在 SELinux 系统中配置权限

手动配置 SELinux 以与应用程序配合使用

如果在应用程序的初始设置期间无法自动配置 SELinux,或者您拒绝了自动配置,您可以手动配置 SELinux 以使用 Kaspersky Endpoint Security。

要手动配置 SELinux 以使用应用程序:

  1. 将 SELinux 切换为宽容模式:
    • 如果已激活 SELinux,请执行以下命令:

      # setenforce Permissive

    • 如果禁用了 SELinux,请在配置文件 /etc/SELinux/config 中设定 SELINUX=permissive 设置,然后重新启动操作系统。
  2. 确保 semanage 实用程序已安装在系统。如果未安装该实用程序,请安装 policycoreutils-python 或 policycoreutils-python-utils 包,具体取决于包管理器。
  3. 如果您使用自定义 SELinux 策略而不是默认的目标策略,请根据所使用的 SELinux 策略为 Kaspersky Endpoint Security 的每个源可执行文件分配一个标签。为此,请运行以下命令:

    # semanage fcontext -a -t bin_t <可执行文件>

    # restorecon -v <可执行文件>

    其中<executable file>是:

    • /var/opt/kaspersky/kesl/12.1.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/libexec/kesl
    • /var/opt/kaspersky/kesl/12.1.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/bin/kesl-control
    • /var/opt/kaspersky/kesl/12.1.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/libexec/kesl-gui
    • /var/opt/kaspersky/kesl/12.1.0.<版本号>_<安装时间戳>/opt/kaspersky/kesl/shared/kesl
  4. 运行以下任务:
    • 文件威胁防护任务:

      kesl-control --start-task 1

    • 关键区域扫描任务:

      kesl-control --start-task 4 -W

    推荐使用 Kaspersky Endpoint Security 运行您计划运行的所有任务。

  5. 启动图形用户界面(如果您计划使用它)。
  6. 确保 audit.log 文件中没有错误:

    # grep kesl /var/log/audit/audit.log

  7. 如果 audit.log 文件中存在错误,请根据阻止记录创建并下载新的规则模块以修复错误,然后重启计划在使用 Kaspersky Endpoint Security 时运行的所有任务。为此,请运行以下命令:

    # grep kesl /var/log/audit/audit.log | audit2allow -M kesl

    # semodule -i kesl.pp

    如果出现与 Kaspersky Endpoint Security 相关的新审计消息,则必须更新包含规则模块文件的文件。

  8. 将 SELinux 切换为阻止模式:

    # setenforce Enforcing

如果使用自定义 SELinux 策略,请在安装应用程序更新后为 Kaspersky Endpoint Security 源可执行文件手动分配标签(执行步骤 1、3–8)。

您可以在操作系统的文档中找到更多信息。

配置 SELinux 以运行“启动进程”任务

如果 SELinux 以Enforcing模式安装在您的操作系统中,则启动启动进程任务需要对 SELinux 进行额外配置。

配置 SELinux 以运行“启动进程”任务

  1. 将 SELinux 切换为宽容模式:
    • 如果已激活 SELinux,请执行以下命令:

      # setenforce Permissive

    • 如果禁用了 SELinux,请在配置文件 /etc/SELinux/config 中设定 SELINUX=permissive 设置,然后重新启动操作系统。
  2. 确保 semanage 实用程序已安装在系统。如果未安装该实用程序,请安装 policycoreutils-python 或 policycoreutils-python-utils 包,具体取决于包管理器。
  3. 启动“启动进程”任务。
  4. 确保 audit.log 文件中没有错误:

    # grep kesl /var/log/audit/audit.log

  5. 如果 audit.log 文件中存在错误,则根据阻止规则创建并加载新的规则模块来修复错误,然后再次运行“启动进程”任务。

    # grep kesl /var/log/audit/audit.log | audit2allow -M kesl

    # semodule -i kesl.pp

  6. 将 SELinux 切换为阻止模式:

    # setenforce Enforcing

页面顶部