Kaspersky Security Center Linux installieren

In diesem Ablauf wird beschrieben, wie Kaspersky Security Center Linux installiert wird.

Folgende Schritte müssen Sie vor der Installation ausführen:

• Installieren Sie das DBMS für die Verwendung mit Kaspersky Security Center Linux Sie können eins der unterstützten DBMS verwenden. Informationen zur Installation des ausgewählten DBMS finden Sie in dessen Dokumentation.

  Wenn die Distribution Ihres Linux-basierten Betriebssystems ohne unterstütztes DBMS ausgeliefert wird, können Sie das DBMS aus der Paketverwaltung eines Drittanbieters installieren.

  Folgen Sie nach der Installation des DBMS der entsprechenden Anweisung:

  • PostgreSQL- oder Postgres Pro-Server für die Ausführung mit Kaspersky Security Center Linux konfigurieren
  • Den MariaDB x64-Server für die Verwendung mit Kaspersky Security Center Linux konfigurieren
• Stellen Sie sicher, dass auf dem Gerät, auf dem Sie Kaspersky Security Center Linux installieren möchten, eine der unterstützten Linux-Distributionen ausgeführt wird.

  Wenn Sie das Betriebssystem RED OS 7.3.4 und höher bzw. MSVSPHERE 9.2 und höher verwenden, installieren Sie das Paket "libxcrypt-compat", damit der Administrationsserver funktioniert wie vorgesehen.

• Stellen Sie sicher, dass der DNS-Server im Netzwerk verfügbar ist.
• Laden Sie die Installationsdatei von der Kaspersky-Website herunter. Wählen Sie die Installationsdatei aus, die der auf Ihrem Gerät installierten Linux-Distribution entspricht: ksc64_[Versionsnummer]_amd64.deb oder ksc64-[Versionsnummer].x86_64.rpm.

Um Kaspersky Security Center Linux zu installieren, müssen Sie die in den folgenden Schritten angegebenen Befehle unter einem Benutzerkonto mit Root-Rechten ausführen.

So installieren Sie Kaspersky Security Center Linux:

1. Erstellen Sie die Gruppe "kladmins" und die nicht-privilegierten Konten "ksc" und "ksciam". Das Benutzerkonto muss Mitglied der Gruppe "kladmins" sein. Führen Sie dazu nacheinander die folgenden Befehle aus:

   adduser ksc

   groupadd kladmins

   gpasswd -a ksc kladmins

   usermod -g kladmins ksc

   adduser ksciam

   gpasswd -a ksciam kladmins

   usermod -g kladmins ksciam

2. Erstellen Sie auf dem DBMS-Server eine Datenbank für IAM. Der Name der Datenbank muss sich von dem Namen der Datenbank unterscheiden, die Sie zur Verwendung mit Kaspersky Security Center Linux installiert haben. Der Administrationsserver löscht die IAM-Datenbank nicht automatisch, wenn der Server deinstalliert oder auf ein anderes Gerät verschoben wird. Sie müssen die Datenbank manuell entfernen.
   • Für PostgreSQL führen Sie den folgenden Befehl aus:

     sudo -i -u postgres psql -U postgres -c "CREATE DATABASE <iam_db_name>;"

   • Für MariaDB führen Sie den folgenden Befehl aus:

     sudo mysql -u root -p -e "CREATE DATABASE <iam_db_name>;"

3. Wenn Sie ein hochverfügbares DBMS-Cluster verwenden, führen Sie die folgenden Schritte aus:
   1. Gewähren Sie dem Benutzer "ksc" die Berechtigung pg_read_all_stats:

      GRANT pg_read_all_stats TO "ksc";

   2. Ändern Sie auf allen Knoten des hochverfügbaren DBMS-Clusters die Konfigurationsdatei "/etc/pangolin-manager/postgres.yml" (wenn Sie Platform V Pangolin verwenden) oder "/etc/postgresql//main/postgresql.conf" (wenn Sie ein Cluster von Postgres Pro Built-in High Availability verwenden). Fügen Sie dem Abschnitt postgresql die folgende Zeile hinzu, wenn Sie beim Verbinden des Clusters mit Kaspersky Security Center Linux nur den DNS-Namen oder die IP-Adresse des Haupt- oder Replika-Knotens angeben möchten:

      log_hostname: '1'

   3. Starten Sie nach dem Ändern der Konfigurationsdatei "/etc/pangolin-manager/postgres.yml" den Dienst des DBMS-Clusters auf allen hochverfügbaren Cluster-Knoten (mit Ausnahme des Vermittler-Knotens) neu.

      systemctl restart pangolin-manager.service

      oder

      systemctl restart postgresql-<Version>

4. Erhöhen Sie bei Bedarf für die Benutzerkonten, die für die Funktionen des Administrationsservers verwendet werden, die Anzahl an Dateien, die standardmäßig geöffnet werden können (Datei-Deskriptoren). Öffnen Sie dazu die Datei "/etc/security/limits.conf" und geben Sie die weichen und harten Beschränkungen der Datei-Deskriptoren wie folgt an:

   ksc soft nofile <maximale_Anzahl_geöffneter_Dateien>

   ksc hard nofile <maximale_Anzahl_geöffneter_Dateien>

   Standardmäßig werden die Limits der Datei-Deskriptoren während der Installation angegeben. Die das weiche Datei-Limit beträgt 32.768 und das harte Datei-Limit 131.072 Dateien.

