Часть 1. Подготовка к работе

Требуется выполнить следующие шаги перед установкой.

При подготовке среды убедитесь, что у всех пользователей есть разрешение read на чтение всех файлов, которые будут подключены к контейнеру, например: файлов конфигурации; файлов, связанных с лицензированием; закрытых ключей и сертификатов. Это необходимо, поскольку Kaspersky Scan Engine не имеет прав root при работе внутри контейнера.

Уведомление для пользователей в США

Чтобы подготовить среду к установке Kaspersky Scan Engine:

1. На локальном хосте распакуйте дистрибутив :
   • Если на вашем компьютере не установлен Kaspersky Scan Engine, распакуйте пакет распространения в /opt/kaspersky/ScanEngine.
   • Если Kaspersky Scan Engine уже установлен на вашем компьютере, вы можете распаковать пакет распространения в любую директорию, но при этом необходимо использовать файлы конфигурации и kl_scanengine_db.key из установленного экземпляра. Дополнительную информацию о kl_scanengine_db.key см. ниже.
2. Если вы хотите использовать Kaspersky Scan Engine GUI, выполните следующие действия:
   1. Установите и настройте PostgreSQL 10.7 или более поздней версии, как описано в разделе "Установка и настройка PostgreSQL".

      Убедитесь, что pg_hba.conf настроен таким образом, что kavebase (база данных Kaspersky Scan Engine) доступна из ваших контейнеров Kaspersky Scan Engine.

   2. Включите Kaspersky Scan Engine GUI. Типичная конфигурация описана в подразделе "Включение Kaspersky Scan Engine GUI" раздела Ручная установка (Linux), но некоторые файлы могут находиться в других директориях пакета распространения.

      Обязательно зашифруйте имя пользователя и пароль пользователя, который будет взаимодействовать с базой Kaspersky Scan Engine, как описано в подразделе "Включение Kaspersky Scan Engine GUI". Использование незашифрованных учетных данных представляет серьезную угрозу безопасности.

3. На локальном хосте откройте klScanEngineUI.xml, чтобы настроить следующие параметры Kaspersky Scan Engine:
   1. Принимаете ли вы условия Пользовательского соглашения (EULA) и Положения о Kaspersky Security Network (Положения о KSN).
      1. Прочитайте Пользовательское соглашение Kaspersky Scan Engine. Пользовательское соглашение расположено в doc/license.txt.

         Чтобы развернуть и использовать Kaspersky Scan Engine, вам необходимо принять условия Пользовательского соглашения (EULA). Если вы согласны с условиями Пользовательского соглашения, переходите к следующему шагу. Если вы отклоняете условия Пользовательского соглашения, отмените установку.

      2. Измените <Common>rejected</Common> на <Common>accepted</Common>.
      3. Если вы хотите использовать Kaspersky Security Network (KSN), ознакомьтесь с Положение о KSN и Политикой конфиденциальности. Положение о KSN находится в doc/ksn_license.txt и содержит ссылку на Политику конфиденциальности.
      4. Если вы согласны с условиями Положения о KSN и Политикой конфиденциальности, переходите к следующему шагу. Если вы отклоняете условия Положения о KSN или Политику конфиденциальности, перейдите к шагу 3b.
      5. Измените <KSN>rejected</KSN> на <KSN>accepted</KSN>.
   2. В элементе <Mode> укажите режим работы Kaspersky Scan Engine:

      Режим HTTP

      <Mode>httpd</Mode>

      Режим ICAP

      <Mode>icap</Mode>

   3. В элементе <EnableUI> укажите, хотите ли вы использовать Kaspersky Scan Engine GUI:
      • Если вы хотите использовать Kaspersky Scan Engine GUI, укажите 1 в элементе <EnableUI>:

      <EnableUI>1</EnableUI>

      • Если вы не хотите использовать Kaspersky Scan Engine GUI, укажите 0 в элементе <EnableUI>:

      <EnableUI>0</EnableUI>

   4. Если вы включили Kaspersky Scan Engine GUI, выполните следующие действия:
      1. Укажите адрес базы данных kavebase в элементе DatabaseSettings > ConnectionString в формате %IP%:%port%.
      2. При необходимости измените порт, на котором будет доступен Kaspersky Scan Engine GUI, в элементе ServerSettings > ConnectionString. В этом случае вам также нужно будет изменить соответствующий порт в элементах container > ports > containerPort и ports > targetPort файла конфигурации YAML:
         • Для режима HTTP измените файл kaspersky_httpd_kubernetes.yaml.
         • Для режима ICAP измените файл kaspersky_icapd_kubernetes.yaml.
      3. Если вы хотите развернуть Kaspersky Scan Engine в Kubernetes и использовать собственный сертификат и закрытый ключ для Kaspersky Scan Engine GUI, раскомментируйте элементы <SSLCertificatePath> и <SSLPrivateKeyPath> с пометкой "For Kubernetes" и закомментируйте элементы с пометкой "For Docker".

