Konfigurowanie listy dozwolonych adresów IP do łączenia się z Kaspersky Security Center Linux

Domyślnie połączenia z Kaspersky Security Center Linux są dozwolone z dowolnego urządzenia. Możesz na przykład zainstalować Kaspersky Security Center Web Console Server na dowolnym urządzeniu spełniającym wymagania, a Kaspersky Security Center Web Console Server będzie komunikować się z Kaspersky Security Center Linux. Możesz jednak skonfigurować Serwer administracyjny tak, aby połączenia były dozwolone wyłącznie z urządzeń o określonych przez Ciebie adresach IP. W takim przypadku, jeśli intruz spróbuje nawiązać połączenie z Kaspersky Security Center Linux za pośrednictwem Kaspersky Security Center Web Console Server zainstalowanego na urządzeniu, które nie znajduje się na liście dozwolonych, nie będzie mógł zalogować się do Kaspersky Security Center Linux.

Adres IP jest sprawdzany, gdy użytkownik loguje się do Kaspersky Security Center Linux lub uruchamia aplikację, która współdziała z Serwerem administracyjnym poprzez Kaspersky Security Center Linux OpenAPI. W tym momencie aplikacja na urządzeniu próbuje nawiązać połączenie z Serwerem administracyjnym. Jeśli adresu IP urządzenia nie ma na liście dozwolonych, wystąpi błąd uwierzytelniania, a zdarzenie KLAUD_EV_SERVERCONNECT powiadamia, że połączenie z serwerem administracyjnym nie zostało nawiązane.

Wymagania dotyczące listy dozwolonych adresów IP

Adresy IP są weryfikowane tylko wtedy, gdy następujące aplikacje próbują połączyć się z serwerem administracyjnym:

• Kaspersky Security Center Web Console Server

  Jeśli logujesz się do Kaspersky Security Center Linux za pomocą Kaspersky Security Center Web Console, możesz skonfigurować zaporę sieciową na urządzeniu, na którym zainstalowany jest serwer Kaspersky Security Center Web Console Server, przy użyciu standardowych środków systemu operacyjnego. Następnie, jeśli ktoś spróbuje zalogować się do Kaspersky Security Center Linux na jednym urządzeniu, a serwer Kaspersky Security Center Web Console Server zostanie zainstalowany na innym urządzeniu, zapora sieciowa zapobiegnie ingerencji intruzów.

• Aplikacje współpracujące z serwerem administracyjnym za pośrednictwem obiektów automatyzacji klakaut
• Aplikacje współpracujące z serwerem administracyjnym za pośrednictwem interfejsu OpenAPI, takie jak Kaspersky Anti Targeted Attack Platform lub Kaspersky Security for Virtualization

Dlatego należy podać adresy urządzeń, na których zainstalowane są wymienione powyżej aplikacje.

Możesz ustawić adresy IPv4 i IPv6. Nie możesz określić zakresów adresów IP.

Jak ustanowić listę dozwolonych adresów IP

Jeśli wcześniej nie ustawiono listy dozwolonych, postępuj zgodnie z poniższymi instrukcjami.

W celu ustanowienia listy dozwolonych adresów IP do logowania się do Kaspersky Security Center Linux:

1. Na urządzeniu serwera administracyjnego uruchom wiersz poleceń na koncie z uprawnieniami administratora.
2. Zmień bieżący katalog na folder instalacyjny Kaspersky Security Center Linux (zwykle /opt/kaspersky/ksc64/sbin).
3. Na koncie root wpisz następujące polecenie:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<adresy IP>" -t s

   Określ adresy IP, które spełniają powyższe wymagania. Wiele adresów IP należy oddzielać średnikami.

   Przykład — jak zezwolić tylko jednemu urządzeniu na łączenie się z serwerem administracyjnym:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   Przykład — jak zezwolić wielu urządzeniom na łączenie się z serwerem administracyjnym:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. Uruchom ponownie usługę Serwera administracyjnego.

Możesz dowiedzieć się, czy pomyślnie skonfigurowano listę dozwolonych adresów IP w dzienniku zdarzeń Syslog na serwerze administracyjnym.

Jak zmienić listę dozwolonych adresów IP

Listę dozwolonych adresów można zmienić tak samo, jak podczas jej tworzenia. W tym celu uruchom to samo polecenie i określ nową listę dozwolonych adresów:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<adresy IP>" -t s

Jeśli chcesz usunąć niektóre adresy IP z listy dozwolonych, przepisz je. Na przykład, lista dozwolonych zawiera następujące adresy IP: 192.0.2.0; 198.51.100.0; 203.0.113.0. Chcesz usunąć adres IP 198.51.100.0. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

Nie zapomnij ponownie uruchomić usługi serwera administracyjnego.

Jak zresetować skonfigurowaną listę dozwolonych adresów IP

Aby zresetować już skonfigurowaną listę dozwolonych adresów IP:

1. Na koncie root wpisz następujące polecenie w wierszu poleceń:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. Uruchom ponownie usługę Serwera administracyjnego.

Następnie adresy IP nie będą już weryfikowane.

Przejdź do góry