Configuration des règles d'autorisation dans le système SELinux

Configuration de SELinux pour travailler manuellement avec l'application

Si l'application n'a pas réussi à configurer automatiquement le système SELinux lors de la configuration initiale de l'application Kaspersky Endpoint Security ou si vous avez refusé la configuration automatique, vous pouvez configurer manuellement le système SELinux pour qu'il fonctionne avec l'application Kaspersky Endpoint Security.

Pour configurer manuellement SELinux pour qu'il fonctionne avec l'application :

  1. Placez SELinux en mode non bloquant :
    • Si SELinux a été activé, exécutez la commande suivante :

      # setenforce Permissive

    • Si SELinux était désactivé, ouvrez le fichier de configuration /etc/selinux/config, attribuez la valeur suivante au paramètre SELINUX=permissive et redémarrez le système d'exploitation.
  2. Assurez que l'utilitaire semanage est installé dans le système. Si l'utilitaire n'est pas installé, installez le paquet policycoreutils-python ou policycoreutils-python-utils en fonction du type de gestionnaire de paquets.
  3. Si vous utilisez une stratégie SELinux personnalisée différente de la stratégie par défaut targeted policy, attribuez une étiquette aux fichiers exécutables sources de l'application Kaspersky Endpoint Security suivants conformément à la stratégie SELinux utilisée :
    • /var/opt/kaspersky/kesl/12.1.0.<numéro de version>_<horodatage installation>/opt/kaspersky/kesl/libexec/kesl
    • /var/opt/kaspersky/kesl/12.1.0.<numéro de version>_<horodatage installation>/opt/kaspersky/kesl/bin/kesl-control
    • /var/opt/kaspersky/kesl/12.1.0.<numéro de version>_<horodatage installation>/opt/kaspersky/kesl/libexec/kesl-gui
    • /var/opt/kaspersky/kesl/12.1.0.<numéro de version>_<horodatage installation>/opt/kaspersky/kesl/shared/kesl
  4. Lancez les tâches suivantes :
    • tâche de protection contre les menaces sur les fichiers :

      kesl-control --start-task 1

    • Tâche d'analyse des zones critiques

      kesl-control --start-task 4 -W

    Il est recommandé de lancer toutes les tâches que vous pensez utiliser pendant l'utilisation de l'application Kaspersky Endpoint Security.

  5. Lancez l'interface utilisateur graphique si vous prévoyez de l'utiliser.
  6. Assurez-vous que le fichier audit.log ne contient aucune erreur :

    grep kesl /var/log/audit/audit.log

  7. Si vous découvrez des erreurs dans le fichier audit.log, créez et chargez un nouveau module de règles sur la base des enregistrements de blocage pour éliminer les erreurs, puis exécutez toutes les tâches que vous avez l'intention d'exécuter pendant l'utilisation de l'application Kaspersky Endpoint Security.

    En cas d'apparition de nouveaux messages audit relatifs à Kaspersky Endpoint Security, il faut mettre à jour le fichier du module des règles.

  8. Placez SELinux en mode bloquant :

    # setenforce Enforcing

Si vous utilisez une stratégie SELinux personnalisée, après l'installation des mises à jour de l'application, vous devez attribuer manuellement une étiquette aux fichiers exécutables d'origine de l'application Kaspersky Endpoint Security (suivez les étapes 1 et de 3 à 8).

Pour obtenir de plus amples informations, consultez la documentation du système d'exploitation utilisé.

Configuration de SELinux pour exécuter la tâche Démarrer le processus

Si SELinux est installé sur votre système d'exploitation en mode Enforcing, alors pour exécuter la tâche Démarrer le processus, vous devez configurer en plus le système SELinux.

Pour configurer SELinux pour exécuter la tâche Démarrer le processus :

  1. Placez SELinux en mode non bloquant :
    • Si SELinux a été activé, exécutez la commande suivante :

      # setenforce Permissive

    • Si SELinux était désactivé, ouvrez le fichier de configuration /etc/selinux/config, attribuez la valeur suivante au paramètre SELINUX=permissive et redémarrez le système d'exploitation.
  2. Assurez que l'utilitaire semanage est installé dans le système. Si l'utilitaire n'est pas installé, installez le paquet policycoreutils-python ou policycoreutils-python-utils en fonction du type de gestionnaire de paquets.
  3. Lancez la tâche Démarrer le processus.
  4. Assurez-vous que le fichier audit.log ne contient aucune erreur :

    grep kesl /var/log/audit/audit.log

  5. S'il y a des erreurs dans le fichier audit.log, créez et chargez un nouveau module de règles basé sur les enregistrements de blocage pour résoudre les erreurs, puis exécutez à nouveau la tâche Démarrer le processus.
  6. Placez SELinux en mode bloquant :

    # setenforce Enforcing

Haut de page