在封闭软件环境模式下的 ALT SP 上运行应用程序

本节介绍如何在 ALT SP 操作系统中以封闭软件环境模式启动应用程序。

要在 ALT SP 操作系统中运行该应用程序:

  1. 如果已启用封闭软件环境模式,请运行以下命令将其禁用:

    integrity-remover

  2. 运行以下命令创建 kesl 组,以便对 IMA 策略进行进一步更改:

    groupadd kesl

  3. 运行以下命令,查找已创建组的唯一标识符(GUID):

    cat /etc/group | grep kesl

  4. 编辑 IMA 策略,将 kesl 组排除在外。为此:
    1. 运行以下命令复制 /usr/share/integrity/policy 文件:

      cp /usr/share/integrity/policy /etc/integrity/policy

    2. 通过运行以下命令使用文本编辑器(例如,vim)编辑 /etc/integrity/policy 文件:

      vim /etc/integrity/policy

    3. 在行dont_measure fsmagic=0xf97cff8c行(通常这是dont_measure部分的最后一行)之后,添加行dont_measure fgroup=<GUID>,其中<GUID>是按照这些说明的步骤 2 创建的组的唯一标识符)。
    4. 在行dont_appraise fsmagic=0x27e0eb行(通常这是dont_appraise部分的最后一行)之后,添加行dont_appraise fgroup=<GUID>,其中<GUID>是按照这些说明的步骤 2 创建的组的唯一标识符)。
    5. 保存更改。
  5. 在 /usr/sbin/integrity-sign 文件中,编辑 list_all_files 函数,将 Kaspersky Endpoint Security 应用程序添加到允许在封闭环境模式下运行的应用程序允许列表中。为此:
    1. 通过运行以下命令使用文本编辑器(例如,vim)编辑 /usr/sbin/integrity-sign 文件:

      vim /usr/sbin/integrity-sign

    2. 找到 list_all_files 函数,在函数体中,在以find -P开头的行中,将 Kaspersky Endpoint Security 应用程序在 /var/opt 和 /opt 下的目录添加到每个目录枚举的末尾。
    3. 保存更改。
  6. 安装 Kaspersky Endpoint Security 应用程序。为确保应用程序数据库更新在安装后正常工作,在初始配置阶段,拒绝启动应用程序数据库更新(为此,请在应用程序数据库更新步骤中输入“no”)。
  7. 运行以下命令,为 Kaspersky Endpoint Security 应用程序的可更新组件分配 kesl 组和目录权限的继承:

    cd /var/opt/kaspersky/kesl/<内部版本号_*>/var/opt/kaspersky/kesl/private

    chown -R root:kesl updates/

    find updates -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/kesl/lib64

    chown -R root:kesl updatable_modules/

    find updatable_modules -type d -exec chmod g+s {} \;

    cd /var/opt/kaspersky/kesl/common/

    chown -R root:kesl temp/

    find temp -type d -exec chmod g+s {} \;

  8. 运行以下命令,为网络代理的可更新组件分配 kesl 组和目录权限的继承:

    cd /var/opt/kaspersky/

    chown -R root:kesl klnagent/

    find klnagent/ -type d -exec chmod g+s {} \;

    cd /opt/kaspersky/

    chown -R root:kesl klnagent64/

    find klnagent64/ -type d -exec chmod g+s {} \;

  9. 使用以下命令启动系统签名,启用封闭软件环境模式:

    integrity-applier -i -A

  10. 运行以下命令,确保 IMA 子系统已激活:

    cat /proc/cmdline

    命令输出应包含行 lsm=integrity ima_hash=sha512 ima_appraise=enforce.

  11. 运行以下命令启动数据库更新任务:

    kesl-control --start 6 -W

    如果输出包含EventType=BasesApplied事件,则表示数据库更新已正确执行。

    如果应用程序以Light Agent 模式用于保护虚拟环境,请等待应用程序数据库自动更新。您可以使用kesl-control --app-info命令查看有关数据库更新的信息。输出包含关于应用程序数据库是否已加载以及应用程序数据库上次发布时间的信息。

  12. 运行以下命令重启应用程序:

    systemctl restart kesl

页面顶部