         Рекомендуется назвать ваш сертификат kl_scanengine_cert.pem, а ваш закрытый ключ kl_scanengine_private.pem, иначе вам нужно будет изменить их имена в файле конфигурации klScanEngineUI.xml.

   5. Сохраните и закройте klScanEngineUI.xml.
4. Если вы хотите использовать TLS для подключения к Kaspersky Scan Engine в режиме HTTP, выполните следующие действия на локальном хосте:
   1. Откройте kavhttpd.xml для редактирования.
   2. Добавьте https:// к значению в элементе <ConnectionString>:

      <ConnectionString>https://127.0.0.1:9998</ConnectionString>

      Не меняйте IP-адрес.

   3. Раскомментируйте элементы <TlsCertificateKeyFile> и <TlsCertificateFile>:
      • Если вы хотите развернуть Kaspersky Scan Engine в Kubernetes, раскомментируйте элементы с пометкой "For Kubernetes integration".
      • Если вы не хотите развертывать Kaspersky Scan Engine в Kubernetes, раскомментируйте элементы с пометкой "For Docker integration".
   4. Сохраните и закройте kavhttpd.xml.
   5. Сгенерируйте сертификат и закрытый ключ, как описано в разделе "HTTPS-соединения".
   6. Выполните одно из следующих действий:
      • Если вы хотите развернуть Kaspersky Scan Engine в Kubernetes, поместите kavhttpd.key и kavhttpd.cert в директорию, не содержащую файлов конфигурации Kaspersky Scan Engine.
      • Если вы не хотите развертывать Kaspersky Scan Engine в Kubernetes, поместите kavhttpd.key и kavhttpd.cert в директорию, содержащую файлы конфигурации Kaspersky Scan Engine.
5. Если вы включили Kaspersky Scan Engine GUI, выполните следующие действия на локальном хосте:
   1. Создайте символьную ссылку на klScanEngineUI.xml из директории /etc/, например:

      ln -s /opt/kaspersky/ScanEngine/etc/klScanEngineUI.xml /etc/klScanEngineUI.xml

   2. Зашифруйте имя и пароль пользователя, которые вы будете использовать для подключения к базе данных kavebase.

      Чтобы зашифровать учетные данные, используйте утилиту kav_encrypt. Эта утилита также автоматически записывает зашифрованные имя пользователя и пароль в файл klScanEngineUI.xml.

      Запустите утилиту kav_encrypt со следующими параметрами:

      -d %username%:%password%

6. На локальном хосте создайте директорию, в которой будут храниться файлы конфигурации (далее %CONFIGURATION_FILES_DIRECTORY%).

   Если вы хотите использовать Kaspersky Scan Engine в Kubernetes или Docker Swarm, эта директория должна находиться в локальной сети, в которой вы будете создавать среды Kubernetes.

7. Скопируйте файл конфигурации klScanEngineUI.xml в %CONFIGURATION_FILES_DIRECTORY%.
8. Скопируйте файл конфигурации Kaspersky Scan Engine в %CONFIGURATION_FILES_DIRECTORY%:
   • Для режима HTTP скопируйте файл kavhttpd.xml.

     При необходимости измените порт, на котором будет доступна HTTP-служба, в элементе ServerSettings > ConnectionString. Если вы хотите использовать Kaspersky Scan Engine в Kubernetes, вам также необходимо изменить соответствующий порт в элементах containers > ports > containerPort и ports > targetPort файла конфигурации kaspersky_httpd_kubernetes.yaml.

   • Для режима ICAP скопируйте файл kavicapd.xml.

     При необходимости измените порт, на котором будет доступна ICAP-служба, в элементе ICAPSettings > Port. Если вы хотите использовать Kaspersky Scan Engine в Kubernetes, вам также необходимо изменить соответствующий порт в элементах containers > ports > containerPort и ports > targetPort файла конфигурации kaspersky_icapd_kubernetes.yaml.

9. Если вы хотите использовать KSN, выполните одно из следующих действий:
   • Для режима HTTP добавьте KAV_SHT_ENGINE_KSN в элемент ServerSettings > Flags файла kavhttpd.xml.
   • Для режима ICAP укажите 1 в элементе KSNSettings > UseKSN файла kavicapd.xml.
10. На локальном хосте создайте директорию, в которой будет храниться файл ключа или код активации (далее %LICENSE_FILE_DIRECTORY%).

    Эта директория должна находиться в локальной сети, в которой вы будете создавать среды Kubernetes или Docker Swarm.

