Configuration d'une liste d'autorisation d'adresses IP pour se connecter à Kaspersky Security Center Linux

Par défaut, les connexions à Kaspersky Security Center Linux sont autorisées depuis n'importe quel appareil. Par exemple, vous pouvez installer Kaspersky Security Center Web Console Server sur n'importe quel appareil qui satisfait à la configuration requise et le Kaspersky Security Center Web Console Server communiquera avec Kaspersky Security Center Linux. Cependant, vous pouvez configurer le Serveur d'administration pour que les connexions soient autorisées uniquement à partir des appareils utilisant les adresses IP que vous spécifiez. Dans ce cas, si un intrus tente de se connecter à Kaspersky Security Center Linux via le serveur de Kaspersky Security Center Web Console installé sur un appareil qui ne figure pas dans la liste d'autorisation, il ne pourra pas se connecter à Kaspersky Security Center Linux.

L'adresse IP est vérifiée lorsqu'un utilisateur se connecte à Kaspersky Security Center Linux ou exécute une application qui interagit avec le Serveur d'administration via Kaspersky Security Center Linux OpenAPI. À ce moment, une application sur un appareil tente d'établir une connexion avec le Serveur d'administration. Si une adresse IP de l'appareil ne figure pas dans la liste d'autorisation, l'erreur d'authentification se produit et l'événement KLAUD_EV_SERVERCONNECT signale qu'une connexion avec le Serveur d'administration n'a pas été établie.

Conditions requises pour une liste d'autorisation d'adresses IP

Les adresses IP sont vérifiées uniquement lorsque les applications suivantes tentent de se connecter au Serveur d'administration :

• Serveur de Kaspersky Security Center Web Console

  Si vous vous connectez à Kaspersky Security Center Linux via Kaspersky Security Center Web Console, vous pouvez configurer un pare-feu sur l'appareil où Kaspersky Security Center Web Console Server est installé à l'aide du système d'exploitation standard. Ensuite, si quelqu'un essaie de se connecter à Kaspersky Security Center Linux sur un appareil et Kaspersky Security Center Web Console Server est installé sur un autre appareil, un pare-feu permet d'empêcher les intrus d'intervenir.

• Applications interagissant avec le Serveur d'administration via les objets d'automatisation klakaut
• Applications interagissant avec le Serveur d'administration via OpenAPI, comme Kaspersky Anti Targeted Attack Platform ou Kaspersky Security for Virtualization

Par conséquent, indiquez les adresses des appareils sur lesquels les applications répertoriées ci-dessus sont installées.

Vous pouvez définir des adresses IPv4 et IPv6. Vous ne pouvez pas spécifier de plages d'adresses IP.

Comment établir une liste d'autorisation d'adresses IP

Si vous n'avez pas encore défini de liste d'autorisation, suivez les instructions ci-dessous.

Pour établir une liste d'autorisation d'adresses IP pour se connecter à Kaspersky Security Center Linux :

1. Sur l'appareil du Serveur d'administration, exécutez l'invite de commande sous un compte avec des droits d'administrateur.
2. Remplacez votre répertoire actuel par le dossier d'installation de Kaspersky Security Center Linux (généralement, /opt/kaspersky/ksc64/sbin).
3. Sous le compte root, saisissez la commande suivante :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

   Indiquez les adresses IP qui répondent aux exigences énumérées ci-dessus. Plusieurs adresses IP doivent être séparées par un point-virgule.

   Exemple d'autorisation de connexion d'un seul appareil au Serveur d'administration :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   Exemple d'autorisation de connexion de plusieurs appareils au Serveur d'administration :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. Relancez le service du Serveur d'administration.

Vous pouvez savoir si vous avez correctement configuré la liste d'autorisation d'adresses IP dans les journaux d'événement Syslog sur le Serveur d'administration.

Comment modifier une liste d'autorisation d'adresses IP

Vous pouvez modifier une liste d'autorisation comme vous l'avez fait lors de sa création. Pour cela, exécutez la même commande et indiquez une nouvelle liste d'autorisation :

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

Si vous souhaitez supprimer certaines adresses IP de la liste d'autorisation, réécrivez-la. Par exemple, votre liste d'autorisation inclut les adresses IP suivantes : 192.0.2.0 ; 198.51.100.0 ; 203.0.113.0. Vous souhaitez supprimer l'adresse IP 198.51.100.0. Pour ce faire, saisissez la commande suivante à l'invite de commande, en :

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

N'oubliez pas de redémarrer le service du Serveur d'administration.

Comment réinitialiser une liste d'autorisation configurée d'adresses IP

Pour réinitialiser une liste d'autorisation d'adresses IP déjà configurée, procédez comme suit :

1. Sous le compte root, saisissez la commande suivante à l'invite de commande :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. Relancez le service du Serveur d'administration.

Après cela, les adresses IP ne sont plus vérifiées.

Haut de page