Lancement de l'application sous ALT SP en mode environnement logiciel fermé

Cette section décrit les actions que vous devez effectuer pour lancer l'application sur le système d'exploitation Alt SP en mode environnement logiciel fermé.

Pour exécuter une application sous le système d'exploitation ALT SP :

  1. Désactivez le mode environnement logiciel fermé s'il est activé en exécutant la commande :

    integrity-remover

  2. Créez le groupe kesl pour modifier la stratégie IMA en exécutant la commande :

    groupadd kesl

  3. Trouvez l'identifiant unique (GUID) du groupe créé en exécutant la commande :

    cat /etc/group | grep kesl

  4. Modifiez la stratégie IMA pour exclure le groupe kesl. Pour ce faire, procédez comme suit :
    1. Copiez le fichier /usr/share/integrity/policyy en exécutant la commande :

      cp /usr/share/integrity/policy /etc/integrity/policy

    2. Modifiez le fichier /etc/integrity/policy avec un éditeur de texte (tel que vim) en exécutant la commande :

      vim /etc/integrity/policy

    3. Après la ligne dont_measure fsmagic=0xf97cff8c (généralement la dernière ligne du groupe dont_measure), ajoutez la ligne dont_measure fgroup=<GUID>, où <GUID> est l'identifiant unique du groupe créé à l'étape 2 de cette instruction.
    4. Après la ligne dont_appraise fsmagic=0x27e0eb (généralement la dernière ligne du groupe dont_appraise), ajoutez la ligne dont_appraise fgroup=<GUID> , où <GUID> est l'identifiant unique du groupe créé à l'étape 2 de cette instruction.
    5. Enregistrez vos modifications.
  5. Dans le fichier /usr/sbin/integrity-sign, modifiez la fonction list_all_files pour inclure Kaspersky Endpoint Security dans la liste d'autorisation des applications autorisées à s'exécuter en mode environnement logiciel fermé. Pour ce faire, procédez comme suit :
    1. Modifiez le fichier /usr/sbin/integrity-sign à l'aide d'un éditeur de texte (par exemple, vim) en exécutant la commande :

      vim /usr/sbin/integrity-sign

    2. Recherchez la fonction list_all_files et dans le corps de la fonction, dans les lignes commençant par find -P à la fin de chaque liste de répertoire, ajoutez les répertoires de l'application Kaspersky Endpoint Security /var/opt et /opt.
    3. Enregistrez vos modifications.
  6. Installez l'application Kaspersky Endpoint Security. Pour garantir le bon fonctionnement de la mise à jour des bases de données de l'application après l'installation, ne lancez pas cette mise à jour lors de la configuration initiale de l'application (pour cela, saisissez no à l'étape de lancement de la mise à jour des bases de l'application).
  7. Attribuez l’héritage des droits du groupe et des répertoires kesl aux modules mis à jour de l'application Kaspersky Endpoint Security en exécutant les commandes suivantes :

    cd /var/opt/kaspersky/kesl/<numéro de version_*>/var/opt/kaspersky/kesl/private

    chown -R root:kesl updates/

    find updates -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/kesl/lib64

    chown -R root:kesl updatable_modules/

    find updatable_modules -type d -exec chmod g+s {} \;

    cd /var/opt/kaspersky/kesl/common/

    chown -R root:kesl temp/

    find temp -type d -exec chmod g+s {} \;

  8. Attribuez l’héritage des droits du groupe et des répertoires kesl aux modules mis à jour de l'Agent d’administration en exécutant les commandes suivantes :

    cd /var/opt/kaspersky/

    chown -R root:kesl klnagent/

    find klnagent/ -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/

    chown -R root:kesl klnagent64/

    find klnagent64/ -type d -exec chmod g+s {} \;

  9. Activez le mode d'environnement logiciel fermé en exécutant la signature système avec la commande :

    integrity-applier -i -A

  10. Assurez-vous que le sous-système IMA est activé en exécutant la commande :

    cat /proc/cmdline

    L'affichage de la commande doit contenir les lignes lsm=integrity ima_hash=sha512 ima_appraise=enforce.

  11. Exécutez la tâche de mise à jour des bases de données avec la commande :

    kesl-control --start 6 -W

    Si l'événement EventType=BasesApplied est présent dans l'affichage après la fin de la tâche de mise à jour des bases de données, les bases de données ont été correctement mises à jour.

    Si l'application est utilisée en mode Light Agent pour protéger les environnements virtuels, attendez que la mise à jour des bases de données de l'application soit effectuée automatiquement. Vous pouvez consulter les informations relatives aux mises à jour de la base de données à l'aide de la commande kesl-control --app-info. Les informations sur le téléchargement des bases de données de l'application et la date de la dernière mise à jour de la base de données sont affichées.

  12. Redémarrez l'application en exécutant la commande :

    systemctl restart kesl

Haut de page