По умолчанию пользователи могут войти в Kaspersky Security Center Linux с любого устройства, на котором они могут открыть Kaspersky Security Center Web Console. Настроить Сервер администрирования можно таким образом, чтобы пользователи могли подключаться к нему только с устройств с разрешенными IP-адресами. В этом случае, даже если злоумышленник похитит учетную запись Kaspersky Security Center Linux, он не сможет войти в Kaspersky Security Center Linux, так как IP-адрес устройства злоумышленника отсутствует в списке разрешенных.
IP-адрес проверяется, когда пользователь входит в Kaspersky Security Center Linux или запускает приложение, которое взаимодействует с Сервером администрирования через Kaspersky Security Center Linux OpenAPI. В этот момент устройство пользователя пытается установить соединение с Сервером администрирования. Если IP-адрес устройства отсутствует в списке разрешенных, возникает ошибка аутентификации и событие KLAUD_EV_SERVERCONNECT уведомляет о том, что соединение с Сервером администрирования не установлено.
Требования к списку разрешенных IP-адресов
IP-адреса проверяются только при попытке подключения к Серверу администрирования следующих приложений:
Если вы входите в Kaspersky Security Center Linux через Kaspersky Security Center Web Console, вы можете настроить сетевой экран на устройстве, где установлен Сервер Kaspersky Security Center Web Console, штатными средствами операционной системы. Затем, если кто-то попытается войти в Kaspersky Security Center Linux на одном устройстве, а Сервер Kaspersky Security Center Web Console установлен на другом устройстве, сетевой экран поможет предотвратить вмешательство злоумышленников.
Поэтому укажите адреса устройств, на которых установлены перечисленные выше приложения.
Вы можете установить IPv4-адреса и IPv6-адреса. Указать диапазоны IP-адресов невозможно.
Как создать список разрешенных IP-адресов
Если вы еще не установили список разрешенных, следуйте приведенным ниже инструкциям.
Чтобы создать список разрешенных IP-адресов для входа в Kaspersky Security Center Linux:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses
>" -t s
Укажите IP-адреса, соответствующие перечисленным выше требованиям. Несколько IP-адресов должны быть разделены точкой с запятой.
Пример того, как разрешить подключение к Серверу администрирования только одному устройству:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
Пример того, как разрешить нескольким устройствам подключаться к Серверу администрирования:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
Узнать, успешно ли настроен список разрешенных IP-адресов, можно в журнале событий Syslog Event Log на Сервере администрирования.
Как изменить список разрешенных IP-адресов
Вы можете изменить список разрешенных точно так же, как и при его создании. Для этого выполните ту же команду и укажите новый список разрешенных:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses
>" -t s
Если вы хотите удалить некоторые IP-адреса из списка разрешенных, перепишите его. Например, ваш список разрешенных включает следующие IP-адреса: 192.0.2.0; 198.51.100.0; 203.0.113.0. Вы хотите удалить IP-адрес 198.51.100.0. Для этого в командной строке введите следующую команду:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
Не забудьте перезапустить службу Сервера администрирования.
Как сбросить настроенный список разрешенных IP-адресов
Чтобы сбросить уже настроенный список разрешенных IP-адресов:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
После этого IP-адреса больше не проверяются.
В начало