5. Führen Sie die Installation von Kaspersky Security Center Linux aus. Führen Sie abhängig von Ihrer Linux-Distribution einen der folgenden Befehle aus:
   • apt install /<path>/ksc64_<Versionsnummer>_amd64.deb
   • yum install /<path>/ksc64-<Versionsnummer>.x86_64.rpm -y
6. Führen Sie die Konfiguration von Kaspersky Security Center Linux aus:

   /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

7. Lesen Sie den Endbenutzer-Lizenzvertrag (EULA) und die Datenschutzrichtlinie. Der Text wird im Befehlszeilenfenster angezeigt. Drücken Sie die Leertaste, um das nächste Textsegment anzuzeigen. Geben Sie nach der entsprechenden Aufforderung die folgenden Werte ein:
   1. Geben Sie y ein, wenn Sie die EULA-Bedingungen verstehen und akzeptieren. Geben Sie n ein, wenn Sie den EULA-Bedingungen nicht zustimmen. Um Kaspersky Security Center Linux zu nutzen, müssen Sie den Bestimmungen der EULA zustimmen.
   2. Geben Sie y ein, wenn Sie die Bedingungen der Datenschutzrichtlinie verstehen und akzeptieren, und Sie damit einverstanden sind, dass Ihre Daten so verarbeitet und (einschließlich in Drittländer) übertragen werden, wie es in der Datenschutzrichtlinie beschrieben ist. Geben Sie n ein, wenn Sie den Bedingungen der Datenschutzrichtlinie nicht zustimmen. Um Kaspersky Security Center Linux zu nutzen, müssen Sie den Bestimmungen der Datenschutzrichtlinie zustimmen.
8. Geben Sie nach der entsprechenden Aufforderung die folgenden Einstellungen ein:
   1. Geben Sie den DNS-Namen oder die statische IP-Adresse des Administrationsservers ein. Diese Adresse wird von anderen Geräten für die Verbindung mit dem Administrationsserver verwendet.
   2. Geben Sie die SSL-Portnummer des Administrationsservers ein. Standardmäßig ist die Portnummer 13000 festgelegt.
   3. Ermitteln Sie die ungefähre Anzahl der Geräte, die Sie verwalten möchten:
      • Geben Sie für 1 bis 100 verwaltete Geräte den Wert 1 ein.
      • Geben Sie für 101 bis 1.000 verwaltete Geräte den Wert 2 ein.
      • Geben Sie für über 1.000 verwaltete Geräte den Wert 3 ein.

      Diese Einstellung dient der automatischen, zufälligen Verzögerung von Aufgabenstarts, um die Auslastung auf das Netzwerk zu optimieren. Die folgende Liste enthält die Intervalle, innerhalb denen die Verzögerung berechnet wird:

      • 1 bis 100 verwaltete Geräte, Wert 1. Es wird keine Verzögerung verwendet.
      • 101 bis 1.000 verwaltete Geräte, Wert 2. Die Verzögerung beträgt 5 Minuten.
      • Über 1.000 verwaltete Geräte, Wert 3. Die Verzögerung beträgt 10 Minuten.
   4. Geben Sie den Namen der Sicherheitsgruppe für Dienste ein. Standardmäßig wird die Gruppe kladmins verwendet.
   5. Geben Sie den Namen des Benutzerkontos ein, um den Administrationsserver-Dienst zu starten. Das Konto muss Mitglied der eingegebenen Sicherheitsgruppe sein. Standardmäßig wird das Konto ksc verwendet.
   6. Geben Sie den Namen des Benutzerkontos ein, um andere Dienste zu starten. Das Konto muss Mitglied der eingegebenen Sicherheitsgruppe sein. Standardmäßig wird das Konto ksc verwendet.
   7. Wählen Sie das DBMS aus, das Sie für die Verwendung mit Kaspersky Security Center Linux installiert haben:
      • Wenn Sie MySQL oder MariaDB installiert haben, geben Sie "1" ein.
      • Wenn Sie PostgreSQL oder Postgres Pro installiert haben, geben Sie "2" ein.
   8. Geben Sie den DNS-Namen oder die IP-Adresse des Gerätes ein, auf dem die Datenbank installiert ist (standardmäßig 127.0.0.1 für eine lokale DBMS-Installation).

      Um PostgreSQL, ein Built-in High Availability-Cluster (BiHa) von Postgres Pro oder ein DBMS-Cluster von Platform V Pangolin zu verwenden, geben Sie für alle Knoten die DNS-Namen oder die IP-Adressen mit Ports im folgenden Format an:

      <fqdn1>:<port>,<fqdn2>:<port>,<...><fqdnX>:<port>;

      Wenn Sie ein DBMS-Cluster von Platform V Pangolin verwenden, können Sie alternativ beim Angeben der DBMS-Adresse nur den DNS-Namen oder die IP-Adresse des Haupt- oder Replika-Knotens angeben.

