Запуск приложения в ОС Альт СП в режиме замкнутой программной среды

В этом разделе описаны действия, которые требуется выполнить, чтобы запустить приложение в операционной системе Aльт СП в режиме замкнутой программной среды.

Чтобы запустить приложение в операционной системе Aльт СП:

  1. Выключите режим замкнутой программной среды, если он включен, выполнив команду:

    integrity-remover

  2. Создайте группу kesl для дальнейшего внесения изменений в политику IMA, выполнив команду:

    groupadd kesl

  3. Узнайте уникальный идентификатор (GUID) созданной группы, выполнив команду:

    cat /etc/group | grep kesl

  4. Внесите изменения в политику IMA, чтобы исключить группу kesl. Для этого выполните следующие действия:
    1. Скопируйте файл /usr/share/integrity/policy, выполнив команду:

      cp /usr/share/integrity/policy /etc/integrity/policy

    2. Отредактируйте файл /etc/integrity/policy с помощью текстового редактора (например, vim), выполнив команду:

      vim /etc/integrity/policy

    3. После строки dont_measure fsmagic=0xf97cff8c (обычно это последняя строка блока dont_measure) добавьте строку dont_measure fgroup=<GUID>, где <GUID> – это уникальный идентификатор группы, созданной на шаге 2 этой инструкции).
    4. После строки dont_appraise fsmagic=0x27e0eb (обычно это последняя строка блока dont_appraise) добавьте строку dont_appraise fgroup=<GUID>, где <GUID> – это уникальный идентификатор группы, созданной на шаге 2 этой инструкции).
    5. Сохраните изменения.
  5. В файле /usr/sbin/integrity-sign внесите изменения в функцию list_all_files для включения приложения Kaspersky Endpoint Security в список разрешенных для запуска в режиме замкнутой программной среды. Для этого выполните следующие действия:
    1. Отредактируйте файл /usr/sbin/integrity-sign с помощью текстового редактора (например, vim), выполнив команду:

      vim /usr/sbin/integrity-sign

    2. Найдите функцию list_all_files и в теле функции в строках, начинающихся с find -P в конце каждого перечисления директорий добавьте директории приложения Kaspersky Endpoint Security /var/opt и /opt.
    3. Сохраните изменения.
  6. Установите приложение Kaspersky Endpoint Security. Чтобы убедиться в корреткности работы обновления баз приложения после его установки, на этапе первоначальной настройки приложения откажитесь от запуска обновления баз приложения (для этого введите no на шаге запуска обновления баз приложения).
  7. Назначьте наследование группы kesl и права на директории для обновляемых компонентов приложения Kaspersky Endpoint Security, выполнив следующие команды:

    cd /var/opt/kaspersky/kesl/<номер сборки_*>/var/opt/kaspersky/kesl/private

    chown -R root:kesl updates/

    find updates -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/kesl/lib64

    chown -R root:kesl updatable_modules/

    find updatable_modules -type d -exec chmod g+s {} \;

    cd /var/opt/kaspersky/kesl/common/

    chown -R root:kesl temp/

    find temp -type d -exec chmod g+s {} \;

  8. Назначьте наследование группы kesl и права на директории для обновляемых компонентов Агента администрирования, выполнив следующие команды:

    cd /var/opt/kaspersky/

    chown -R root:kesl klnagent/

    find klnagent/ -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/

    chown -R root:kesl klnagent64/

    find klnagent64/ -type d -exec chmod g+s {} \;

  9. Включите режим замкнутой программной среды, выполнив запуск подписания системы с помощью команды:

    integrity-applier -i -A

  10. Убедитесь, что подсистема IMA активирована, выполнив команду:

    cat /proc/cmdline

    Вывод команды должен содержать строки lsm=integrity ima_hash=sha512 ima_appraise=enforce.

  11. Запустите задачу обновления баз, выполнив команду:

    kesl-control --start 6 -W

    Если по окончании работы задачи обновления баз в выводе присутствует событие EventType=BasesApplied, то обновление баз выполнено корректно.

    Если приложение используется в режиме Легкого агента для защиты виртуальных сред, дождитесь автоматического обновления баз приложения. Вы можете посмотреть информацию об обновлении баз с помощью команды kesl-control --app-info. В выводе отображается информация о том, загружены ли базы приложения и время последнего выпуска баз приложения.

  12. Перезапустите приложение, выполнив команду:

    systemctl restart kesl

В начало