11. Выполните одно из следующих действий:
    • Если вы хотите использовать файл ключа, скопируйте его в %LICENSE_FILE_DIRECTORY%.
    • Если вы хотите использовать код активации, сделайте следующее:
      1. Создайте файл с именем license в любом месте.
      2. Скопируйте в него свой код активации.
      3. Скопируйте файл license в %LICENSE_FILE_DIRECTORY%.
      4. В файле конфигурации (kavhttpd.xml для режима HTTP и kavicapd.xml для режима ICAP) для элемента LicensingMode укажите 2.
12. Если Kaspersky Scan Engine подключается к Kaspersky Security Network (KSN) и антивирусным базам через прокси-сервер, зашифруйте имя пользователя и пароль для аутентификации прокси следующим образом:
    1. Убедитесь, что на локальном хосте в директории /opt/kaspersky/ScanEngine/httpsrv есть файл kl_scanengine_db.key. Если этого файла не существует, подготовьте его к использованию.

       Ключ шифрования необходим для шифрования данных (имен пользователей и паролей) с помощью утилиты kav_encrypt.

       Чтобы подготовить ключ шифрования к использованию:

       1. Создайте ключ шифрования:

          openssl rand -out %service_dir%/httpsrv/kl_scanengine_db.key 512

       2. Убедитесь, что у всех пользователей есть права на чтение файла kl_scanengine_db.key.
       3. Если вы используете скрипт kse_docker_control.sh для запуска контейнеров, откройте kse_docker_control.sh для редактирования, а затем укажите путь к kl_scanengine_db.key в параметре KEY_FILE_DIRECTORY.

          Пример параметра:

          KEY_FILE_DIRECTORY=/opt/kaspersky/ScanEngine/httpsrv/

          Если вы не используете скрипт kse_docker_control.sh, вам необходимо указывать параметр для монтирования kl_scanengine_db.key в директорию /opt/kaspersky/ScanEngine/httpsrv внутри контейнера каждый раз при запуске контейнера.

          Пример команды:

          docker run -d -p 8080:8443 -p 8085:9998 -v %CONFIGURATION_FILES_DIRECTORY%:/tmp/scanengine/mounted/configs -v %LICENSE_FILE_DIRECTORY%:/tmp/scanengine/mounted/lic -v /opt/kaspersky/ScanEngine/httpsrv/:/tmp/scanengine/mounted/key --name ScanEngine kaspersky/scanengine:%KSE_VERSION%

    2. На локальном хосте выполните следующую команду:

       /opt/kaspersky/ScanEngine/tools/kav_encrypt -m %mode% -p %USERNAME%:%PASSWORD%

       Здесь %USERNAME% и %PASSWORD% – это имя пользователя и пароль, используемые для аутентификации прокси.

13. Если вы включите Kaspersky Scan Engine GUI, выполните следующие действия.
    1. Поместите kl_scanengine_db.key в директорию, не содержащую файлов конфигурации Kaspersky Scan Engine (далее %KEY_FILE_DIRECTORY%). Если этого файла не существует, подготовьте его к использованию.

       Ключ шифрования необходим для шифрования данных (имен пользователей и паролей) с помощью утилиты kav_encrypt.

       Чтобы подготовить ключ шифрования к использованию:

       1. Создайте ключ шифрования:

          openssl rand -out %service_dir%/httpsrv/kl_scanengine_db.key 512

       2. Убедитесь, что у всех пользователей есть права на чтение файла kl_scanengine_db.key.
       3. Если вы используете скрипт kse_docker_control.sh для запуска контейнеров, откройте kse_docker_control.sh для редактирования, а затем укажите путь к kl_scanengine_db.key в параметре KEY_FILE_DIRECTORY.

          Пример параметра:

          KEY_FILE_DIRECTORY=/opt/kaspersky/ScanEngine/httpsrv/

          Если вы не используете скрипт kse_docker_control.sh, вам необходимо указывать параметр для монтирования kl_scanengine_db.key в директорию /opt/kaspersky/ScanEngine/httpsrv внутри контейнера каждый раз при запуске контейнера.

          Пример команды:

          docker run -d -p 8080:8443 -p 8085:9998 -v %CONFIGURATION_FILES_DIRECTORY%:/tmp/scanengine/mounted/configs -v %LICENSE_FILE_DIRECTORY%:/tmp/scanengine/mounted/lic -v /opt/kaspersky/ScanEngine/httpsrv/:/tmp/scanengine/mounted/key --name ScanEngine kaspersky/scanengine:%KSE_VERSION%

    2. Если вы хотите использовать собственный сертификат и закрытый ключ для подключения к Kaspersky Scan Engine GUI, поместите kl_scanengine_cert.pem и kl_scanengine_private.pem в %KEY_FILE_DIRECTORY%.

    Если вы хотите развернуть Kaspersky Scan Engine в Kubernetes, укажите полный путь к этим файлам при настройке Kubernetes.

В начало страницы