在 SELinux 系統中設定允許規則

手動配置 SELinux 以與應用程式配合使用

如果在應用程式的初始配置期間無法自動配置 SELinux，或者您拒絕了自動配置，則可以手動配置 SELinux 以與 Kaspersky Endpoint Security 配合使用。

若要手動配置 SELinux 以與應用程式配合使用：

1. 將 SELinux 切換到權限模式：
   • 如果已經啟動 SELinux，請執行以下指令：

     # setenforce Permissive

   • 如果 SELinux 已停用，請在設定檔 /etc/selinux/config 中設定SELINUX=permissive，並重新啟動作業系統。
2. 確保系統上安裝了 semanage 實用程式。如果未安裝該實用程式，請根據套件管理器安裝 policycoreutils-python 或 policycoreutils-python-utils 套件。
3. 如果您使用自訂 SELinux 政策而不是預設的目標政策，請根據所使用的 SELinux 政策為 Kaspersky Endpoint Security 的每個來源可執行檔指派一個標籤；為此，請執行以下命令：

   # semanage fcontext -a -t bin_t <executable file>

   # restorecon -v <executable file>

   其中<可執行檔>是：

   • /var/opt/kaspersky/kesl/12.3.0.<內部版本號>_<安裝時間戳記>/opt/kaspersky/kesl/libexec/kesl
   • /var/opt/kaspersky/kesl/12.3.0.<內部版本號>_<安裝時間戳記>/opt/kaspersky/kesl/bin/kesl-control
   • /var/opt/kaspersky/kesl/12.3.0.<內部版本號>_<安裝時間戳記>/opt/kaspersky/kesl/libexec/kesl-gui
   • /var/opt/kaspersky/kesl/12.3.0.<內部版本號>_<安裝時間戳記>/opt/kaspersky/kesl/shared/kesl
4. 執行以下工作：
   • 檔案威脅防護工作：

     kesl-control --start-task 1

   • 關鍵區域掃描工作：

     kesl-control --start-task 4 -W

   建議執行在使用 Kaspersky Endpoint Security 時規劃要執行的所有工作。

5. 如果您打算使用圖形使用者介面，請啟動它。
6. 確保 audit.log 檔案中沒有錯誤：

   # grep kesl /var/log/audit/audit.log

7. 如果 audit.log 檔案中有錯誤，請根據封鎖記錄建立並下載新的規則模組以修復錯誤，然後重新啟動您計劃在使用 Kaspersky Endpoint Security 時執行的所有工作；為此，請執行以下指令：

   # grep kesl /var/log/audit/audit.log | audit2allow -M kesl

   # semodule -i kesl.pp

   如果出現與 Kaspersky Endpoint Security 相關的新稽核訊息，則必須更新包含規則模組檔案的檔案。

8. 將 SELinux 切換為封鎖模式：

   # setenforce Enforcing

如果您使用自訂 SELinux 政策，請在安裝應用程式更新後手動為 Kaspersky Endpoint Security 來源可執行檔指派標籤（依照步驟 1、3-8 操作）。

您可以在作業系統的文件中找到更多資訊。

配置 SELinux 以執行“啟動處理程序”工作

如果您的作業系統中以Enforcing模式安裝了 SELinux，則啟動啟動處理程序工作需要對 SELinux 進行額外配置。

若要配置 SELinux 以執行“啟動處理程序”工作

1. 將 SELinux 切換到權限模式：
   • 如果已經啟動 SELinux，請執行以下指令：

     # setenforce Permissive

   • 如果 SELinux 已停用，請在設定檔 /etc/selinux/config 中設定SELINUX=permissive，並重新啟動作業系統。
2. 確保系統上安裝了 semanage 實用程式。如果未安裝該實用程式，請根據套件管理器安裝 policycoreutils-python 或 policycoreutils-python-utils 套件。
3. 啟動“啟動處理程序”工作。
4. 確保 audit.log 檔案中沒有錯誤：

   # grep kesl /var/log/audit/audit.log

5. 如果 audit.log 檔案中存在錯誤，則根據封鎖規則建立並載入新的規則模組來修復錯誤，然後再次執行“啟動處理程序”工作。

   # grep kesl /var/log/audit/audit.log | audit2allow -M kesl

   # semodule -i kesl.pp

6. 將 SELinux 切換為封鎖模式：

   # setenforce Enforcing

頁頂