Konfiguration der Berechtigungen im SELinux-System

Manuelle Konfiguration von SELinux für die Arbeit mit der App

Wenn bei der Ersteinrichtung der App Kaspersky Endpoint Security das SELinux-System nicht automatisch konfiguriert werden konnte oder Sie die automatische Konfiguration abgelehnt haben, können Sie das SELinux-System manuell für die Arbeit mit der App Kaspersky Endpoint Security konfigurieren.

So konfigurieren Sie SELinux für die Arbeit mit der App:

  1. Schalten Sie SELinux in den Erlaubnismodus:
    • Wenn SELinux aktiviert wurde, führen Sie den folgenden Befehl aus:

      # setenforce Permissive

    • Falls SELinux deaktiviert wurde, geben Sie in der Konfigurationsdatei /etc/selinux/config den Parameterwert SELINUX=permissive an und starten Sie das Betriebssystem neu.
  2. Stellen Sie sicher, dass das Tool semanage im System installiert ist. Wenn das Tool nicht installiert ist, installieren Sie je nach Typ des Paketmanagers das Paket policycoreutils-python oder policycoreutils-python-utils.
  3. Wenn Sie eine benutzerdefinierte SELinux-Richtlinie verwenden, die sich von der Standardrichtlinie targeted policy unterscheidet, kennzeichnen Sie die folgenden ausführbaren Quelldateien der App Kaspersky Endpoint Security gemäß der verwendeten SELinux-Richtlinie:
    • /var/opt/kaspersky/kesl/12.0.<Build-Nummer>_<Installationszeitstempel>/opt/kaspersky/kesl/libexec/kesl
    • /var/opt/kaspersky/kesl/12.0.<Build-Nummer>_<Installationszeitstempel>/opt/kaspersky/kesl/bin/kesl-control
    • /var/opt/kaspersky/kesl/12.0.<Build-Nummer>_<Installationszeitstempel>/opt/kaspersky/kesl/libexec/kesl-gui
    • /var/opt/kaspersky/kesl/12.0.<Build-Nummer>_<Installationszeitstempel>/opt/kaspersky/kesl/shared/kesl
  4. Führen Sie den folgenden Aufgaben aus:
    • Aufgabe zum Schutz vor bedrohlichen Dateien:

      kesl-control --start-task 1

    • Aufgabe zur Untersuchung wichtiger Bereiche:

      kesl-control --start-task 4 -W

    Es wird empfohlen, alle geplanten Aufgaben während der Verwendung der App Kaspersky Endpoint Security auszuführen.

  5. Starten Sie die grafische Benutzeroberfläche, wenn Sie diese benutzen wollen.
  6. Stellen Sie sicher, dass in der Datei "audit.log" keine Fehler enthalten sind:

    grep kesl /var/log/audit/audit.log

  7. Sollten in der Datei audit.log Fehler enthalten sein, erstellen Sie ein neues Regelmodul und führen Sie es auf der Grundlage der blockierenden Einträge aus, um die Fehler zu beheben. Führen Sie anschließend alle Aufgaben erneut aus, die Sie für die Ausführung in der App Kaspersky Endpoint Security geplant haben.

    Wenn neue Audit-Meldungen erscheinen, die sich auf Kaspersky Endpoint Security beziehen, muss die Datei des Regelmoduls aktualisiert werden.

  8. Schalten Sie SELinux in den Sperrmodus:

    # setenforce Enforcing

Wenn Sie eine benutzerdefinierte SELinux-Richtlinie verwenden, müssen Sie nach der Installation von App-Updates den ursprünglichen ausführbaren Dateien der App Kaspersky Endpoint Security manuell eine Kennzeichnung zuweisen (befolgen Sie die Schritte 1, 3–8).

Weitere Informationen finden Sie in der Dokumentation des jeweiligen Betriebssystems.

Konfiguration von SELinux für die Ausführung der Aufgabe "Prozess starten".

Wenn auf Ihrem Betriebssystem SELinux im Modus Enforcing installiert ist, müssen Sie zum Ausführen der Aufgabe Prozess starten zusätzlich das SELinux-System konfigurieren.

So konfigurieren Sie SELinux für die Ausführung der Aufgabe "Prozess starten":

  1. Schalten Sie SELinux in den Erlaubnismodus:
    • Wenn SELinux aktiviert wurde, führen Sie den folgenden Befehl aus:

      # setenforce Permissive

    • Falls SELinux deaktiviert wurde, geben Sie in der Konfigurationsdatei /etc/selinux/config den Parameterwert SELINUX=permissive an und starten Sie das Betriebssystem neu.
  2. Stellen Sie sicher, dass das Tool semanage im System installiert ist. Wenn das Tool nicht installiert ist, installieren Sie je nach Typ des Paketmanagers das Paket policycoreutils-python oder policycoreutils-python-utils.
  3. Führen Sie die Aufgabe "Prozess starten" aus.
  4. Stellen Sie sicher, dass in der Datei "audit.log" keine Fehler enthalten sind:

    grep kesl /var/log/audit/audit.log

  5. Wenn die Datei audit.log Fehler enthält, erstellen und laden Sie eine neues Regel-Modul basierend auf blockierenden Einträgen, um die Fehler zu beheben. Führen Sie die Aufgabe "Prozess starten" anschließend erneut aus.
  6. Schalten Sie SELinux in den Sperrmodus:

    # setenforce Enforcing

Nach oben