   9. Geben Sie die Portnummer der Datenbank ein. Dieser Port wird für die Kommunikation mit dem Administrationsserver verwendet. Standardmäßig werden die folgenden Ports verwendet:
      • Port 3306 für MySQL oder MariaDB
      • Port 5432 für PostgreSQL oder Postgres Pro
   10. Geben Sie den Namen der Datenbank ein.
   11. Geben Sie den Benutzernamen für das Konto des Datenbank-Administrators ein, das Sie für den Zugriff auf die Datenbank verwenden.
   12. Geben Sie das Kennwort für das Konto des Datenbank-Administrators ein, das Sie für den Zugriff auf die Datenbank verwenden.
   13. Geben Sie den FQDN des IAM-Servers ein. Wenn Sie diese Variable nicht angeben, wird der DNS-Name von dem Computer verwendet, auf dem der Administrationsserver installiert ist.
   14. Geben Sie den Namen des Kontos ein, um den IAM-Dienst zu starten. Das Konto muss Mitglied der eingegebenen Sicherheitsgruppe sein. Standardmäßig wird das Konto "ksciam" verwendet.
   15. Wählen Sie das DBMS aus, das Sie für die Verwendung des IAM-Dienstes installiert haben:
       • Wenn Sie MySQL oder MariaDB installiert haben, geben Sie "1" ein.
       • Wenn Sie PostgreSQL oder Postgres Pro installiert haben, geben Sie "2" ein.
   16. Geben Sie die Adresse des IAM-DBMS ein, die der IAM-Dienst verwenden soll.

       Um ein Cluster von Postgres Pro Built-in High Availability oder Platform V Pangolin DBMS zu verwenden, geben Sie den FQDN des Load Balancers an. Geben Sie bei der Angabe der IAM-Adresse des DBMS nicht den FQDN des Haupt-Knotens an.

   17. Geben Sie die Portnummer des IAM-DBMS ein. Dieser Port wird für die Kommunikation mit dem IAM-Dienst verwendet. Standardmäßig werden die folgenden Ports verwendet:
       • Port 3306 für MySQL oder MariaDB
       • Port 5432 für PostgreSQL oder Postgres Pro
   18. Geben Sie den Namen der IAM-Datenbank ein, den der IAM-Dienst verwenden soll. Der Name der vom IAM-Dienst verwendeten Datenbank muss sich von der Datenbank unterscheiden, die vom Administrationsserver verwendet wird.
   19. Geben Sie den Benutzernamen des Datenbank-Benutzerkontos ein, das Sie für den Zugriff auf die IAM-Datenbank verwenden.
   20. Geben Sie das Kennwort des Datenbank-Benutzerkontos ein, das Sie für den Zugriff auf die IAM-Datenbank verwenden.

       Warten Sie, bis die Dienste hinzugefügt und automatisch gestartet wurden:

       • klnagent_srv
       • kladminserver_srv
       • klactprx_srv
       • klwebsrv_srv
       • kliam_srv
   21. Erstellen Sie ein Benutzerkonto, das als Administrator des Administrationsservers fungiert. Geben Sie den Benutzernamen und das Kennwort ein.

       Das Kennwort muss den folgenden Regeln entsprechen:

       • Das Benutzerkennwort muss mindestens 8 Zeichen und darf maximal 256 Zeichen enthalten.
       • Das Kennwort muss Zeichen aus zumindest drei der unten aufgelisteten Kategorien enthalten:
         • Großbuchstaben (A–Z)
         • Kleinbuchstaben (a–z)
         • Ziffern (0–9)
         • Sonderzeichen (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)

       Wenn Sie diesen Schritt überspringen, können Sie später mit dem folgenden Befehl einen neuen Benutzer erstellen: /opt/kaspersky/ksc64/sbin/kladduser -n kscadmin -p <Kennwort>

Der Benutzer wird hinzugefügt und Kaspersky Security Center Linux wird installiert.

Installation des Administrationsagenten

Um das Gerät des Administrationsservers wie jedes andere verwaltete Gerät verwalten zu können, installieren Sie den Administrationsagenten für Linux auf dem Gerät des Administrationsservers. In diesem Fall wird der Administrationsagent für Linux installiert und funktioniert unabhängig von der Serverversion des Administrationsagenten, die Sie zusammen mit dem Administrationsserver installiert haben.

Überprüfung von Diensten

Verwenden Sie die folgenden Befehle, um zu überprüfen, ob ein Dienst ausgeführt wird oder nicht:

• systemctl status klnagent_srv.service
• systemctl status kladminserver_srv.service
• systemctl status klactprx_srv.service
• systemctl status klwebsrv_srv.service
• systemctl status kliam_srv.service

Nach oben