
<ConnectionString>198.51.100.0:443</ConnectionString>
- Укажите SSL-сертификат для установки в веб-службе Kaspersky Scan Engine GUI.
- Если у вас уже есть SSL-сертификат, который вы хотите установить в веб-службе Kaspersky Scan Engine GUI, укажите пути к вашему сертификату и вашему закрытому ключу:
- В элементе
<SSLCertificatePath>
укажите путь к вашему сертификату SSL. - В элементе
<SSLPrivateKeyPath>
укажите путь к вашему закрытому ключу.
- В элементе
- Если у вас нет SSL-сертификата, который вы хотите установить в веб-службе Kaspersky Scan Engine GUI, сгенерируйте новый. Запустите утилиту
%service_dir%/tools/openssl
следующим образом:
/opt/kaspersky/ScanEngine/tools/openssl req -x509 -nodes -days 1825 -subj /C=RU/CN="%ConnectionString%" -newkey rsa:
4096
-extensions EXT -config "/opt/kaspersky/ScanEngine/tools/openssl.cnf" -keyout "/opt/kaspersky/ScanEngine/httpsrv/kl_scanengine_private.pem" -out "/opt/kaspersky/ScanEngine/httpsrv/kl_scanengine_cert.pem"Здесь
%ConnectionString%
– это значение, указанное в элементе%ConnectionString%
. Рекомендуется использовать значенияrsa:4096
илиrsa:3072
с параметром-newkey
. Минимальное поддерживаемое значение –rsa:2048
.Вы должны настроить доступ к файлу закрытого ключа для Kaspersky Scan Engine GUI, чтобы только пользователь root и учетная запись пользователя, под которой запущена служба, могли иметь разрешение на чтение.
- Если у вас уже есть SSL-сертификат, который вы хотите установить в веб-службе Kaspersky Scan Engine GUI, укажите пути к вашему сертификату и вашему закрытому ключу:
- Создайте ключ шифрования следующим образом:
openssl rand -out %service_dir%/httpsrv/kl_scanengine_db.key 512
- Предоставьте право на чтение только владельцу, выполнив следующую команду:
chmod 400 %service_dir%/httpsrv/kl_scanengine_db.key
- В элементе
DatabaseSettings > ConnectionString
укажите адрес новой или существующей базы данных kavebase, к которой вы хотите подключиться, используя формат %IP%:%port%. - Сохраните и закройте
/etc/klScanEngineUI.xml
. - Зашифруйте имя пользователя и пароль пользователя, который будет использоваться для доступа к базе данных kavebase:
- Если вы никогда раньше не устанавливали экземпляр Kaspersky Scan Engine с графическим интерфейсом пользователя или не хотите добавлять новый экземпляр в существующий кластер, зашифруйте имя и пароль пользователя, указанного на шаге 3.
- Если у вас уже есть экземпляр Kaspersky Scan Engine с графическим интерфейсом пользователя и вы хотите добавить новый экземпляр в тот же кластер, зашифруйте имя и пароль пользователя, который используется для доступа к базе данных kavebase кластера.
Чтобы зашифровать учетные данные, используйте утилиту kav_encrypt. Эта утилита также автоматически записывает зашифрованные имя пользователя и пароль в
/etc/klScanEngineUI.xml
. Утилита находится в директории%service_dir%/tools/
.Запустите утилиту kav_encrypt со следующими параметрами:
-d '%username%:%password%'
- В
/etc/systemd/system/multi-user.target.wants/
создайте символьную ссылку на/opt/kaspersky/ScanEngine/etc/klScanEngineUI.service
с помощью следующей команды:ln -s /opt/kaspersky/ScanEngine/etc/klScanEngineUI.service /etc/systemd/system/klScanEngineUI.service
- Зарегистрируйте Kaspersky Scan Engine в системе с помощью следующих команд:
systemctl daemon-reload
systemctl enable klScanEngineUI
- Запустите зарегистрированную службу Kaspersky Scan Engine:
service klScanEngineUI start