在 SELinux 系统中配置权限规则

手动配置 SELinux 以与应用程序配合使用

如果在应用程序的初始设置期间无法自动配置 SELinux，或者您拒绝了自动配置，您可以手动配置 SELinux 以使用 Kaspersky Endpoint Security。

要配置 SELinux 以使用应用程序：

1. 将 SELinux 切换为宽容模式：
   • 如果已激活 SELinux，请执行以下命令：

     # setenforce Permissive

   • 如果禁用了 SELinux，请在配置文件 /etc/SELinux/config 中设定 SELINUX=permissive 设置，然后重新启动操作系统。
2. 确保 semanage 实用程序已安装在系统。如果未安装该实用程序，请安装 policycoreutils-python 或 policycoreutils-python-utils 包，具体取决于包管理器。
3. 如果您使用自定义 SELinux 策略而不是默认的目标策略，请根据使用的 SELinux 策略为以下 Kaspersky Endpoint Security 源可执行文件分配标签：
   • /var/opt/kaspersky/kesl/11.3.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/libexec/kesl
   • /var/opt/kaspersky/kesl/11.3.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/bin/kesl-control
   • /var/opt/kaspersky/kesl/11.3.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/libexec/kesl-gui
   • /var/opt/kaspersky/kesl/11.3.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/shared/kesl
4. 运行以下任务：
   • 文件威胁防护任务：

     kesl-control --start-task 1

   • 关键区域扫描任务：

     kesl-control --start-task 4 -W

   推荐使用 Kaspersky Endpoint Security 运行您计划运行的所有任务。

5. 启动图形用户界面（如果您计划使用它）。
6. 确保 audit.log 文件中没有错误：

   grep kesl /var/log/audit/audit.log

7. 如果 audit.log 文件中存在错误，请根据阻止记录创建并下载新的规则模块以修复错误，然后重启计划在使用 Kaspersky Endpoint Security 时运行的所有任务。

   如果出现与 Kaspersky Endpoint Security 相关的新审计消息，则必须更新包含规则模块文件的文件。

8. 将 SELinux 切换为阻止模式：

   # setenforce Enforcing

如果使用自定义 SELinux 策略，请在安装应用程序更新后为 Kaspersky Endpoint Security 源可执行文件手动分配标签（执行步骤 1、3–8）。

您可以在操作系统的文档中找到更多信息。

配置 SELinux 以运行“启动进程”任务

如果 SELinux 以Enforcing模式安装在您的操作系统中，则启动启动进程任务需要对 SELinux 进行额外配置。

配置 SELinux 以运行“启动进程”任务

1. 将 SELinux 切换为宽容模式：
   • 如果已激活 SELinux，请执行以下命令：

     # setenforce Permissive

   • 如果禁用了 SELinux，请在配置文件 /etc/SELinux/config 中设定 SELINUX=permissive 设置，然后重新启动操作系统。
2. 确保 semanage 实用程序已安装在系统。如果未安装该实用程序，请安装 policycoreutils-python 或 policycoreutils-python-utils 包，具体取决于包管理器。
3. 启动“启动进程”任务。
4. 确保 audit.log 文件中没有错误：

   grep kesl /var/log/audit/audit.log

5. 如果 audit.log 文件中存在错误，则根据阻止规则创建并加载新的规则模块来修复错误，然后再次运行“启动进程”任务。
6. 将 SELinux 切换为阻止模式：

   # setenforce Enforcing

页面顶部