SELinux システムの権限の設定

本製品での動作のための SELinux の手動設定

本製品の初期設定時に SELinux の自動設定ができない場合、または自動設定を拒否した場合は、Kaspersky Endpoint Security と連携するように SELinux を手動で設定できます。

本製品で動作するように SELinux を設定します:

  1. SELinux を Permissive モードに切り替えます:
    • SELinux がアクティベートされた場合は、次のコマンドを実行します:

      # setenforce Permissive

    • SELinux が無効になっている場合は、SELINUX=permissive 設定を設定情報ファイル /etc/selinux/config で設定し、オペレーティングシステムを再起動します。
  2. オペレーティングシステムに semanage ユーティリティがインストールされていることを確認します。ユーティリティがインストールされていない場合は、パッケージマネージャに応じて、policycoreutils-python または policycoreutils-python-utils パッケージをインストールします。
  3. 既定のターゲットポリシーの代わりにカスタム SELinux ポリシーを使用している場合は、使用している SELinux ポリシーに従って、Kaspersky Endpoint Security の各ソース実行ファイルにラベルを割り当てます。そのためには、次のコマンドを実行します:

    # semanage fcontext -a -t bin_t <実行ファイル>

    # restorecon -v <実行ファイル>

    ここでの <実行ファイル> は:

    • /var/opt/kaspersky/kesl/12.1.0.<ビルド番号>_<インストール日時>/opt/kaspersky/kesl/libexec/kesl
    • /var/opt/kaspersky/kesl/12.1.0.<ビルド番号>_<インストール日時>/opt/kaspersky/kesl/bin/kesl-control
    • /var/opt/kaspersky/kesl/12.1.0.<ビルド番号>_<インストール日時>/opt/kaspersky/kesl/libexec/kesl-gui
    • /var/opt/kaspersky/kesl/12.1.0.<ビルド番号>_<インストール日時>/opt/kaspersky/kesl/shared/kesl
  4. 次のタスクを実行します:
    • ファイル脅威対策タスク:

      kesl-control --start-task 1

    • 簡易スキャンタスク:

      kesl-control --start-task 4 -W

    Kaspersky Endpoint Security の使用中に実行を予定しているすべてのタスクの実行を推奨します。

  5. 使用する計画がある場合、グラフィカルユーザーインターフェイスを起動します。
  6. audit.log ファイルにエラーがないことを確認します:

    # grep kesl /var/log/audit/audit.log

  7. audit.log ファイルにエラーがある場合は、そのエラーを修正するためにブロック化レコードに基づいて新しいルールモジュールを作成してダウンロードし、Kaspersky Endpoint Security の使用中に実行する予定のすべてのタスクを再度開始します。そのためには、次のコマンドを実行します:

    # grep kesl /var/log/audit/audit.log | audit2allow -M kesl

    # semodule -i kesl.pp

    Kaspersky Endpoint Security に関する新しい監査メッセージが表示された場合は、ルールモジュールファイルを含むファイルをアップデートする必要があります。

  8. SELinux を Blocking モードに切り替えます:

    # setenforce Enforcing

カスタム SELinux ポリシーを使用する場合は、製品のアップデートをインストールした後、Kaspersky Endpoint Security のソース実行ファイルに手動でラベルを割り当てる必要があります(手順 1、3~8 に従ってください)。

詳しくは、お使いのオペレーティングシステムのマニュアルをご覧ください。

「プロセスの開始」タスクの実行のための SELinux の設定

SELinux が Enforcing モードでオペレーティングシステムにインストールされている場合、[プロセスの開始]タスクを開始するには、SELinux の追加設定が必要です。

SELinuxを設定して「プロセスの開始」タスクを実行します

  1. SELinux を Permissive モードに切り替えます:
    • SELinux がアクティベートされた場合は、次のコマンドを実行します:

      # setenforce Permissive

    • SELinux が無効になっている場合は、SELINUX=permissive 設定を設定情報ファイル /etc/selinux/config で設定し、オペレーティングシステムを再起動します。
  2. オペレーティングシステムに semanage ユーティリティがインストールされていることを確認します。ユーティリティがインストールされていない場合は、パッケージマネージャに応じて、policycoreutils-python または policycoreutils-python-utils パッケージをインストールします。
  3. 「プロセスの開始」タスクを開始します。
  4. audit.log ファイルにエラーがないことを確認します:

    # grep kesl /var/log/audit/audit.log

  5. audit.log ファイルにエラーが存在する場合は、ブロックルールに基づいて新しいルールモジュールを作成して読み込み、エラーを修正してから、「プロセスの開始」タスクを再度実行します。

    # grep kesl /var/log/audit/audit.log | audit2allow -M kesl

    # semodule -i kesl.pp

  6. SELinux を Blocking モードに切り替えます:

    # setenforce Enforcing

ページのトップに戻る