設定 IP 位址允許清單以登入 卡巴斯基安全管理中心 Linux
預設情況下,使用者可以用任何可以開啟 卡巴斯基安全管理中心 Linux 網頁主控台的裝置登入卡巴斯基安全管理中心。但是,您可以配置管理伺服器,以便使用者只能從具有允許 IP 位址的裝置連線到它。在這種情況下,即使入侵者竊取了 卡巴斯基安全管理中心 Linux 帳戶,他或她也將無法登入 卡巴斯基安全管理中心 Linux ,因為入侵者裝置的 IP 位址不在允許清單中。
當使用者登入卡巴斯基安全管理中心 Linux 或執行透過卡巴斯基安全中心 Linux OpenAPI 與管理伺服器互動的應用程式時,IP 位址會得到驗證。此時,使用者的裝置嘗試與管理伺服器建立連線。如果裝置的 IP 位址不在允許清單中,則會發生身分驗證錯誤,KLAUD_EV_SERVERCONNECT 事件會通知您尚未建立與管理伺服器的連線。
IP 位址允許清單的要求
僅當以下應用程式嘗試連線到管理伺服器時才會驗證 IP 位址:
- 卡巴斯基安全管理中心網頁主控台伺服器
如果您透過卡巴斯基安全管理中心網頁主控台登入 卡巴斯基安全管理中心 Linux ,可以使用作業系統的標準方式在安裝了卡巴斯基安全管理中心網頁主控台伺服器的裝置上配置防火牆。然後,如果有人嘗試在一台裝置上登入 卡巴斯基安全管理中心 Linux 但卡巴斯基安全管理中心網頁主控台伺服器安裝在另一台裝置上,防火牆將有助於防止入侵者乾擾。
- 透過 klakaut 自動化物件與管理伺服器互動的應用程式
- 透過 OpenAPI(例如 Kaspersky Anti Targeted Attack Platform 或 Kaspersky Security for Virtualization)與管理伺服器互動的應用程式
因此,請指定安裝了上述應用程式的裝置的位址。
您可以設定 IPv4 和 IPv6 位址。您不能指定 IP 位址的範圍。
如何建立 IP 位址的允許清單
如果您之前沒有設定允許清單,請按照以下說明進行操作。
若要建立 IP 位址允許清單以登入 卡巴斯基安全管理中心 Linux :
- 在管理伺服器裝置上,在具有管理員權限的帳戶下執行命令提示符。
- 將當前目錄變更為卡巴斯基安全管理中心 Linux 安裝資料夾(通常為 /opt/kaspersky/ksc64/sbin)。
- 在根帳號下輸入以下命令:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<
IP 位址>" -t s指定滿足上述要求的 IP 位址。多個 IP 位址必須用分號隔開。
如何只允許一台裝置連線到管理伺服器的示例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
如何允許多個裝置連線到管理伺服器的示例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
- 重新啟動管理伺服器服務。
您可以在管理伺服器上的 Syslog 事件記錄中查看是否已成功配置 IP 位址的允許清單。
如何變更 IP 位址的允許清單
您可以像第一次建立產品授權清單時那樣變更它。為此,請執行相同命令並指定一個新的允許清單:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP 位址>" -t s
如果要從允許清單中刪除某些 IP 位址,請重寫它。例如,您的允許清單包括以下 IP 位址:192.0.2.0; 198.51.100.0; 203.0.113.0。您想要刪除 198.51.100.0 IP 位址。為此,請在命令提示字元下輸入以下命令:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
不要忘記重新啟動管理伺服器服務。
如何重置已配置的 IP 位址允許清單
要重置已配置的 IP 位址允許清單:
- 在根帳戶下的命令提示下輸入以下命令:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
- 重新啟動管理伺服器服務。
之後,不再驗證 IP 位址。
頁頂