Экспорт политики безопасности с помощью утилиты экспорта

Для экспорта параметров, входящих в политику безопасности, вы можете использовать утилиту экспорта политики безопасности kics4net-cli. Утилита выполняет экспорт всей политики безопасности в файл в указанной директории. В дальнейшем при необходимости вы можете импортировать нужные параметры работы программы из файла с сохраненной политикой безопасности.

Утилита kics4net-cli автоматически устанавливается на компьютере Сервера и находится в директории /opt/kaspersky/kics4net-cli/bin/. С использованием средств операционной системы вы можете настроить автоматический запуск утилиты kics4net-cli для регулярного создания файлов резервной копии политики безопасности.

Утилита kics4net-cli подключается к Серверу программы через коннектор, добавленный в программу.

Чтобы подготовить программу к использованию утилиты экспорта политики безопасности:

  1. Добавьте в программу коннектор, через который утилита будет подключаться к Серверу программы. Для коннектора укажите системный тип Generic.

    После добавления коннектора программа сформирует файл свертки. Файл свертки представляет собой архив.

  2. На компьютере с установленной утилитой kics4net-cli подготовьте директорию для применения содержимого файла свертки.

    Для подготовки директории выполните следующие действия:

    1. Создайте произвольную директорию и скопируйте в нее файл свертки.
    2. Перейдите в директорию, в которую скопирован файл свертки, и введите команду для распаковки архива:

      unzip <имя файла свертки>

      В директории появятся распакованные файлы.

    3. Введите команду для создания файла сертификата clientcert.crt:

      sudo openssl pkcs12 -in certificates.pfx -nodes -clcerts -nokeys -out clientcert.crt

      При появлении запроса пароля введите пароль для доступа к сертификату коннектора (пароль, заданный при добавлении коннектора или при создании нового файла свертки для этого коннектора).

    4. Введите команду для создания файла ключа clientcert.key:

      sudo openssl pkcs12 -in certificates.pfx -nocerts -nodes -out clientcert.key

      При появлении запроса пароля введите пароль для доступа к сертификату коннектора.

    5. Введите команду для копирования файла webserver.pem в директорию сертификатов утилиты kics4net-cli /var/opt/kaspersky/kics4net-cli/certs/:

      sudo cp webserver.pem /var/opt/kaspersky/kics4net-cli/certs

  3. На компьютере с установленной утилитой kics4net-cli подготовьте директорию для сохранения экспортированных файлов.

    Для подготовки директории выполните следующие действия:

    1. Создайте произвольную директорию. Если вы хотите сохранять файлы на общий сетевой ресурс через локальную файловую систему компьютера, вы можете использовать созданную директорию для сохранения файлов на сетевой ресурс.
    2. Если созданная директория не является вложенной в директорию /var/opt/kaspersky/kics4net/shared/, то назначьте владельцем директории пользователя kics4net. Для этого введите команду:

      sudo chown kics4net:kics4net <путь к директории>

Чтобы экспортировать текущую политику безопасности:

  1. На компьютере с установленной утилитой kics4net-cli откройте консоль операционной системы и перейдите в директорию /opt/kaspersky/kics4net-cli/bin/.
  2. В командной строке введите команду:

    sudo ./kics4net-cli exec exportsecuritypolicy \
    --client-cert=<путь к файлу clientcert.crt> \
    --client-key=<путь к файлу clientcert.key> \
    --export-path=<путь к директории для сохранения файлов> \
    --timeout=<время ожидания>

    где:

    • exec – аргумент для запуска команды, поддерживаемой утилитой (обязательный параметр);
    • exportsecuritypolicy – команда для выполнения экспорта политики безопасности в файл (обязательный параметр);
    • <путь к файлу clientcert.crt> – полный путь и имя файла сертификата clientcert.crt в директории для применения содержимого файла свертки (обязательный параметр);
    • <путь к файлу clientcert.key> – полный путь и имя файла ключа clientcert.key в директории для применения содержимого файла свертки (обязательный параметр);
    • <путь к директории для сохранения файлов> – полный путь к директории для сохранения экспортированных файлов (обязательный параметр);
    • <время ожидания> – время ожидания результата выполнения команды в секундах (по умолчанию 900 секунд), которое можно увеличить с помощью данного параметра, если предыдущая попытка экспорта завершилась неудачно из-за большого объема данных в политике безопасности.

      Пример:

      sudo ./kics4net-cli exec exportsecuritypolicy --client-cert=/home/user1/certs/clientcert.crt --client-key=/home/user1/certs/clientcert.key --export-path=/var/opt/kaspersky/kics4net/shared/policy/

    После завершения работы утилиты проверьте наличие файла в заданной директории.

  3. Если полученный файл требуется скопировать в другое размещение, предоставьте права для копирования файла (по умолчанию такие права есть только у пользователя-владельца). Для предоставления необходимых прав введите команду:

    sudo chmod o+r <путь к файлу политики>

В начало